26 Giugno 2020

La trasmissione degli elenchi dei positivi ai Tribunali non consente un’efficace tutela del personale ed è sproporzionata

Per assicurare il contenimento del contagio da Covid-19 e la protezione degli ufficiali giudiziari i Tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari, ma, come previsto dalle norme adottate dal Governo, devono predisporre adeguati dispositivi di protezione individuale.

E’ quanto ha precisato l’Ufficio del Garante per la protezione dei dati personali in una nota indirizzata al Ministero della Giustizia con cui ha fornito il suo parere in merito alla questione sollevata  da un’ azienda sanitaria di Verona, alla quale l’UNEP (Ufficio Notifiche Esecuzioni e Protesti) del Tribunale della stessa città aveva chiesto di poter avere quotidianamente gli elenchi aggiornati delle persone positive o sospette positive al Covid-19, dei soggetti in quarantena e dei loro conviventi, nonché a loro dislocazione.

Il Garante ha ritenuto che la disponibilità dei predetti elenchi delle Aziende sanitarie non risulta necessaria né all’esercizio delle funzioni attribuite all’UNEP, né alla protezione dal contagio del personale addetto alle notifiche.

Nel fornire la sua risposta, l’Autorità ha tenuto conto del fatto che, in assenza di una mappatura dell’intera popolazione in merito al contagio Covid-19, l’eventuale stato di positività dei destinatari degli atti potrebbe sussistere, seppure non ancora accertato.

Di conseguenza, in linea con le raccomandazioni dell’Istituto Superiore di Sanità, i Tribunali devono adottare le misure di protezione individuale, disposte dal Governo per i lavoratori a contatto con il pubblico, nei confronti di tutti gli operatori UNEP a prescindere dal fatto che essi accedono a locali ove è domiciliata una persona accertata Covid-19.

Occorre inoltre considerare, che anche ove tali elenchi fossero acquisiti spetterebbe ai tribunali una difficile opera di aggiornamento, tenuto conto che gli stessi sono in continua evoluzione sulla base dei risultati dei tamponi.

L’Ufficio del Garante si è comunque reso disponibile a interloquire con il Ministero della giustizia per trovare una soluzione che consenta lo svolgimento dei compiti degli UNEP assicurando, al contempo, la protezione dal contagio del personale impiegato e la riservatezza dei soggetti posti in isolamento domiciliare per Covid-19.

Fonte: Garante Privacy

Roma, 3 giugno 2020

Clicca qui per leggere l’articolo!

Fonte: Garante Privacy

Clicca qui per leggere l’articolo!

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

Viste le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L’Istituto nazionale previdenza sociale (di seguito “INPS” o “Istituto”), con note del 1° aprile e del 6 aprile 2020, ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, due distinte violazioni dei dati personali che hanno comportato, rispettivamente:

1. l’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;

2. l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

Tali violazioni dei dati personali si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate alla situazione emergenziale in corso previste dal d.l. 18/2020, nei confronti di una prevista ampia platea di beneficiari che hanno tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell’INPS.

Contestualmente, l’Autorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale. In particolare, si evidenzia come, tra i predetti soggetti, siano presenti:

numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell’INPS, compresi quelli per compilare e inviare individualmente la propria domanda per l’erogazione delle prestazioni previste dal d.l. n. 18/2020;

soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi;

professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi;

enti e associazioni, in rappresentanza di categorie professionali e utenti.

Muovendo da tali elementi, l’Ufficio ha avviato un’istruttoria sulle predette violazioni dei dati personali, mediante richieste di informazioni rivolte all’Istituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dall’INPS e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dall’Istituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste l’Istituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020, fornendo le informazioni e gli elementi di seguito rappresentati.

1. Gli elementi forniti dall’Istituto

1.1. La violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”

In relazione alla prima violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di garantire “adeguati livelli di fruibilità dei servizi […] e contestualmente la protezione da attacchi DDOS” nei giorni in cui sarebbe stato possibile presentare le istanze per l’erogazione di prestazioni previste dal d.l. n. 18/2020, aveva deciso di fare ricorso a un servizio CDN (Content Delivery Network), ritenuto “idoneo per la gestione di questo modello di erogazione di servizio (cosiddetto click day)”.

In particolare, l’Istituto ha rappresentato che “in vista del rilascio di nuovi servizi al cittadino, previsto per il giorno 01/04/2020, INPS richiede il coinvolgimento del supporto Microsoft, al fine di valutare soluzioni tecnologiche che possano aiutare a migliorare le prestazioni del servizio reso attraverso il sito web istituzionale dell’INPS, in previsione di possibili carichi eccezionali. Viene, altresì, coinvolta la società Leonardo la quale fornisce il supporto sistemistico nell’ambito dell’accordo quadro Consip di system management. Si forma un “tavolo tecnico” tra Inps, Microsoft e Leonardo e viene individuata, come unica soluzione possibile per fronteggiare l’emergenza, l’utilizzo di una Content Delivery Network (CDN)”, optando per “l’offerta tecnologica di Microsoft che, nell’ambito dei servizi Cloud Azure, propone un servizio di distribuzione dei contenuti basato su una propria tecnologia [(di seguito “CDN Microsoft”)] ovvero su tecnologia Akamai [(di seguito “CDN Akamai”)], leader del mercato di riferimento”.

L’Istituto ha dichiarato che, inizialmente, nella serata del 31 marzo 2020, aveva provveduto ad attivare il servizio CDN Microsoft ma, emergendo “da subito criticità proprio nel caching [… con] risposte generiche del tipo “The Request cannot be served””, aveva “ritenuto opportuno operare un rollback della situazione ripristinando l’accesso diretto al proprio sito”. L’Istituto ha precisato che “i disservizi osservati [… erano] dunque relativi all’incapacità del servizio di fornire risposte all’utente e dunque di indisponibilità dello stesso”.

Successivamente, nella mattina del 1° aprile 2020, l’Istituto aveva rilevato che “i sistemi erano in forte sofferenza e il servizio era fortemente degradato” e aveva, pertanto, “optato per riattivare il servizio CDN, questa volta su tecnologia Akamai” che è stato “attivato, attraverso la modifica del DNS, alle ore 10,13 del 1° Aprile”. Tuttavia, “si è subito palesato l’anomalo funzionamento del meccanismo di caching che di fatto ha provocato la replica di alcune schede anagrafiche presenti nel portale www.inps.it, l’unico dominio sottoposto a caching da parte della CDN” e “non appena sono emersi i primi segnali di un potenziale data breach, alle ore 10,30 è stato avviato il rollback della soluzione modificando la risoluzione DNS per tornare all’erogazione dei servizi esclusivamente attraverso il portale dell’Istituto senza l’intermediazione della CDN”.

A. Le misure adottate per porre rimedio alla violazione dei dati personali

In seguito, l’Istituto ha deciso di “chiudere completamente il portale internet” e di riattivare il servizio, dopo circa 3 ore, solo a seguito dell’effettuazione di “alcune ottimizzazioni già avviate ma non ancora ultimate al momento dell’apertura dello stesso” e del “contingentamento del traffico proveniente dagli intermediari e dai cittadini stabilendo che questi ultimi potessero accedere solo al di fuori della fascia orario dalle ore 8 alle 16 riservata agli intermediari”. Inoltre, “l’Istituto ha richiesto la rimozione di tutti i contenuti che sono stati indebitamente diffusi da terzi su Twitter”.

L’Istituto ha rappresentato che, nei giorni successivi alla violazione dei dati personali, ha continuato a ricevere “svariate segnalazioni di utenti che hanno rilevato la persistenza di dati anagrafici di soggetti terzi […] all’accesso delle procedure dell’Istituto ma si è accertato che tali segnalazioni non erano ascrivibili alla persistenza del problema ma semplicemente al fatto che il browser dell’utente continuava a ripresentare la pagina memorizzata nella sua cache locale. Infatti, è stato sufficiente far fare un refresh della pagina o svuotare la cache che il problema non si è più ripresentato”.

L’Istituto ha altresì evidenziato che, “al fine di limitare la diffusione dei dati personali che si era innescata sui vari social, […] si è provveduto ad istituire una apposita casella violazionedatiGDPR@inps.it, resa pubblica con apposito avviso in home page del portale, per consentire di inviare segnalazioni ed evidenze in merito al data breach”.

B. Le tipologie di dati personali oggetto di violazione

L’Istituto ha rappresentato che “sulla base delle evidenze riscontrate e delle successive analisi tecniche, la violazione dei dati di tali soggetti è stata limitata alla sola possibilità di visualizzazione di dati personali (anagrafici, residenza e contatti telematici), presenti nelle pagine cache, non essendo consentita alcuna modifica da parte di terzi”. In particolare, le tipologie di dati personali oggetto della violazione sono “codice fiscale, cognome, nome, data di nascita, luogo di nascita, indirizzo di residenza, telefono, cellulare, email e PEC”, presenti nella “pagina “Anagrafica” all’interno della sezione myINPS del portale informativo”.

C. Gli interessati coinvolti nella violazione dei dati personali

L’Istituto ha dichiarato che, sulla base delle impostazioni di caching del servizio CDN Akamai e dell’analisi dei relativi log, “gli interessati non dovrebbero essere oltre 23 persone”, evidenziando che “non è possibile identificare analiticamente dai sistemi i soggetti coinvolti nella violazione poiché la CDN Akamai non ha la persistenza dei contenuti in cache. Si è dunque proceduto ad una loro identificazione sulla base delle segnalazioni raccolte attraverso la specifica casella violazionedatiGDPR@inps.it” e fornendo un elenco di 8 interessati coinvolti nella violazione dei dati personali.

In particolare, l’Istituto ha aggiunto che “dall’analisi degli access log della CDN, è emerso che le richieste della pagina anagrafica di myINPS, che hanno avuto una risposta positiva (HTTP 200), sono state 842. Considerato che tra queste ci sono anche le richieste effettuate dai potenziali interessati al data breach, come stimati […] in massimo 23 unità, ne consegue che il numero massimo di soggetti che avrebbero avuto la possibilità di consultare i dati anagrafici di terzi è non superiore a 819. Tuttavia, considerato che ogni utente, di fronte all’esigenza di accedere ai propri dati, potrebbe aver richiesto un nuovo caricamento della pagina, ne consegue che il numero effettivo di soggetti distinti potrebbe essere stato sensibilmente inferiore”.

D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti

A questo proposito, l’Istituto ha dichiarato che “tenuto conto della tipologia dei dati visualizzati e nella considerazione che la possibilità di visualizzazione è avvenuta in modo del tutto casuale e limitata nel tempo da parte di soggetti che appaiono privi di qualunque legame e interesse con quelli coinvolti, […] ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

1.2. La violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting

In relazione alla seconda violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di “consentire la presentazione delle domande esclusivamente per via telematica, nonostante i tempi molto ristretti concessi per la sua predisposizione (il decreto è del 17 marzo 2020 e la presentazione delle domande è stata avviata sempre dal 1° aprile, con messa in produzione il 31 marzo, nel contesto di tutte le criticità sopra descritte), si è dovuto realizzare una nuova procedura informatica poiché i requisiti formulati per questo tipo di prestazione non hanno consentito il riuso di altre procedure” e che l’accesso a tale procedura doveva essere consentito “a tutti i cittadini e ai patronati quali intermediari autorizzati alla trasmissione”, tenendo anche conto del fatto che “molti potenziali beneficiari delle prestazioni avrebbero potuto non essere in possesso di credenziali di accesso (PIN, SPID, CIE, CNS)” al portale “www.inps.it”.

L’Istituto ha rappresentato che ha quindi “consentito, per le sole domande delle indennità 600€ e del Bonus Baby Sitting, la possibilità di presentare le domande con i soli primi 8 caratteri ricevuti via SMS dopo la richiesta del PIN” (c.d. accesso con modalità semplificata o, anche, con “PIN semplificato”) e che “tale previsione ha comportato la necessità di gestire il profilo autorizzativo attraverso controlli applicativi in deroga agli standard di controllo autorizzativo adottati per tutte le altre applicazioni, delegando alle applicazioni il controllo autorizzativo”. Tuttavia, “per effettuare in tempo strettissimi tutte le attività del ciclo di vita del software, le aree applicative hanno dovuto derogare parzialmente anche agli ordinari collaudi di sicurezza applicativa che l’Istituto effettua su tutte le sue applicazioni e che non è stato possibile effettuare alla luce dei tempi imposti e non negoziabili”.

L’Istituto ha rappresentato di essersi avvalso, per la realizzazione della procedura Bonus Baby Sitting, dei servizi di “application development and maintenance” forniti dalla società Sistemi Informativi S.r.l., designata responsabile ai sensi dell’art. 28 del Regolamento, a cui “sono state fornite le indicazioni di carattere amministrativo e tecnico derivanti dall’applicazione del D.L. 18/2020 per la progettazione e lo sviluppo del software, come normalmente avviene in occasione di nuove procedure”.

In particolare, l’Istituto ha dichiarato di aver dato “la possibilità di accesso alla procedura con qualsiasi identità digitale, anche il PIN semplificato, a prescindere dal profilo autorizzativo e sulla base del principio che: ogni soggetto identificato con una identità digitale può svolgere atti relativi alla sua persona. Tuttavia, la procedura ha dovuto prevedere la possibilità di trasmettere le domande anche attraverso i patronati. Dunque la procedura prevede un funzionamento duale: “cittadino in prima persona” che può inserire la domanda solo per proprio conto, “Patronato” che può inserire domande anche per terzi. Nel determinare il comportamento che doveva assumere sulla base delle informazioni del profilo dell’utente identificato dal sistema di accesso, l’implementazione della procedura non ha tenuto conto dell’esistenza di molteplici altre categorie di utenti, diverse dal cittadino (con PIN completo) e dal patronato, assimilandole a tutti gli effetti ai patronati invece che al cittadino”.

A. Le misure adottate per porre rimedio alla violazione dei dati personali

L’Istituto ha rappresentato che “il malfunzionamento si è verificato dal momento dell’apertura della procedura e ha interessato gli utenti cittadino che hanno acceduto con il PIN semplificato e tutte le altre categorie di utenti diverse dal semplice cittadino e dai patronati, indipendentemente dalla tipologia di credenziali [di autenticazione] utilizzate” e che lo stesso si è protratto fino alle ore 11:48 del 2 aprile 2020, momento in cui l’Istituto, dopo essere venuto a conoscenza della violazione, ha provveduto a chiudere “immediatamente il servizio per effettuare gli approfondimenti dovuti e correggere l’anomalia”.

B. Le tipologie di dati personali oggetto di violazione

L’Istituto ha dichiarato che la predetta “non corretta implementazione di [… un] controllo applicativo ha consentito a persone non autorizzate di consultare la lista delle domande presentate dalla stessa categoria di utenti” e che, a partire dall’elenco di tali domande, era possibile visualizzarne il contenuto e, nel caso di domande salvate in bozza (ossia non ancora trasmesse dal richiedente), modificarne il contenuto, cancellarle o inviarle all’Istituto. In particolare, l’INPS ha rappresentato che “ogni utente appartenente alle suddette categorie, ha potuto accedere alle domande trasmesse da altri utenti della stessa categoria. Ad es. chi ha acceduto con PIN semplificato ha potuto accedere alle domande inserite da altri con PIN semplificato, il consulente del lavoro ha potuto accedere alle domande inserite da altri consulenti del lavoro”, evidenziando che:

“la visualizzazione della lista di domande presenta i seguenti dati: n. domanda, data inserimento, codice fiscale del minore, data di presentazione della domanda, stato della domanda”;

“l’azione di cancellazione di una domanda [(salvata in bozza)] non consente di visualizzarne il contenuto”;

le operazioni di visualizzazione di una domanda (trasmessa o salvata in bozza) o di modifica di una domanda (salvata in bozza) consentivano l’accesso alle seguenti tipologie di dati personali:

i) dati personali del richiedente: dichiarazione di essere o meno unico genitore; codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; stato civile; indirizzo di residenza; cellulare; email; PEC; situazione lavorativa (appartenenza a una delle seguenti categorie di lavoratori: lavoratori dipendenti del settore privato; iscritti alla gestione separata; lavoratori autonomi; lavoratori dipendenti del settore sanitario pubblico e privato accreditato; personale del comparto sicurezza, difesa e soccorso pubblico);

ii) dati personali del figlio: dichiarazione di essere il genitore/affidatario del figlio; dichiarazione di essere convivente con il figlio; codice fiscale; cognome; nome; sesso; data di nascita; cittadinanza; in caso di minore di affido, documentazione della sentenza di affido; in caso di figlio di età superiore ai 12 anni con disabilità, dichiarazioni sullo stato di disabilità quale portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3, comma 3, della legge n. 104/1992, nonché sulla frequenza scolastica, di ordine e grado, o presso un centro diurno a carattere assistenziale, allegando la relativa documentazione attestante tali circostanze;

iii) dati personali dell’altro genitore: codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; in caso di altro genitore convivente con il richiedente, dichiarazioni sulla fruizione di altre prestazioni e sulla situazione lavorativa (“l’altro genitore non ha usufruito di alcuna delle misure di cui agli artt. 23 e 25 del d.l. n. 18/2020”; “l’altro genitore non è beneficiario di strumenti di sostegno al reddito in caso di sospensione o cessazione dell’attività lavorativa”; “l’altro genitore non è disoccupato ed è un lavoratore”).

C. Gli interessati coinvolti nella violazione dei dati personali

Sulla base della documentazione in atti, durante il periodo di malfunzionamento della procedura Bonus Baby Sitting, il numero massimo di domande – mostrate nella lista presente nella sezione “Consultazione domande” – che sono state potenzialmente accessibili da terzi, appartenenti alle predette categorie di utenti, risulta pari a 773, così suddivise:

670 domande compilate da utenti con profilo “Cittadino PIN semplificato”;

71 domande compilate da utenti con profilo “Consulente”;

8 domande compilate da utenti con profilo “Azienda”;

24 domande compilate da utenti con profilo riconducibile a diversi Ordini professionali (ciascuna domanda con visibilità limitata agli utenti con lo stesso profilo).

L’Istituto ha dichiarato di aver rilevato l’esecuzione di diverse tipologie di operazioni su alcune delle predette domande, nei seguenti termini:

68 domande, trasmesse o salvate in bozza, sono state visualizzate da terzi;

17 domande, salvate in bozza, sono state modificate da terzi;

81 domande, salvate in bozza, sono state cancellate da terzi;

62 domande, salvate in bozza, sono state inviate da terzi (non operatori di patronato).

D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti

Per quanto attiene alle considerazioni svolte dall’INPS in ordine alla sussistenza dei presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti, l’Istituto ha dichiarato che:

“i soggetti che hanno visualizzato [le 68] domande inserite da terzi sono, per la quali totalità, residenti in altra regione, provincia o comune degli interessati” e, inoltre, “non era fornita la possibilità di ricercare domande attraverso elementi identificativi dei soggetti a meno che si fosse già a conoscenza del codice fiscale del minore e che detto codice fiscale fosse presente nella lista casualmente visualizzata”;

“in merito ai 17 interessati per i quali è stata rilevata una modifica, da parte di terzi, della relativa domanda in stato di bozza, non avendo l’interessato provveduto ancora alla sua trasmissione, si è proceduto, come misura di maggior tutela, alla loro cancellazione logica. L’interessato avrebbe dunque potuto reinserire i dati della domanda senza il rischio di alterazione da parte di terzi”;

gli 81 “soggetti che hanno visto cancellata la propria bozza di domanda, non hanno visto i propri dati visualizzati da terzi e l’unica conseguenza è stata quella di aver dovuto riacquisire i dati precedentemente immessi prima dell’invio”;

le 62 domande inviate all’Istituto da terzi “sono state bloccate e si sta gestendo l’iter amministrativo delle stesse coinvolgendo gli interessati”.

L’Istituto ha, inoltre, rappresentato che “non sono state riscontrate evidenze di una diffusione di dati personali di specifiche domande di Baby Sitting” e che “dalle analisi condotte sulle domande visualizzate o modificate da terzi, è emerso che solo 2 domande contenevano l’indicazione che il minore è portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3 comma 3 L. 104/92 senza l’allegazione di alcuna documentazione aggiuntiva. Nessuna delle domande era riferita a situazione di minori in affido o adottati”.

L’Istituto ha quindi dichiarato che “i suddetti aspetti denotano come, chi ha consultato, avrebbe avuto uno scarso interesse a conoscere i dati visualizzati e dunque uno scarso impatto sulla sfera personale degli interessati. Allo stesso tempo, l’impossibilità di fare ricerche mirate, la casualità e l’evidenza che chi ha acceduto ha una residenza distante dagli interessati, denotano una scarsa probabilità che i dati siano stati visualizzati da soggetti che potevano avere interesse ad incidere sulla sfera personale dei soggetti coinvolti. Sulla base di tali valutazioni di rischio, l’Istituto ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

OSSERVA

2. Il quadro emerso dalle segnalazioni e dai reclami

In aggiunta a quanto rappresentato dall’INPS nelle note inviate all’Autorità e sopra sintetizzate, occorre precisare che alcune segnalazioni e reclami hanno portato alla luce ulteriori e diversi elementi che richiedono specifici approfondimenti al fine di meglio delineare l’ambito e la portata delle violazioni dei dati personali notificate all’Autorità ovvero di rilevare criticità non ancora oggetto di valutazione da parte dell’Istituto, di seguito riassunte, che potrebbero richiedere l’adozione di ulteriori misure, anche in relazione all’individuazione di nuovi interessati coinvolti.

2.1. Elementi relativi alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”

Sulla base di una prima analisi delle segnalazioni e dei reclami ricevuti dall’Autorità, nonché di ulteriori elementi reperibili in rete, emerge che tale violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti già individuati dall’Istituto, che ai 23 soggetti complessivamente indicati da quest’ultimo come numero massimo di interessati che sarebbero stati coinvolti nella violazione determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”.

Inoltre, dalla predetta documentazione, sono state rilevate le seguenti ulteriori criticità, che non state oggetto di approfondimento da parte dell’Istituto:

ulteriori dati oggetto di violazione: alcuni utenti hanno rappresentato che, accendendo al portale dell’INPS, nella mattina del 1° aprile 2020, era possibile visualizzare, oltre ai dati anagrafici e di contatto, anche informazioni relative alle richieste inoltrate all’Istituto da altri interessati tramite il servizio “INPS Risponde”, nonché la loro posizione fiscale e altre informazioni disponibili nell’area riservata del portale;

assenza di una procedura di autenticazione informatica: alcuni utenti hanno segnalato che, nella mattina del 1° aprile 2020, collegandosi al portale dell’INPS, hanno avuto accesso ai dati personali di altri interessati, senza aver superato alcuna procedura di autenticazione informatica.

2.2. Elementi relativi alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting

Anche con riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, dalle segnalazioni e dai reclami è emersa la necessità di chiarire la circostanza per cui, accedendo alla sezione “Consultazione Domande” della procedura Bonus Baby Sitting, in data 2 aprile 2020, erano visualizzabili anche domande presentate in data 31 marzo 2020, ossia il giorno precedente alla data a decorrere dalla quale, come rappresentato dall’Istituto, sarebbe stato possibile presentare le domande (1° aprile 2020).

2.3. Ulteriori anomalie rilevate

Alcune segnalazioni e reclami hanno, infine, portato alla luce ulteriori anomalie, che non risultano direttamente correlate a quanto rappresentato dall’INPS in relazione alle violazioni dei dati personali oggetto di notifica, di seguito sintetizzate:

a) accessi non autorizzati a dati personali occorsi già nella giornata del 31 marzo 2020:

un’interessata ha rappresentato di essere stata contattata telefonicamente alle ore 18,22 del 31 marzo 2020 da un altro utente che, dopo aver avuto accesso al portale dell’INPS con le proprie credenziali di autenticazione, in quel momento stava visualizzando i dati personali dell’interessata, inclusi il numero di cellulare, i dati dei pagamenti ricevuti dall’INPS in seguito a richieste connesse allo stato di  disoccupazione (incluso l’IBAN), le attestazioni ISEE richieste (contenenti dati personali anche di terzi), il fascicolo previdenziale con i dati relativi all’attività lavorativa (datori di lavoro, contributi versati, durata dei rapporti di lavoro, ecc.), nonché i certificati di malattia;

un utente ha segnalato che collegandosi alle ore 18,36 del 31 marzo 2020 al portale dell’INPS per inserire la propria domanda di congedo parentale ha avuto accesso ai dati personali di un’altra interessata, senza aver superato alcuna procedura di autenticazione informatica;

b) anomalie riscontrate nell’ambito della procedura Indennità COVID-19:

un’interessata ha evidenziato di aver presentato, il 1° aprile 2020, la domanda per l’erogazione dell’indennità COVID-19 nella sua qualità di “lavoratore con rapporto di collaborazione coordinata e continuativa iscritto alla Gestione separata”; successivamente, in data 19 aprile 2020, accedendo al portale dell’INPS, l’interessata constatava che la domanda inoltrata conteneva una qualifica differente da quella da lei inserita; l’interessata, in data 20 aprile 2020, provvedeva a contattare in proposito il call center dell’Istituto che, riscontrata la predetta anomalia, si attivava per inserire una nuova richiesta per conto dell’interessata, che tuttavia non riceveva alcuna comunicazione a mezzo email di presa in carico della nuova richiesta; la sera dello stesso giorno l’interessata veniva contattata telefonicamente da un utente che le riferiva di aver visualizzato i suoi dati personali nella propria “lista esiti” sul portale dell’INPS;

alcuni utenti hanno rappresentato che, accedendo al portale dell’INPS in data 1° aprile 2020, all’atto dell’invio della propria domanda per l’indennità COVID-19 la relativa procedura dell’Istituto li informava che non era possibile procedere con l’invio della domanda in quanto la stessa risultava già presentata.

3. La valutazione dei rischi per i diritti e le libertà degli interessati derivanti dalle violazioni

Nelle more dello svolgimento dell’istruttoria ancora in corso, necessaria all’approfondimento di quanto sopra illustrato, anche al fine di adottare eventuali provvedimenti correttivi e di definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dall’Istituto a tutela degli interessati in ordine all’assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria medesima.

In proposito, occorre tener presente che il Regolamento (spec. cons. nn. 75 e 76) suggerisce che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva.

In particolare, le Linee guida individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione.

L’INPS ha ritenuto che entrambe le violazioni dei dati personali oggetto di notifica non fossero suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche e non ha pertanto provveduto a informare gli interessati coinvolti nelle violazioni.

Il contesto in cui l’Istituto si è trovato a dover intervenire – che potrà essere tenuto in considerazione nel corso dell’istruttoria per valutare l’adeguatezza e la proporzionalità delle misure tecniche e organizzative – non può rilevare ai fini della valutazione del rischio per la comunicazione della violazione agli interessati ai sensi dell’art. 34 del Regolamento. Tale valutazione, infatti, va effettuata a posteriori, sulla base degli scenari di rischio che in concreto possono verificarsi in danno dei diritti e delle libertà degli interessati, tenendo conto, nel caso in esame, dei seguenti fattori:

1) aspetti di carattere generale relativi a entrambe le violazioni notificate:

il ruolo centrale rivestito dall’INPS nel sistema previdenziale e assistenziale nazionale e nel panorama delle grandi banche dati pubbliche, che richiede un elevato grado di accountability al fine di garantire la fiducia nei confronti dell’Istituto da parte degli utenti, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento;

l’impatto che le decisioni adottate dall’INPS in relazione al trattamento di dati personali hanno avuto sulla collettività, considerata anche la condizione di difficoltà in cui versano coloro che chiedono di accedere a misure di sostengo del reddito;

la natura delle violazioni dei dati personali, che hanno comportato l’accesso alle informazioni personali, direttamente identificative degli interessati, da parte di un elevato numero di utenti le cui intenzioni sono sconosciute;

2) con specifico riferimento alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”:

le categorie di dati personali oggetto di violazione, che comprendono anche recapiti di telefonia mobile;

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, invasioni della sfera privata, disagio psicologico, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti;

3) con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting:

le tipologie di interessati i cui dati personali sono stati oggetti di violazione, appartenenti anche a categorie vulnerabili (minori, soggetti con disabilità);

le categorie di dati personali oggetto di violazione (dati anagrafici, cittadinanza, residenza, dati di contatto, dati relativi alla salute, dati relativi alla situazione lavorativa), anche riferiti a terzi;

le tipologie di operazioni, anche dispositive, che sono state effettuate sui dati personali degli interessati da parte di soggetti non autorizzati;

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, la limitazione dei loro diritti, invasioni della sfera privata, disagio psicologico, discriminazione, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti.

Pertanto, diversamente da quanto sostenuto dall’Istituto, ancorché con diversa probabilità e gravità, le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento. Ciò, anche in considerazione del fatto che non risulta soddisfatta alcuna delle condizioni di cui all’art. 34, par. 3, del Regolamento, per le quali non è richiesta la comunicazione agli interessati.

Peraltro, la comunicazione agli interessati coinvolti, allo stato individuati, non comporta sforzi sproporzionati da parte dell’Istituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione.

La comunicazione pubblica effettuata dall’Istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice “comunicazione in merito al data breach” – anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato e a fornire indicazioni “in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli”, offrendo un recapito dedicato al quale rivolgersi – non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che l’Istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati (cons. n. 86 del Regolamento).

RITENUTO

Alla luce del complessivo esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l’istruttoria in corso, si ravvisano la necessità e l’urgenza di ingiungere all’Istituto, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.

Tale comunicazione, inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’Istituto.

Con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, si evidenzia che la predetta comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio all’INPS (62 domande), ma anche nell’elenco delle 773 domande mostrato nella sezione “Consultazione domande” della procedura Bonus Baby Sitting. In particolare, tale comunicazione dovrà essere inviata al genitore richiedente, fornendo anche elementi relativi agli altri interessati eventualmente coinvolti (figli e altri genitori); la predetta comunicazione dovrà essere inviata anche all’altro genitore laddove l’INPS disponga dei relativi contatti telematici.

Si ritiene, pertanto, considerate le circostanze, necessario disporre – essendo la notifica di cui all’art. 166, comma 5, del Codice, incompatibile con la natura e finalità del presente provvedimento – che la predetta comunicazione sia effettuata senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Al fine di agevolare l’assolvimento di tale obbligo anche nei confronti di interessati coinvolti nelle violazioni dei dati personali ma non ancora individuati dall’INPS, l’Ufficio provvederà, contestualmente alla notifica del presente provvedimento, a mettere a disposizione dell’Istituto gli elementi utili allo stato agli atti dell’Autorità.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, ingiunge all’INPS di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti, nei termini di cui in premessa;

2) richiede all’INPS di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

3) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 14 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Fonte: Garante Privacy

1. Qual è la base giuridica per il trattamento dei dati personali anche relativi alla salute nell’ambito delle sperimentazioni cliniche dei medicinali per l’emergenza epidemiologica da COVID-19?

I promotori e i centri di sperimentazione possono trattare dati personali, anche relativi alla salute dei pazienti affetti da Covid-19, per lo svolgimento di sperimentazioni cliniche dei medicinali (quali ad esempio gli studi clinici sperimentali sui medicinali di fase I, II, III e IV, gli studi osservazionali sui farmaci e i programmi di uso terapeutico compassionevole), strettamente necessari per contrastare e studiare la pandemia in corso, sulla base del consenso degli interessati, ovvero di un altro presupposto giuridico, ai sensi dell’art. 9, par. 2 del Regolamento, in conformità al diritto dell’Unione o nazionale per motivi di interesse pubblico rilevante, per motivi di interesse pubblico nel settore della sanità pubblica e per fini di ricerca scientifica (art. 9, par. 2, lett. a), g), i) e j) del Regolamento).

 

2.  Quali adempimenti devono svolgere i promotori e i centri di sperimentazione laddove non sia possibile informare gli interessati?

Quando, a causa di particolari e comprovate ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato oppure rischia di pregiudicare gravemente il conseguimento delle finalità della ricerca e non è quindi possibile acquisire il consenso degli interessati al trattamento dei dati personali, i titolari del trattamento sono tenuti, laddove possibile, a raccogliere tale consenso, previa idonea informativa, presso chi esercita legalmente la potestà di questi ultimi, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato (in analogia con quanto previsto dal punto 4.11.2 delle prescrizioni relative al trattamento dei dati genetici, allegato 4 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, doc. web n. 9124510).
Qualora, per specifiche e comprovate ragioni, non sia possibile acquisire il consenso informato al trattamento dei dati personali, neanche presso terzi, ovvero ciò rischi di pregiudicare gravemente il buon esito della ricerca (si pensi al trattamento di dati riferiti a pazienti defunti o ricoverati in reparti di terapia intensiva), i titolari che intendano svolgere trattamenti di dati personali che riguardano esclusivamente studi sperimentali e gli usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19, non sono obbligati, in forza della normativa relativa alla presente fase emergenziale, alla preventiva sottoposizione del progetto di ricerca, nonché della relativa valutazione di impatto, alla consultazione preventiva del Garante di cui all’art. 110 del Codice in materia di protezione dei dati personali.

 

3. Gli Istituti di ricovero e cura a carattere scientifico (IRCSS) devono acquisire il consenso degli interessati per il trattamento dei dati personali anche relativi alla salute nell’ambito delle ricerche mediche relative al Covid-19 finanziate dal Ministero della salute?

Il Ministero della salute, sulla base della normativa emanata in fase emergenziale, il 1° aprile 2020, ha adottato un bando per invitare gli Istituti di ricovero e cura a carattere scientifico (IRCCS) a presentare progetti di ricerca medica, finanziati attraverso i fondi per la ricerca corrente degli IRCCS, finalizzati a migliorare la comprensione dell’epidemia Covid-19, contribuire a una gestione clinica più efficiente dei pazienti infetti e migliorare le possibilità e l’efficacia dei trattamenti terapeutici a disposizione delle strutture del Servizio Sanitario Nazionale. I trattamenti di dati personali anche relativi alla salute svolti dagli IRCCS beneficiari dei predetti fondi, nell’ambito delle ricerche finalizzate al contrasto della pandemia, possono essere svolti senza il consenso degli interessati, in quanto ineriscono alle funzioni di rilevante interesse pubblico attribuite, tra gli altri, anche ai soggetti del Servizio sanitario nazionale. I predetti IRCSS che trattano dati personali nell’ambito delle ricerche mediche finanziate dal Ministero non devono, pertanto, effettuare gli adempimenti previsti dall’art. 110 del Codice.

Fonte: Garante Privacy

 

1) Le scuole sono tenute ad acquisire il consenso di alunni, genitori e insegnanti per attivare la didattica a distanza?

No. Gli istituti scolastici possono trattare i dati, anche relativi a categorie particolari⁽¹⁾ di insegnanti, alunni (anche minorenni), e genitori nell’ambito delle proprie finalità istituzionali e non devono chiedere agli interessati di prestare il consenso al trattamento dei propri dati, neanche in relazione alla didattica a distanza, attivata a seguito della sospensione delle attività formative delle scuole di ogni ordine e grado. Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro.

 

2) Gli Istituti scolastici devono informare gli interessati in merito ai trattamenti dei dati personali effettuati nelle attività di didattica a distanza?

Sì. Gli istituti scolastici sono tenuti ad assicurare la trasparenza del trattamento informando, con un linguaggio facilmente comprensibile anche dai minori, gli interessati (alunni, studenti, genitori e docenti) in merito, in particolare, ai tipi di dati e alle modalità di trattamento degli stessi, ai tempi di conservazione e alle altre operazioni di trattamento, specificando che le finalità perseguite sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

 

3) La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al COVID 19?

Spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. L’istituto scolastico è tenuto a fornire alle istituzioni competenti, le informazioni necessarie, affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

 

4) Le scuole possono svolgere riunioni dei docenti in video conferenza?

Per effetto della sospensione dell’attività didattica e delle riunioni degli organi collegiali in presenza, sono state attivate modalità di didattica a distanza e il ricorso al lavoro agile con riguardo ai servizi amministrativi. Per le medesime ragioni legate all’emergenza, anche alla luce delle indicazioni del Ministro per la pubblica amministrazione e del Ministero dell’Istruzione, ogni forma di riunione nell’ambito delle attività indifferibili deve essere svolta con modalità telematiche. Il Garante ha già fornito alcune indicazioni alle scuole per orientare scelte consapevoli riguardo alle piattaforme da impiegare, sulla base delle garanzie offerte dai fornitori, in considerazione degli specifici rischi anche per i dati personali dei docenti.

 

(1) Vale a dire i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale.

Fonte: Garante Privacy

1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020^.(1)
In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).
Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.
In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

 

2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati. Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

 

3. È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.
Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

 

4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori. Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)⁽¹⁾. Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo). Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore. In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

 

5. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).
Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

 

6. Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi. Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).
La comunicazione di informazioni reltive alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).
Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

(1) Come aggiornato in data 24 aprile 2020

Fonte: Garante Privacy

1. Come devono essere trattati i dati dei soggetti destinatari dei servizi comunali di supporto alla popolazione attivati per l’emergenza Covid-19?

I servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando, con i canali ritenuti più efficaci, le modalità di attivazione del servizio (ad es. numero verde), senza raccogliere, dunque, gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti.
In primo luogo, infatti, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi, poiché tali esigenze potrebbero, ad esempio, essere assolte dalla famiglia o da altre reti sociali scelte dall’interessato.
In secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio o non possono usufruire di reti familiari o sociali (anziani, invalidi, malati cronici).

 

2. Come devono essere trattati i dati dei soggetti destinatari dei contributi economici comunali?

Ai fini dell’attribuzione delle risorse economiche ai soggetti che versano in condizioni di difficoltà economiche nel contesto dell’emergenza Covid-19, i Comuni hanno predisposto dei moduli con cui autocertificare il possesso dei requisiti previsti per ottenere le misure di sostegno. Tali moduli devono prevedere la raccolta dei soli dati indispensabili alla verifica dei presupposti (es. reddito, fruizione di altri aiuti, composizione nucleo familiare, etc.) e non anche informazioni non necessarie o non pertinenti per ottenere il beneficio richiesto.
Con specifico riferimento ai cd. buoni spesa, alcuni bandi rivolti agli esercizi commerciali prevedono il rimborso del valore nominale dei buoni a fronte della presentazione, da parte degli esercenti, di adeguata documentazione giustificativa (es. buoni spesa in originale e/o gli scontrini fiscali per cui il rimborso è richiesto).
In tale ipotesi, piuttosto che presentare direttamente gli scontrini con i dettagli di spesa, si ritiene preferibile che l’esercizio commerciale presenti un’autodichiarazione sulla conformità dell’utilizzo dei buoni di cui chiede il rimborso, con contestuale impegno a conservare gli scontrini per gli eventuali controlli che il Comune riterrà di effettuare. In tal modo si evita la produzione sistematica di documentazione di dettaglio che, associata all’identità del beneficiario del buono, comporterebbe la comunicazione di dati personali, anche di natura particolare (ad es. acquisti di prodotti alimentari specifici, etc.).

 

3. Possono essere pubblicati i dati relativi ai destinatari di contributi di natura economica o di altri benefici (es. buoni spesa)?

La normativa sulla trasparenza stabilisce l’obbligo di pubblicazione, fra l’altro, dei nominativi dei soggetti destinatari in generale di benefici economici superiori a mille euro nel corso dell’anno solare (quali sovvenzioni, contributi, sussidi o altri vantaggi economici), fermo restando il divieto di diffusione di nel caso in cui da tali dati “sia possibile ricavare informazioni relative allo stato di salute [o] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013).
Si tratta di un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali degli interessati, al fine di evitare che soggetti in condizioni disagiate – economiche o sociali – soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi della particolare situazione personale.
Nel caso di benefici economici superiori a mille euro nell’anno solare, spetta all’ente locale, titolare del trattamento, valutare quando le informazioni di contesto rivelino dati sulla salute ovvero l’esistenza di un disagio economico o sociale dell’interessato e non procedere, di conseguenza, alla pubblicazione di dati o altre informazioni idonee ad identificarlo. In ogni caso, nel rispetto del principio di minimizzazione dei dati rispetto alla finalità perseguita, non risulta giustificato pubblicare dati quali, l’indirizzo di abitazione o la residenza, il codice fiscale, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell’equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc.

 

4. È possibile diffondere i dati identificativi delle persone positive al Covid-19 o che sono state poste in isolamento?

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.
Pertanto, le aziende sanitarie, le prefetture, i comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia o per il contrasto di “fake news”.

 

5. Chi può trattare i dati dei soggetti in isolamento per verificare il rispetto di tale misura?

L’attività di sorveglianza sanitaria dei soggetti posti in isolamento domiciliare consiste in un intervento di sanità pubblica, che deve essere realizzato da operatori sanitari in grado di valutare, in relazione alle condizioni di salute del soggetto, gli interventi sanitari più opportuni. Le disposizioni d’urgenza adottate pongono infatti in capo a “l’operatore di sanità pubblica” l’obbligo di provvedere “a contattare, quotidianamente, per avere notizie sulle condizioni di salute, la persona in sorveglianza” (art. 3, comma 6, d.p.c.m. 8 marzo 2020; art. 2, comma 6, d.p.c.m. 4 marzo u.s.).
Le prefetture, che hanno il compito di controllare che la misura dell’isolamento domiciliare sia effettivamente rispettata, possono avvalersi delle forze di polizia, deputate -eventualmente- anche ad adottare i provvedimenti sanzionatori connessi al mancato rispetto delle predette misure di isolamento.
Le forze di polizia locale possono venire a conoscenza dei dati identificativi dei soggetti posti in isolamento, qualora la Prefettura deleghi loro la predetta attività di controllo. In tal caso, la Prefettura potrà comunicare alla polizia locale insistente sul territorio comunale, i dati dei soggetti nei cui confronti ha delegato l’attività di controllo sul rispetto della misura di isolamento domiciliare.

 

6. Quali dati personali possono essere trattati dalla polizia locale nell’ambito dei controlli su strada?

La verifica sull’attuazione delle misure emergenziali è assicurata dalle Prefetture avvalendosi delle Forze di polizia, tra le quali la polizia locale (artt. 3 e 5 l. n. 65/1986).
Il personale di polizia locale preposto ai controlli su strada deve anche assicurare il rispetto delle restrizioni dei movimenti delle persone sul territorio, effettuando il controllo delle autodichiarazioni, rese dai cittadini, provvedendo anche all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative o, nei casi più gravi, alla trasmissione delle notizie di reato alle autorità competenti.
Gli accertamenti sulla veridicità delle dichiarazioni – rese ai sensi degli artt. 46 e 47 del d.P.R. 445/2000 sul modello ministeriale – riguardano anche la dichiarazione di “non essere sottoposto alla misura della quarantena ovvero di non essere risultato positivo al COVID-19” e devono poter essere effettuati, da tutte le forze di polizia, sui dati aggiornati tenuti dalle Aziende sanitarie competenti.  In ragione della gravità delle conseguenze che possono derivare agli interessati dall’esisto di tali verifiche, della temporaneità delle misure di isolamento e della variabilità delle stesse (per es. a seguito di tampone negativo), tali controlli devono essere necessariamente effettuati con modalità che garantiscano l’esattezza dei dati e il loro aggiornamento. Devono, pertanto, essere implementate soluzioni che consentano a tutte le Forze di polizia la possibilità di interrogare puntualmente i predetti elenchi con riferimento alla presenza della misura dell’isolamento domiciliare nei confronti del soggetto controllato. Nulla osta che tale interrogazione sia fatta presso ciascuna delle strutture sanitarie dislocate sul territorio ovvero, in modo coordinato, presso un ufficio a ciò deputato della Prefettura.

 

7. Quali dati personali possono essere trattati per la gestione del servizio di raccolta domiciliare dei rifiuti?

Qualora i Comuni intendano istituire un servizio di raccolta domiciliare dei rifiuti prodotti dai soggetti posti in isolamento domiciliare, come suggerito dall’Istituto Superiore della Sanità (rapporto n. 3/2020), tale servizio può essere attivato a richiesta degli interessati.
Tale modalità consentirebbe di raggiungere la finalità di raccolta domiciliare, limitando i rischi connessi alla circolazione degli elenchi contenenti dati sulla salute degli interessati, oltre che all’interno degli enti locali, anche tra i soggetti privati che erogano i servizi comunali, nonché quelli relativi al loro mancato aggiornamento.
Tale soluzione lascia, tra l’altro, agli interessati la facoltà di decidere se usufruire di tale servizio, oppure continuare a provvedere personalmente al conferimento dei rifiuti (per il tramite delle reti familiari), nel rispetto delle raccomandazioni fornite dall’Istituto Superiore di Sanità.

Fonte: Garante Privacy