Archivio

Regolamento Europeo

9 Lug 2020

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Il caso

La banca si avvale di una società terza per la gestione delle pratiche di finanziamento per la cessione del quinto dello stipendio.

Utilizzando le credenziali di accesso dei dipendenti autorizzati di questa terza parte, ignoti – profittando di una vulnerabilità dell’applicativo di gestione delle pratiche – effettuano accessi abusivi a quelle di oltre 760 mila clienti, relative a istanze di finanziamento sia per cessione del quinto sia per credito al consumo. Gli accessi abusivi avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

Violazione delle misure minime di sicurezza

L’accertamento ispettivo e l’istruttoria evidenziano che l’esfiltrazione dei dati personali dei clienti da parte di ignoti malintenzionati era stata resa possibile grazie a «un’errata progettazione del sistema di autorizzazione dell’applicativo» di gestione delle pratiche di finanziamento. A causa di ciò, «gli operatori potevano accedere a una qualsiasi pratica di finanziamento (sia di “prestito al consumo” che di “cessione del quinto dello stipendio”) (…) indipendentemente dal profilo di autorizzazione a loro attribuito». In tal modo la banca si è resa responsabile della carente adozione di un adeguato sistema di autorizzazione come previsto dal disciplinare tecnico, allegato B) al codice privacy (regole 12 e 13).

Codice Privacy

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Sanzione

Sulla base delle violazioni riscontrate, l’Autorità ha irrogato la sanzione pecuniaria complessiva di 600.000 euro calcolata come segue:

  • euro 120.000 per la violazione delle misure minime di sicurezza (art. 162.2, in relazione all’art. 33)
  • euro 180.000 per le trasgressioni relative al provvedimento 192/2011 [art. 162.2-ter, in relazione all’art. 154.1, lett. c)]
  • euro 300.000 in applicazione dell’art. 164-bis.2, considerato l’ingente numero di interessati coinvolti.

(Fonte Garante Privacy)

8 Lug 2020

L’Autorità Garante Privacy, interviene aggiornando le FAQ Covid 19, sull’uso di app di contact tracing e dispositivi in ambito aziendale.

In merito al “contact tracing“, l’Autorità fa presente che l’app dovrà essere disciplinata dall’art. 6, d.l. 30.4.2020, n. 28 (Sistema di allerta Covid-19).

Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?

La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.

Secondo punto delle FAQ. Applicativi utilizzati in azienda che non trattano dati.

Gli applicativi, per esempio, utilizzati per la misurazione della temperatura o che consentono l’accesso in azienda a persone con la mascherina, possono essere utilizzate senza registrazione dei dati. In questo caso, il titolare del trattamento, dovrà dimostrare, secondo il principio dell’accountability, il rispetto delle misure adottate e perchè l’applicativo sia necessario per certe finalità.

Al fine di contenere il rischio di contagio sul luogo di lavoro sono disponibili applicativi che non trattano dati personali?

Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.

Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione). In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.

(Fonte Garante Privacy)

 

23 Giu 2020

Servizi sociali e scuola nell’emergenza COVID.
Sicurezza e trattamento dei dati.

Evento organizzato dall’Associazione Comuni Bresciani

Data: 22 luglio 2020

Ora: 10.00 – 12.00

Le iscrizioni vanno formalizzate entro il 15/07/20 tramite il portale: www.associazionecomunibresciani.eu/elenco-corsi/

Relatore:
Mario Mazzeo, Avvocato in Roma e D.P.O.
Patrizia Meo, consulente privacy e D.P.O.

Live webinar: contenuti del corso

  • Privacy: concetti e principi fondamentali
  • La privacy al tempo del Covid: le semplificazioni in materia di trattamento dati personali
  • Servizi sociali e privacy: contattare e aiutare gli utenti, le cautele nel trattamento dei dati relativi alla salute e le sovvenzioni economiche
  • La privacy a scuola: Covid, lezioni a distanza e sicurezza

1 Giu 2020

Attacco hacker all’ospedale “San Raffaele” di Milano, nonostante i tentativi dell’ospedale di minimizzare l’accaduto.

L’accaduto è stato divulgato attraverso un tweet degli hacker di LulzSec Ita, che  ha apportato anche prove dell’accaduto, con un dump dei dati di utenti e pazienti dell’ospedale. La domanda fatta da parte del collettivo hacker: “avete comunicato al Garante il databreach di due mesi fa?”.

I dump rivelati da Anonymous Italia e LulzSec Ita, però, sembrerebbero contenere non soltanto indirizzi e-mail e password di alcuni operatori sanitari, 2.400 indirizzi email accompagnati dalle relative password appartenenti ai sanitari e un elenco di nomi, cognomi, date di nascita, codice fiscale, nazionalità e comune di residenza di oltre 600 pazienti. Tra queste la password di Roberto Burioni: è nome.cognome.

Purtroppo, l’ospedale non ha comunicato all’Autorità Garante Privacy l’accaduto, né secondo gli hacker avrebbe chiuso le falle. Tanto che l’ospedale stesso nega di dover intervenire e che sia un data breach. In primo momento, avevano comunicato che i dati riguardavano una app “dismessa da anni e circoscritta” e dunque la sottrazione delle informazioni era limitata a password e utenze non più in uso. La stessa nota ufficiale aveva categoricamente escluso che “dati sensibili” erano stati oggetto di accesso abusivo o sottrazione.

(Fonte La Repubblica)

23 Mag 2020

1. Misurazione della temperatura, test sierologici

2. Smartworking: essere smart al tempo del Covid19

Evento organizzato dall’Associazione Comuni Bresciani

Ora: 15.00 – 16.00

Le iscrizioni vanno formalizzate tramite il portale: www.associazionecomunibresciani.eu/elenco-corsi/

Relatore:
Patrizia Meo, consulente privacy e D.P.O.

Live webinar: contenuti degli incontri

Lunedì 25 maggio 2020
Misurazione della temperatura, test sierologici e App, cosa fare in pratica.
La tutela dei dati e l’emergenza Covid
Le indicazione del Garante Privacy

 

Mercoledì 3 giugno 2020
Smartworking: essere smart al tempo del Covid19.
Cos’è lo smarworking;
Tutela della privacy e controllo del dipendente;
Le misure di sicurezza e utilizzo degli strumenti per l’esecuzione della prestazione lavorativa;
Linee guida Agid per lavorare in sicurezza.

17 Mag 2020

Il 12 maggio, il Garante per la protezione dei dati personali, su sollecitazione dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001, ha espresso il suo parere sulla qualificazione soggettiva ai fini privacy degli OdV, definendo una questione controversa.

Gli OdV sono gli organi ai quali l’ente, ossia la persona giuridica, la società o l’associazione affida, nel rispetto della disciplina sulla responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.

Nella risposta ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza, il Garante ha infatti chiarito che il Gdpr (Regolamento Ue 679/2016) si pone in linea di continuità con quanto già previsto dalla Direttiva europea sulla privacy del 1995 in relazione alla definizione del ruolo di titolare e responsabile del trattamento: il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo è colui che “tratta dati personali per conto del titolare del trattamento”.

Il parere chiarisce che l’Organismo di Vigilanza (ODV) non può essere qualificato come titolare, considerato che i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza. Non può essere considereto neanche responsabile del trattamento,in quanto fa parte dello stesso ente, pertanto può essere considerato soggetto chiamato ad effettuare un trattamento “per conto del titolare”.

Sulla base di questa considerazioni, sia che i membri siano interni o esterni, l’ODV deve essere considerato parte dell’ente.

Il suo ruolo – che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” – si svolge nell’ambito dell’organizzazione dell’ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti.

In merito al ruolo dei singoli membri che lo compongono, gli stessi saranno designati quali soggetti autorizzati al trattamento e dovranno attenersi alle istruzioni impartite dall’ente quale titolare, (artt.4, n.10,29,32 par.4Regolamento; v. anche art.2-quaterdecies del Codice).

Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall’art.5 del Regolamento. Lo stesso titolare sarà tenuto ad adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.

(Fonte Garante Privacy)

14 Mag 2020

L’autorità Garante Privacy interviene con delle indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private, che chiariscono i presupposti per l’effettuazione dei test sierologici per il Covid-19 sul posto di lavoro.

Nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica. Solo il medico del lavoro infatti, nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici. E sempre il medico competente può suggerire l’adozione di mezzi diagnostici, quando li ritenga utili al fine del contenimento della diffusione del virus, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche riguardo alla loro affidabilità e appropriatezza.

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Infine, il Garante ha chiarito che la partecipazione agli screening sierologici promossi dai Dipartimenti di prevenzione regionali nei confronti di particolari categorie di lavoratori a rischio di contagio, come operatori sanitari e forze dell’ordine, può avvenire solo su base volontaria. I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare).

Nel dettaglio la risposta al quesito.

Il datore di lavoro può richiedere l’effettuazione di test sierologici ai propri dipendenti?

Si, ma solo se disposta dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.

Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici  e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020).

Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Resta fermo che i lavoratori possono liberamente aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19, di cui siano venuti a conoscenza anche per il tramite del datore di lavoro, coinvolto dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti (cfr. FAQ n. 10 – Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria).

I datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame.

(Fonte Garante Privacy)

 

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19

seguici sulla pagina FB www.facebook.com/patriziameoconsulenteprivacy/

4 Mag 2020

FAQ -Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria

1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020.(1)

In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).

Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.

In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.

Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).

In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

3. È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.

Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)(1).

Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo).

Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

5. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.

In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).

Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

6. Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).

La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).

Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

(1) Come aggiornato in data 24 aprile 2020

(Fonte Garante Privacy)

 

24 Apr 2020

Il Comitato Europeo per la protezione dei dati, ha pubblicato le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 (versione in italiano sul sito del Garante Privacy).

Le linee guida ribadiscono che lo sviluppo delle app suscita “numerose preoccupazioni in materia di tutela della vita privata” e ribadisce che “il virus non conosce confini, appare preferibile sviluppare un approccio comune europeo in risposta alla crisi attuale, o almeno realizzare una cornice di interoperabilità”.

Il Comitato ribadisce e sottolinea quanto già espresso nella lettera di risposta alla Commissione europea (14 aprile), ossia che l’impiego di app per il tracciamento dei contatti dovrebbe avvenire su base volontaria e non comportare il tracciamento degli spostamenti individuali, facendo invece perno sulle informazioni di prossimità relative agli utenti. Per dati di ubicazione, utilizzare dati anonimi piuttosto che di dati personali.

È necessario tenere conto del rispetto dei principi generali di efficacia, necessità e proporzionalità che deve essere alla base delle misure adottate dagli Stati membri per combattere l’epidemia, e che comportano il trattamento di dati personali.

Il Comitato ha aggiunto che le “app non possano sostituire, ma solo supportare, il tracciamento manuale dei contatti effettuato da personale sanitario pubblico qualificato, che potrà stabilire con quale probabilità contatti ravvicinati diano luogo a una trasmissione del virus o meno (ad esempio, in caso di interazioni con una persona protetta da un adeguato equipaggiamento, come può avvenire ad esempio per un addetto alla cassa di un supermercato ecc.)”.

Inoltre, sottolinea che “le procedure e i processi, compresi gli algoritmi implementati dalle app per il tracciamento dei contatti, dovrebbero svolgersi sotto la stretta sorveglianza di personale qualificato al fine di limitare il verificarsi di falsi positivi e negativi. In particolare, le indicazioni fornite in merito ai passi da compiere successivamente alla ricezione di un alert non dovrebbero basarsi unicamente su un trattamento automatizzato”.

Fonte Garante Privacy

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19

seguici sulla pagina FB www.facebook.com/patriziameoconsulenteprivacy/

19 Apr 2020

Uffici chiusi, esigenza di comunicare con i clienti, restare a casa. Per continuare a comunicare all’esterno, ci si è affidati all’uso di tecnologie e strumenti, portando l’ufficio a casa. Le azienda a seguito dell’emergenza del coronavirus, hanno utilizzato lo smart working, ovvero il lavoro agile.

Se da un lato, il ricorso a questa modalità di lavoro, implica un accordo tra dipendente e datore di lavoro, dall’altro comporta l’uso di dispositivi informatici, che vanno regolamentati e gestiti in maniera sicura, per garantire la sicurezza informatica aziendale. L’attivazione dello smart working è stata semplificata, ma il datore di lavoro dovrà in ogni caso riflettere su alcuni aspetti organizzativi, tra cui il fatto che i lavoratori in smart working tratteranno informazioni e dati di proprietà dell’azienda.

Nella fretta di attivare le postazioni da casa, in pochi si sono chiesti quali misure di sicurezza porre in essere e come dare la giusta attenzione alla sicurezza delle informazioni.

Aumentano i rischi informatici.

Il lavoratore si è trovato ad utilizzare strumenti informatici, come pc o smartphone, aziendali o sistemi personali. In alcuni casi, un pc condiviso in famiglia con i figli, che lo utilizzano per lezioni online.

Ma la domanda da porsi è questa: i dati aziendali sono al sicuro?

Le aziende che già adottavano un regime di smart working, presumibilmente avevano già implementato strumenti per rispondere pienamente a tutte le necessità di questa modalità lavorativa. Pertanto, per i dipendenti avrebbero dovuto predisporre l’utilizzo di dispositivi, con applicativi pronti per una fruizione remota, dispositivi telefonici virtuali (software) adeguati allo scopo, portali per la gestione del tempo lavorativo (rilevazione presenze, ecc.). Nel contempo dovrebbero aver definito regolamenti per l’utilizzo degli strumenti aziendali o misure di sicurezza tecniche.

Tra le criticità emerse per le aziende che non hanno pensato alle misure di sicurezza, possiamo pensare alle connessioni di rete (ADSL, WiFi, ecc.) per le quali non si sono modificati i parametri standard (incluse le password amministrative, disponibili con una semplice ricerca su Google). Oppure la mancanza di sistemi antivirus.

Controllo dei dipendenti

Lo smartworking, pone un altro problema, perchè questa modalità di lavoro aumenta il rischio di un ingresso del datore di lavoro nella vita personale del lavoratore.  Pertanto, il datore di lavoro dovrà essere in grado di dimostrare come l’utilizzo delle tecnologie informatiche non rientra in un’attività di controllo del lavoratore. Non dimentichimo che l’art. 4 dello Statuto dei lavoratori, prevede al comma III la possibilità di raccogliere le informazioni mediante gli strumenti utilizzati per rendere la prestazione di lavoro e di poterne disporre per tutti i fini connessi al relativo rapporto, purché sia stata fornita adeguata informazione al lavoratore sulle modalità d’uso dei dispositivi stessi e sui possibili controlli, il tutto nel rispetto dei principi sanciti dalla normativa vigente in tema di privacy.

Cosa Fare

Se l’azienda decide di autorizzare il lavoratore a lavorare in questa modalità, occorre che fornisca ai dipendenti:

  • istruzioni operative sulle modalità di utilizzo degli strumenti di lavoro e sugli obblighi di riservatezza
  • se e quali strumenti di controllo ha attivato sui device forniti al dipendente
  • un’informativa sul trattamento dei dati per il dipendente in smartworking.

 

Potrebbe interessarti:  Smart working: vademecum per lavorare online in sicurezza – AGID

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19”
www.patriziameo.it o pagina FB www.facebook.com/patriziameoconsulenteprivacy/

Scrivi all’indirizzo mail: info@patriziameo.it