Informativa sulla privacy per l'amministrazione digitale delle vaccinazioni in Baviera - Ministero della Salute bavarese
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Ministero della
Salute bavarese
Informativa sulla privacy
per l’amministrazione
digitale delle vaccinazioni
in BavieraInformativa sulla privacy
per l’amministrazione digitale
delle vaccinazioni in Baviera
(Versione aggiornata al 14.10.2021)Sommario
1. C
hi fornisce il servizio è chi è titolare del trattamento? 5
1.1 Chi è possibile contattare per qualsiasi chiarimentoin materia di
protezione dei dati personali? 6
2. Quali sono lo scopo e l’obiettivo di questa applicazione? 6
3. Che cosa sono i dati personali? 7
4. Quali sono i dati personali dell’utente trattati? 7
4.1 Registrazione e appuntamento 7
4.1.1 Registrarsi per la vaccinazione tramite il modulo web 7
4.1.2 R egistrarsi per la vaccinazione t elefonicamente 7
4.1.3 Prendere appuntamento per la vaccinazione 7
4.1.4 Creazione di vaccinazioni di serie 8
4.2 Vaccinazione e fasi successive 9
4.3 Per chi lavora presso il centro vaccinale 9
4.4 Come ottenere un certificato vaccinale digitale 9
5. Qual è la base giuridica per il trattamento dei
dati attraverso l’applicazione? 10
6. Inoltriamo i dati personali a terzi? 11
6.1 R
esponsabile del trattamento dei dati e servizi esterni 11
6.1.1 G estione e manutenzione dell’applicazione “BayIMCO”
(compreso il back-end e l’emissione del certificato vaccinale digitale) 11
6.1.2 Invio di messaggi e-mail e SMS 12
6.1.3 C reazione dello pseudonimo per la trasmissione di dati pseudonimizzati
al Robert Koch Institut 12
6.1.4 A rchiviazione dell’amministrazione digitale delle vaccinazioni
(anagrafe vaccinale) per i centri vaccinali o team vaccinali mobili, a cura
dell’Ufficio di Stato bavarese per la salute e la sicurezza alimentare (LGL) 12
6.2 Inoltro e ulteriore trattamento dei dati pseudonimizzati nonché,
su r ichiesta del vaccinato, di dati non pseudonimizzati 12
6.2.1 Robert Koch Institut (RKI) 12
6.2.2 Ufficio di Stato bavarese per la salute e la sicurezza alimentare (LGL) 12
6.2.3 Ai fini della ricerca scientifica 12
7. Quando vengono cancellati i dati dell’utente? 13
7.1 L
’applicazione “BayIMCO” 13
7.2 Anagrafe vaccinale digitale 13
7.3 Documenti sanitari 14
7.4 Banca dati per la presa di contatto ai fini della ricerca scientifica 14
8. Quali sono i diritti dell’utente? 14
8.1 Diritto di informazione 14
8.2 Diritto di rettifica 14
8.3 Diritto di cancellazione 14
8.4 Diritto alla limitazione del trattamento 14
8.5 Portabilità dei dati 14
8.6 Diritto di opposizione 15
8.7 S
ussistere del diritto di reclamo presso l’Autorità di controllo 151. C
hi fornisce il servizio è chi è titolare del tratta-
mento?
L’applicazione “BayIMCO” (di seguito menzionata in breve come “applicazione”) è fornita dal Mini-
stero della Salute bavarese:
Ministero della Salute bavarese
Haidenauplatz 1
81667 Monaco di Baviera
Telefono: +49 89 540233-0
Fax: +49 89 540233-90999
Gewerbemuseumsplatz 2
90403 Norimberga
Telefono +49 911 21542-0
Fax: +49 911 21542-90999
E-mail: poststelle@stmgp.bayern.de
Il GDPR (Regolamento Ue sulla protezione dei tori qualora l’interessato intenda far valere i pro-
dati) garantisce la protezione dei dati personali pri diritti (v. cap. 8).
dell’utente. Ai sensi del GDPR, titolare del tratta-
mento dei dati è il Ministero della Salute bavare- I pronomi “noi” o “ci” riportati nel testo di segui-
se (StMGP); Esso tuttavia non è l’unico. Il Mini- to si riferiscono pertanto al Ministero e al centro
stero incarica infatti di effettuare le vaccinazioni i vaccinale o team vaccinale mobile di volta in vol-
centri vaccinali locali o i team vaccinali mobili ta competente. Il gestore del centro vaccinale o
presenti nei circondari e nelle città extra circon- del team vaccinale mobile varia in funzione della
dariali bavaresi (vedi art. 3 par. 1 comma 1 punto scelta operata dall’utente circa la sede prescelta
2 dell’Ordinanza sulla vaccinazione anti-Covid, per ricevere il vaccino. L’elenco dei centri vacci-
versione aggiornata al 30.08.2021). Ai sensi nali bavaresi è disponibile alla pagina
dell’art. 26 del GDPR, i centri vaccinali e il Mini- https://www.stmgp.bayern.de/coronavirus/
stero della salute bavarese sono “contitolari del impfung/. L’elenco riporta i responsabili dei cen-
trattamento dei dati”; in tale contesto, il Ministe- tri vaccinali, i referenti e i recapiti del Responsa-
ro della Salute bavarese garantisce e ha la re- bile per la protezione dei dati.
sponsabilità degli strumenti tecnici e delle relati-
ve misure tecniche e organizzative volte alla Abbiamo molto a cuore la tutela dell’utente e la
protezione dei dati e della privacy dell’utente, protezione dei suoi dati. Scopo dell’applicazione
nonché della comunicazione dei dati relativi è offrire pertanto la possibilità di prendere ap-
all’intero territorio bavarese ai sensi del diritto fe- puntamento per la vaccinazione anti Covid-19. In
derale tedesco (Robert Koch-Institut e Paul-Ehr- tale contesto ci atteniamo alle disposizioni del
lich-Institut). I gestori dei centri vaccinali e i team GDPR, della Legge bavarese sulla protezione dei
vaccinali mobili a loro volta operano con i dati dati, della Legge federale sulla protezione dei
dell’utente e sono titolari del trattamento presso dati, dell’Ordinanza federale sulla vaccinazione
i centri vaccinali, fungendo pertanto da interlocu- anti-Covid e dell’Ordinanza regionale sull’obbligo
5di segnalazione relativa alle vaccinazioni anti Co- La pagina riporta inoltre i recapiti del Responsa-
vid-19. bile per la protezione dei dati personali. Il nome e
l’indirizzo del rispettivo gestore del centro vacci-
La presente informativa sulla privacy illustra i dati nale locale o del team vaccinale mobile nonché i
personali oggetto del trattamento e lo scopo del- recapiti del Responsabile per la protezione dei
lo stesso, le basi giuridiche del trattamento e i dati personali presso il gestore del centro sono
diritti dell’interessato che utilizza l’applicazione. esposti sul posto.
1.1 Chi è possibile contattare per qualsiasi Responsabile della applicazione è il Ministero
chiarimentoin materia di protezione dei della Salute bavarese, Haidenauplatz 1, 81667
dati personali? Monaco di Baviera e Gewerbemuseumsplatz 2,
Titolare del trattamento dei dati in loco è il 90403 Norimberga. È possibile contattare il Re-
gestore del centro vaccinale competente o del sponsabile per la protezione dei dati personali
team vaccinale mobile, consultabile alla pagina agli indirizzi sopra indicati o via mail all’indirizzo
https://www.stmgp.bayern.de/coronavirus/ datenschutzbeauftragter@stmgp.bayern.de.
impfung/.
2. Quali sono lo scopo e l’obiettivo di questa
applicazione?
Al fine di supportare la gestione dei centri vacci- Il trattamento dei dati all’interno dell’anagrafe
nali anti-Covid 19 bavaresi, il Ministero della Sa- vaccinale digitale dell’Ufficio di Stato LGL avvie-
lute bavarese mette a disposizione l’applicazione ne successivamente alla prima vaccinazione.
“BayIMCO”, che amministra gli appuntamenti e Una volta che l’utente ha prestato consenso a
le vaccinazioni anti Covid-19. L’applicazione con- essere contattato ai fini della ricerca scientifica,
sente di raccogliere i dati personali delle cittadi- segue l’immediata trasmissione dei suoi recapi-
ne e dei cittadini che intendono vaccinarsi me- ti. La messa in sicurezza centralizzata dei dati
diante un apposito modulo web, allo scopo di bavaresi presso l’anagrafe vaccinale digitale ga-
fissare e confermare l’appuntamento. L’applica- rantisce l’accesso ai dati digitali anche una volta
zione amministra pertanto i dettagli relativi alla che l’attività dei centri vaccinali o team vaccinali
vaccinazione e consente al personale addetto di mobili sarà conclusa. I centri vaccinali o team
programmare ed effettuare le vaccinazioni. I dati vaccinali mobili trasmettono inoltre dati pseudo-
digitali raccolti con l’applicazione vengono a se- nimizzati all’Ufficio di Stato LGL al fine di con-
guire pseudonimizzati all’interno dell’anagrafe sentire il monitoraggio delle vaccinazioni, in par-
vaccinale presso l’Ufficio di Stato bavarese per ticolare per quanto riguarda gli effetti collaterali e
la salute e la sicurezza alimentare (LGL) per con- la possibile infezione contratta nonostante la
to dei centri vaccinali bavaresi; ciò per consentire vaccinazione (Monitoraggio delle vaccinazioni in
agli stessi di evadere questioni relative alla re- Baviera). L’accesso ai dati non più pseudonimiz-
sponsabilità, all’esercizio dei diritti dell’interessa- zati è consentito unicamente in singoli casi moti-
to ed eventualmente di tracciare i lotti di vaccino. vati (vedi anche il capitolo 5).
63. Che cosa sono i dati personali?
Per dati personali si intendono tutte le informa- descrive come “categorie particolari di dati per-
zioni riferite a una persona fisica identificata o sonali” (v. art. 9 del GDPR). Sono considerati dati
identificabile. Obiettivo principale dello sviluppo sensibili, ad esempio, i dati sanitari, che vanno
di questa applicazione era salvare la minor quan- trattati con cautela ancora maggiore.
tità di dati personali possibile. Infatti, quante
meno persone hanno accesso ai dati dell’utente, Illustriamo di seguito i dati oggetto di trattamen-
tanto maggiore sarà la tutela della privacy e tanto to, i destinatari dell’eventuale inoltro e la base
minore il rischio di una violazione dei dati. giuridica di tali operazioni.
Oltre ai “normali” dati personali, esistono poi i
dati comunemente definiti “sensibili”. Il GDPR li
4. Quali sono i dati personali dell’utente trattati?
4.1 Registrazione e appuntamento re consenso anche alla combinazione dei recapi-
ti con i dati sanitari.
4.1.1 Registrarsi per la vaccinazione tramite
il modulo web I dati sanitari indicati in fase di registrazione non
Per effettuare l’iscrizione via modulo web è ne- vengono salvati nel quadro della registrazione
cessario creare un account. A tale scopo è ne- all’app “BayIMCO”. Essendo venute meno le
cessario inserire un nome utente e una pas- priorità, l’assegnazione degli appuntamenti ora si
sword. La password viene crittografata e non è basa unicamente sulla data di registrazione
pertanto decifrabile. È necessario inoltre indicare dell’utente.
un indirizzo e-mail al quale sarà inviato un link di
attivazione account. 4.1.2 R egistrarsi per la vaccinazione
telefonicamente
I dati da fornire per la creazione dell’account Se si preferisce effettuare la registrazione telefo-
sono i seguenti: nicamente anziché via Internet, i dati raccolti sa-
● identità (tra cui nome, data di nascita, sesso) ranno i medesimi, fatta eccezione per i dati di
● residenza (tra cui via, CAP, località) creazione account (nome utente e password).
● recapiti (tra cui indirizzo e-mail, numero di Come nel caso della registrazione online, una
telefono) volta avvenuta l’identificazione saranno chiesti i
● dati sanitari (controindicazioni) significativi ai recapiti, la residenza e lo stato di salute. Tali dati,
fini della vaccinazione. fatta eccezione per la controindicazione, saranno
raccolti e salvati nell’app “BayIMCO”.
Salviamo inoltre la data di registrazione e l’even-
tuale consenso prestato dall’utente a essere 4.1.3 Prendere appuntamento per la
contattato allo scopo di ulteriori ricerche legate vaccinazione
alla Covid-19. Per l’ordine di assegnazione degli appuntamenti,
il centro vaccinale prescelto ora si basa unica-
In presenza del consenso, nel momento in cui mente sulla data di registrazione della persona
verrà contattato, all’utente sarà chiesto di presta- da vaccinare.
7Una volta effettuata la registrazione, l’utente po- vuto due dosi di vaccino Vaxzevria® AstraZene-
trà scegliere se essere contattato via mail, SMS ca o una dose di vaccino COVID-19i Janssen®
o telefonicamente non appena sarà disponibile dell’azienda Janssen Cilag International/John-
una data per la vaccinazione. In questa fase, ver- son&Johnson o che abbiano ricevuto una dose
ranno fatte domande circa le seguenti controin- di vaccino a vettore virale in seguito a un’infezio-
dicazioni: ne conclamata da nuovo Coronavirus.
● Negli ultimi 6 mesi le è stata diagnostica
tramite esami di laboratorio la malattia 4.1.4 Creazione di vaccinazioni di serie
COVID-19? Qualora desideri essere vaccinato nel quadro di
● È in gravidanza? una vaccinazione di serie del personale o dei re-
sidenti di strutture di ricovero permanente, l’u-
Questi dati sanitari tuttavia non vengono raccolti tente è pregato di iscriversi presso la rispettiva
né salvati in fase di registrazione all’applicazione struttura. In tal caso la struttura provvederà a
BayIMCO, bensì fungono unicamente da ele- fornire materiale informativo (consenso, vade-
mento di riferimento per la decisione sul consen- mecum sulla vaccinazione, informativa sulla pri-
tire o meno la vaccinazione. vacy). Segnalando la disponibilità alla vaccinazio-
ne alla rispettiva struttura, l’utente presta
Per garantire una prima protezione vaccinale consenso alla trasmissione al centro vaccinale o
sufficiente, è necessario somministrare due dosi al team vaccinale mobile, da parte della struttura
di vaccino a una distanza di tempo determinata stessa, dei seguenti dati:
dalla Commissione vaccinale permanente (fatta ● Nome e cognome
eccezione per il vaccino Johnson & Johnson, a ● Sesso
dose unica o in caso di infezione da Coronavirus ● Data di nascita
contratta in precedenza). Nel caso non abbia ef- ● e l’eventuale presenza di un tutore legale.
fettuato la registrazione nell’applicazione ma ab-
bia già ricevuto la prima dose, l’utente deve for- Ciò è necessario per consentire al centro vacci-
nire informazioni sulla prima vaccinazione. Tali nale di somministrare il vaccino presso la struttu-
dati vengono salvati nella banca dati insieme alla ra a opera di un team mobile. L’utente ha la facol-
richiesta dell’utente di ricevere un promemoria tà di revocare il consenso all’inoltro dei dati da
per l’appuntamento successivo (via mail o SMS). parte della struttura fino al momento della tra-
smissione di detti dati al team vaccinale mobile.
I richiami sono proposti in un’ottica di preven- Il consenso all’inoltro dei dati al team vaccinale
zione per le persone che, una volta completato il mobile a opera della struttura non è legato al
ciclo vaccinale, presentino una risposta immuni- consenso alla vaccinazione ai sensi del diritto ci-
taria insufficiente o di breve durata. vile e penale. Il trattamento dei dati in occasione
del richiamo vaccinale avviene ai sensi delle nor-
Nello specifico rientrano tra dette i residenti me di legge contemplate al capitolo 5.
presso strutture di assistenza, strutture per disa-
bili e altre strutture che ospitano fasce di popola- Una volta che l’utente si sarà registrato per la
zione vulnerabile, soggetti affetti da immunode- vaccinazione, i suoi dati personali non saranno
ficienza o in cura con immunodepressori, salvati nella banca dati. Nella banca dati viene sal-
persone che necessitano di cure a domicilio non- vato solo il numero di persone da vaccinare per
ché persone di età superiore agli 80 anni. Ai fini ciascuna struttura.
della prevenzione, l’ulteriore vaccinazione viene
inoltre proposta a persone che abbiano comple-
tato un ciclo vaccinale con un vaccino a vettore
virale: ciò riguarda le persone che abbiano rice-
8I dati identificativi e i recapiti della persona che dati vengono crittografati dal Ministero della Sa-
crea la vaccinazione di serie vengono salvati al lute bavarese e sono pertanto leggibili unica-
fine di amministrare la vaccinazione nell’applica- mente attraverso l’anagrafe vaccinale digitale
zione “BayIMCO”. dell’Ufficio di Stato LGL. I dati vengono decodifi-
cati solo nei casi ammessi e contemplati dalla
4.2 Vaccinazione e fasi successive legge.
Il giorno della vaccinazione è necessario presen-
tarsi muniti di documento d’identità e (se dispo- Il capitolo 6 riporta i destinatari dell’inoltro dei
nibile) del pass vaccinale giallo o altra documen- dati.
tazione di vaccinazioni anti Covid-19 precedenti.
In fase di accettazione presso il centro vaccinale, 4.3 Per chi lavora presso il centro vaccinale
oltre ai dati disponibili si raccolgono ulteriori dati Vengono salvati i dati identificativi e le credenzia-
dell’utente tra cui: li di accesso del personale che opera con l’appli-
● data di vaccinazione, vaccino, prima dose/ cazione presso il centro vaccinale, nonché i dati
richiamo; necessari al protocollo volto a rilevare eventuali
● particolarità relative ad anamnesi/medicazio- abusi. Il nome del medico responsabile della
ne/visita medica; vaccinazione viene salvato insieme ai dati vacci-
● eventuale reazione anomala al vaccino presen- nali.
te o passata;
● stato complessivo di salute dopo la prima 4.4 Come ottenere un certificato vaccinale
vaccinazione (se al secondo appuntamento); digitale
● inoltre, in occasione del richiamo sono ogget- ● Solitamente la persona che abbia completato
to di trattamento la ragione della vaccinazione il ciclo vaccinale riceve il certificato vaccinale
(età, vaccinazione precedente con vaccino a digitale subito dopo la vaccinazione presso il
vettore virale; vedi capitolo 4.1.3) nonché centro competente. Vengono inoltre emesse
eventuali fenomeni anomali in occasione della certificazioni parziali relative alla prima vacci-
vaccinazione precedente. nazione qualora sia necessaria la seconda
dose, non ancora somministrata. Anche in
Successivamente alla prima vaccinazione verrà caso di richiamo il certificato vaccinale digitale
stampato un attestato vaccinale che l’utente do- viene emesso subito dopo la vaccinazione. Il
vrà conservare con cura fino all’appuntamento certificato vaccinale digitale è costituito da un
successivo. Dopo la vaccinazione, infatti, questi codice QR, consegnato stampato su supporto
dati saranno eliminati dall’applicazione cartaceo. Il certificato vaccinale digitale
“BayIMCO”, a meno che l’utente non abbia op- (codice QR) si può utilizzare ad es. con l’app
tato per il salvataggio degli stessi a lungo termi- CovPass o Corona-Warn-App (CWA) o in
ne (vedi capitolo 7.1). Il personale medico con- alternativa stampato su carta. Il certificato
serverà i documenti vaccinali cartacei, che vaccinale riporta informazioni sullo stato della
riportano anche le principali avvertenze di legge vaccinazione, il nome del vaccinato, la data di
relative alla documentazione vaccinale. nascita, il vaccino somministrato, la data di
vaccinazione e la dose. Per i fornitori di servizi
Ai fini della documentazione digitale e per ot- che desiderano verificare lo stato della vacci-
temperare agli obblighi di legge, e in particolare nazione esiste un’apposita app di controllo
agli obblighi di responsabilità, dopo la vaccinazio- che consente di scansionare lo stato analoga-
ne i dati digitali saranno trasferiti, per conto dei mente al codice a barre riportato sui biglietti
centri vaccinali, a una banca dati digitale separa- aerei o ferroviari. In alternativa è sempre
ta di proprietà dell’Ufficio di Stato LGL (tratta- possibile esibire il pass vaccinale giallo carta-
mento dei dati per conto dei centri vaccinali). I ceo. Qualora l’interessato desideri ricevere un
9certificato vaccinale digitale (codice QR), ai della prima somministrazione e del richiamo,
fini della creazione di detto codice, vengono appuntamento proposto per la vaccinazione
inoltrati dati personali (cognome, nome, data successiva/richiamo, nome e indirizzo del
di nascita) dati relativi alla vaccinazione (deno- responsabile della somministrazione) sulla
minazione, numero di lotto del vaccino, data base dei dati del pass vaccinale giallo e del
della prima somministrazione e del richiamo, documento d’identità inseriti manualmente
appuntamento proposto per la dose successi- dalla farmacia o dal centro vaccinale al server
va/richiamo, nome e indirizzo del responsabile del Robert-Koch Institut utilizzando un’inter-
della somministrazione) conservati presso le faccia autorizzata (vedi capitolo 6.2.1); ciò al
banche dati dei centri vaccinali o del team fine di garantire la creazione di un codice QR
vaccinale mobile al server del Robert-Koch firmato a prova di contraffazione. Il codice QR
Institut (vedi capitolo 6.2.1) utilizzando un’in- convalidato può essere salvato in un’app per
terfaccia autorizzata; ciò al fine di garantire la vaccinati (CovPass App o Corona-Warn-App),
creazione di un codice QR convalidato, a per essere esibito all’occorrenza. Utilizzando
prova di contraffazione. Le cittadine e i cittadi- un’app di controllo (contenente la/le chiave/i
ni sono invitati a conservare i codici QR pubbliche), un soggetto terzo può scansionare
ricevuti per poterli all’occorrenza scansionare il codice QR direttamente dallo smartphone (o
nuovamente (ad es. in caso di sostituzione dal documento cartaceo) del vaccinato e
dello smartphone). decifrare così i dati ivi contenuti. I dati perso-
● In alternativa, esibendo il pass vaccinale giallo nali (informazioni sullo stato della vaccinazio-
e un documento d’identità, l’interessato potrà ne, il nome del vaccinato, la data di nascita, il
ottenere l’emissione manuale di un certificato vaccino somministrato, la data di vaccinazione
vaccinale digitale presso le farmacie aderenti e la dose) sono salvati nel codice QR e dispo-
al servizio o presso il centro vaccinale stesso nibili tramite un’app per vaccinati decentrata,
(vale anche per le vaccinazioni di richiamo). presente sullo smartphone dell’interessato. I
Qualora l’interessato desideri ricevere un certificati vaccinali digitali vengono creati
certificato vaccinale digitale (codice QR), ai temporaneamente dal Robert Koch Institut
fini della creazione di detto codice, vengono all’interno del sistema di registrazione delle
inoltrati dati personali (cognome, nome, data vaccinazioni e a seguire cancellati. Il Robert
di nascita) dati relativi alla vaccinazione (deno- Koch Institut non effettua alcun salvataggio
minazione, numero di lotto del vaccino, data centralizzato dei dati del certificato vaccinale.
5. Qual è la base giuridica per il trattamento dei
dati attraverso l’applicazione?
Base giuridica per il trattamento dei dati dell’u- so 1 lett. b), l’art. 9 c. 2 lett. h) e c. 3 del
tente nell’anagrafe vaccinale digitale, compreso GDPR congiuntamente all’art. 4 par. 1 e 8,
l’uso dell’applicazione “BayIMCO”: par. 1 comma 1 punto 3 della Legge bavarese
sulla protezione dei dati BayDSG;
● relativamente alla vaccinazione e al trattamen- ● relativamente alla vaccinazione e al trattamen-
to successivo dei dati, inclusa la conservazio- to successivo dei dati, inclusa la conservazio-
ne degli stessi presso un pubblico gestore del ne degli stessi presso un gestore privato del
centro vaccinale o un team vaccinale mobile centro vaccinale o team vaccinale mobile,
l’art. 6 c. 1 capoverso 1 lett. e), il c. 3 capover- l’art. 6 c. 1 capoverso 1 lett. e), il c. 3 capover-
10so 1 lett. b), l’art. 9 c. 2 lett. h) del GDPR go di segnalazione relativa alle vaccinazioni
congiuntamente all’articolo 22 par. 1 punto 1 anti Covid-19;
lettere b) e c) della Legge bavarese sulla ● relativamente al monitoraggio delle vaccina-
protezione dei dati BDSG; zioni a opera dell’Ufficio di Stato LGL, l’art. 6
● relativamente al consenso al contatto ai fini c. 1 capoverso 1 lett. e), c. 3 capoverso 1 lett.
della ricerca scientifica, l’art. 6 c. 1 capoverso b), dell’art. 9 c. 2 lett. i) del GDPR congiunta-
1 lett. a) e l’art. 9 c. 2 lett. a) del GDPR; mente all’art. 2 par. 1 dell’Ordinanza sull’obbli-
● relativamente alla trasmissione, in singoli e go di segnalazione relativa alle vaccinazioni
motivati casi, di dati pseudonimizzati a ospe- anti Covid-19.
dali statali per scopi di ricerca scientifica da ● relativamente all’emissione del certificato
parte dell’Ufficio di Stato LGL, nell’ambito di vaccinale digitale, l’art. 6 c. 1 capoverso 1 lett.
applicazione del GDPR, l’art. 6 c. 1 capoverso e), il c. 3 capoverso 2 lett. b), l’art. 9 c. 2 lett.
1 lett. e), c. 3 capoverso 1 lett. b), l’art. 9 c. 2 h) e il c. 3 del GDPR congiuntamente all’art.
lett. j) del GDPR congiuntamente all’art. 2 par. 22 par. 5 della Legge bavarese sulla protezio-
2 comma 3 dell’Ordinanza regionale sull’obbli- ne dei dati (IfSG).
6. Inoltriamo i dati personali a terzi?
Non inoltriamo a terzi i dati personali dell’utente zi, responsabili del trattamento dei dati ai sensi
salvo nei casi espressamente menzionati nella dell’art. 28 par. 1 del GDPR, li sottoponiamo a
presente informativa sulla privacy. I dati forniti verifiche periodiche e li vincoliamo per contratto
dall’utente nel quadro dell’utilizzo dell’applicazio- a trattare i dati personali unicamente secondo le
ne “BayIMCO” vengono raccolti dal personale nostre indicazioni e nel pieno rispetto del GDPR.
del centro vaccinale o team vaccinale mobile o
dagli operatori che rispondono al telefono al fine Si tratta nel concreto dei seguenti servizi e relati-
di coordinare ed effettuare le vaccinazioni. Suc- vi fornitori:
cessivamente alla vaccinazione i dati saranno eli-
minati dall’app (sempre che l’utente non abbia 6.1.1 G
estione e manutenzione dell’applica-
optato espressamente per l’ulteriore conserva- zione “BayIMCO” (compreso il back-
zione – vedi capitolo 7.1) e trasferiti a una banca end e l’emissione del certificato vacci-
dati a parte, accessibile unicamente all’anagrafe nale digitale)
vaccinale digitale dell’Ufficio di Stato bavarese Accenture GmbH
per la salute e la sicurezza alimentare LGL. Campus Kronberg 1
61476 Kronberg im Taunus
La trasmissione dei dati personali potrebbe av-
venire nei seguenti casi: Accenture si occupa dell’hosting e della gestio-
ne tecnica dell’applicazione “BayIMCO” nonché
6.1 R esponsabile del trattamento dei dati e dell’approntamento del certificato vaccinale digi-
servizi esterni tale coinvolgendo il fornitore di servizi sotto ri-
Al fine di erogare il servizio relativo all’applicazio- portato, che provvede a gestire i server, a effet-
ne ci avvaliamo di fornitori esterni di servizi, defi- tuare gli interventi necessari in caso di
niti, ai sensi del GDPR, responsabili del tratta- malfunzionamenti e a garantire la sicurezza dei
mento dei dati. L’inoltro dei dati personali è dati dal punto di vista tecnico. Centro dati utiliz-
giustificato dal fatto che, da parte nostra, sele- zato da Accenture per l’hosting dell’applicazione
zioniamo attentamente i fornitori esterni di servi- BayIMCO:
11NTT Global Data Centers EMEA GmbH Institut di determinati dati vaccinali pseudonimiz-
Voltastraße 15 zati.
DE-65795 Hattersheim
Al Robert Koch Institut vengono trasmessi an-
6.1.2 Invio di messaggi e-mail e SMS che i seguenti dati (non pseudonimizzati), finaliz-
retarus GmbH zati all’emissione del certificato vaccinale digita-
Aschauerstaße 30 le (vedi anche il capitolo 4.4):
81549 Monaco di Baviera data della prima e seconda vaccinazione, deno-
minazione del vaccino e relativo lotto, nome del-
Ci avvaliamo dei servizi forniti da retarus per la la malattia contro la quale si è stati vaccinati,
comunicazione con l’utente, e in particolare per nome del vaccinato, data di nascita, nome e indi-
la trasmissione dell’invito alla vaccinazione, del rizzo del responsabile della vaccinazione nonché
promemoria di vaccinazione o per la disdetta dichiarazione in formato cartaceo o elettronico
dell’appuntamento via mail o SMS. provvista di adeguata convalida elettronica o si-
gillo elettronico qualificato rilasciato dal respon-
6.1.3 C
reazione dello pseudonimo per la sabile della vaccinazione. Va trasmessa inoltre
trasmissione di dati pseudonimizzati al un’eventuale informativa sulla vaccinazione suc-
Robert Koch Institut cessiva o richiamo con relative proposte di ap-
Bundesdruckerei GmbH puntamento.
Kommandantenstraße 18
10969 Berlino 6.2.2 Ufficio di Stato bavarese per la salute
e la sicurezza alimentare (LGL)
6.1.4 Archiviazione dell’amministrazione Ai fini della profilassi sull’intero territorio bavare-
digitale delle vaccinazioni (anagrafe se e della prevenzione della trasmissione dell’in-
vaccinale) per i centri vaccinali o team fezione SARS-CoV-2, nonché allo scopo della
vaccinali mobili, a cura dell’Ufficio di sorveglianza epidemiologica, ai sensi dell’art. 1
Stato bavarese per la salute e la sicu- par. 1 dell’Ordinanza sull’obbligo di segnalazione
rezza alimentare (LGL) relativa alle vaccinazioni, i centri vaccinali tra-
Ufficio di Stato bavarese per la salute e la sicu- smettono determinati dati all’Ufficio di Stato ba-
rezza alimentare (LGL) varese per la salute e la sicurezza alimentare
Anagrafe digitale dei centri vaccinali bavaresi (LGL) in forma pseudonimizzata (monitoraggio
Schweinauer Hauptstr. 80 bavarese delle vaccinazioni).
90441 Norimberga
6.2.3 Ai fini della ricerca scientifica
Recapito: impfarchiv@lgl.bayern.de I dati pseudonimizzati possono essere trattati
per scopi di ricerca scientifica, ai sensi dell’art. 9
6.2 Inoltro e ulteriore trattamento dei c. 2 lett. j) del GDPR congiuntamente all’art. 6
dati pseudonimizzati nonché, su par. 2 punto 3 della Legge bavarese sulla prote-
richiesta del vaccinato, di dati non zione dei dati (enti pubblici dello Stato libero di
pseudonimizzati Baviera) nonché all’art. 27 della Legge federale
6.2.1 Robert Koch Institut (RKI) sulla protezione dei dati (enti non pubblici) e
Allo scopo di rilevare l’avvenuta vaccinazione e i all’art. 75 del Decimo Libro del Codice di diritto
relativi effetti (sorveglianza), ai sensi dell’art. 13 sociale.
par. 5 della Legge sulla protezione contro le infe-
zioni e dell’art. 4 par. 1 dell’Ordinanza sulla vacci- La trasmissione da parte dell’Ufficio di Stato
nazione anti-Covid (nella versione aggiornata al LGL agli ospedali di pubblica gestione di dati
30.08.2021) è previsto l’inoltro al Robert Koch pseudonimizzati derivanti dalla sorveglianza epi-
12demiologica per scopi di ricerca scientifica sulla motivati e nella misura in cui gli ospedali di pub-
Covid-19, e in particolare di dati sugli effetti della blica gestione siano soggetti all’ambito di appli-
vaccinazione e sulle infezioni intercorrenti avvie- cazione del GDPR. La presa di contatto con l’u-
ne solo ai sensi dell’art. 2 par. 2 comma 3 dell’Or- tente avviene solo previo suo espresso
dinanza sull’obbligo di segnalazione relativa alle consenso.
vaccinazioni. Ciò è consentito solo in singoli casi
7. Quando vengono cancellati i dati dell’utente?
Cancelliamo i dati dell’utente una volta venuto Qualora abbia ricevuto la prima vaccinazione ma
meno lo scopo della raccolta o la necessità di ancora non abbia appuntamento per la seconda
conservarli, salvo diversi termini di conservazio- dose, l’utente verrà disattivato passati 30 giorni,
ne previsti per legge. L’interessato ha la facoltà e i dati dello stesso saranno eliminati dall’app
di salvare i propri dati nell’app BayIMCO in vista dopo ulteriori 21 giorni, sempre che l’utente non
di un eventuale richiamo; in tal caso i dati saran- abbia optato per una proroga della conservazio-
no oggetto di trattamento fino a che il sistema ne dei dati in BayIMCO. Qualora si sia registrato
non verrà smantellato o fino a che l’utente non li ma non si sia presentato all’appuntamento, non
eliminerà manualmente dall’app. La cancellazio- venendo pertanto vaccinato, l’utente dopo 30
ne manuale nell’app BayIMCO è illustrata nelle giorni verrà disattivato e i dati dello stesso saran-
risposte alle domande frequenti (FAQ) sulla regi- no eliminati dall’app dopo ulteriori 21 giorni,
strazione e gli appuntamenti via app in BayIMCO sempre che l’utente non abbia optato per una
nella pagina iniziale del sito www.impfzentren. proroga della conservazione dei dati in BayIMCO.
bayern. In caso di proroga della conservazione, i dati sa-
ranno cancellati contestualmente allo smantella-
7.1 L
’applicazione “BayIMCO” mento del sistema o in caso di eliminazione ma-
Dallo scorso 16 settembre, i cittadini registrati nuale nella piattaforma online effettuata
online possono mantenere i dati personali salvati dall’interessato stesso. Saranno inoltre eliminati
nell’account BayIMCO; su richiesta dell’utente, i dati personali di un eventuale utente che abbia
le regole di cancellazione d’ufficio di seguito ri- effettuato la registrazione ma che dopo una set-
portate possono pertanto venire meno. L’ac- timana non abbia ancora attivato l’account.
count della rispettiva persona sussisterà pertan-
to fino allo smantellamento del sistema o alla Cancelliamo i dati di protocollo dell’applicazione
cancellazione manuale effettuata dall’utente “BayIMCO” allo scadere di 90 giorni. Le creden-
stesso (vedi quanto illustrato al capitolo 7). ziali di accesso degli addetti alle vaccinazioni e
L’eliminazione d’ufficio dei dati vaccinali dall’app del personale amministrativo sono salvate fino
“BayIMCO” avviene una volta trascorsi 21 giorni alla cancellazione dell’account da parte dell’am-
dalla seconda vaccinazione (oppure, in caso di ministratore. Il nome del medico responsabile
vaccino Johnson & Johnson o di singola vaccina- della vaccinazione successivamente alla vaccina-
zione in seguito a infezione da Coronavirus, già zione viene trasmesso all’anagrafe vaccinale di-
dopo la prima vaccinazione o richiamo). Non ap- gitale dell’Ufficio di Stato LGL e cancellato
pena completato il ciclo vaccinale seguirà una dall’applicazione “BayIMCO”.
comunicazione relativa all’imminente cancella-
zione entro 21 giorni, affinché l’utente possa, se 7.2 Anagrafe vaccinale digitale
lo desidera, optare per un ulteriore periodo di Una volta trasmessi all’anagrafe vaccinale digita-
conservazione dei dati nell’app BayIMCO. le, i dati saranno cancellati dall’app “BayIMCO”
13(vedi cap. 7.1) I dati crittografati dal Ministero del- le nonché, relativamente all’esercizio della pro-
la Salute bavarese salvati nella banca dati sepa- fessione medica in regime convenzionato, l’art.
rata dell’anagrafe vaccinale digitale di proprietà 57 par. 2 dell’Accordo quadro federale - BMV-Ä).
dell’Ufficio di Stato LGL, vengono di norma con-
servati per 10 anni; in singoli casi il periodo di 7.4 Banca dati per la presa di contatto ai fini
conservazione richiesto potrebbe essere più bre- della ricerca scientifica
ve o più lungo. Qualora all’interno dell’applicazione “BayIMCO”
l’utente abbia prestato consenso a essere con-
7.3 Documenti sanitari tattato per scopi di ricerca scientifica nel pubbli-
I dati sanitari registrati vanno conservati per dieci co interesse, i suoi recapiti saranno conservati in
anni dalla conclusione delle cure, salvo diversi tal senso fino alla revoca del consenso. Una vol-
termini di conservazione più lunghi previsti per ta che si prospetterà la conclusione delle attività
legge (cfr. art. 10 par. 3 del Regolamento profes- di ricerca, anche i recapiti andranno eliminati.
sionale, l’art. 630f par. 3 del Codice civile federa-
8. Quali sono i diritti dell’utente?
8.1 Diritto di informazione re, una volta aperta l’app, selezionare “Cancella
L’utente ha in qualsiasi momento il diritto di rice- utente” o “Cancella dati e account”.
vere informazioni su richiesta relative ai dati per-
sonali da noi trattati, ai sensi dell’art. 15 del GDPR. L’utente ha in qualsiasi momento il diritto di revo-
La richiesta di informazioni va inviata al centro care il consenso alla raccolta dei propri recapiti
vaccinale che tratta i dati. Qualora abbia già com- per scopi di ricerca scientifica. Anche in tal caso
pletato il ciclo vaccinale, l’utente potrà contattare ha diritto a richiedere la cancellazione dei dati.
in alternativa l’anagrafe vaccinale digitale
(impfarchiv@lgl.bayern.de). 8.4 Diritto alla limitazione del trattamento
In caso di trattamento illecito dei propri dati per-
8.2 Diritto di rettifica sonali, l’utente ha la facoltà di richiedere la can-
L’utente ha il diritto di richiedere l’immediata ret- cellazione o anche la limitazione del trattamento.
tifica dei propri dati personali qualora essi non
siano corretti. Invitiamo a contattare a tale scopo L’utente ha il diritto di esigere la limitazione del trat-
il centro vaccinale o il team vaccinale mobile tamento ai sensi dell’art. 18 del GDPR. Tale diritto
competente. sussiste nello specifico, qualora l’utente ci contesti
la correttezza dei propri dati personali, per il perio-
8.3 Diritto di cancellazione do di tempo necessario a effettuare la verifica.
In base alle disposizioni dell’art. 17 del GDPR,
l’utente ha il diritto di richiedere la cancellazione In luogo della cancellazione, l’utente ha la facoltà
dei propri dati personali. Dette disposizioni con- di richiedere la limitazione del trattamento qualo-
templano nello specifico il diritto di cancellazione ra i dati non siano più necessari agli scopi da noi
qualora i dati personali non siano più necessari perseguiti ma da parte sua ne necessiti al fine di
agli scopi per i quali erano stati raccolti o altri- far valere, esercitare o difendere diritti legali.
menti trattati, nonché a fronte di un trattamento
illecito. Per richiedere la cancellazione dei dati è 8.5 Portabilità dei dati
possibile rivolgersi al centro vaccinale compe- L’utente ha il diritto di ottenere i dati personali
tente prescelto o al team vaccinale mobile oppu- fornitici in virtù di un contratto o di un consenso
14prestato in un formato strutturato, di uso comu- Der Landesbeauftragte für den Datenschutz und
ne e leggibile da dispositivo automatico ai sensi die Informationsfreiheit Baden-Württemberg, in-
dell’art. 20 del GDPR. dirizzo: Casella postale 10 29 32, 70025 Stoccar-
da, Königstraße 10a, 70173 Stoccarda
8.6 Diritto di opposizione
Ai sensi dell’art. 21 c. 1 del GDPR, l’utente ha il Qualora il reclamo relativo al trattamento dei dati
diritto di opporsi a qualsiasi trattamento dei dati si riferisca a un centro vaccinale privato avente
da noi effettuato in conformità all’art. 6 c. 1 del sede o una sede distaccata nel Land Nor-
GDPR. Questo significa che l’utente può in qual- drhein-Westfalen (tra cui Ecolog Deutschland
siasi momento opporsi al trattamento dei dati GmbH) l’utente è invitato a presentarlo presso
per ragioni dovute alla sua particolare situazione. l’Autorità di controllo:
L’opposizione comporta tuttavia la cessazione
del trattamento solo qualora l’opposizione sia Landesbeauftragte für Datenschutz und Informa
giustificata da particolari motivi. Da parte nostra tionsfreiheit Nordrhein-Westfalen, indirizzo:
cessiamo il trattamento dei dati personali, salvo Casella postale 20 04 44, 40102 Düsseldorf
i casi in cui sussistano motivate ragioni cogenti a
tutela del nostro legittimo interesse che preval- Qualora il reclamo relativo al trattamento dei dati
gano sugli interessi, i diritti e le libertà dell’utente si riferisca a un’organizzazione della Chiesa Evan-
o qualora il trattamento sia volto a far valere, gelica (tra cui Johanniter-Unfall-Hilfe e.V.), l’uten-
esercitare o difendere nostri diritti legali. te è invitato a presentarlo presso l’Autorità di
controllo:
8.7 S ussistere del diritto di reclamo presso
l’Autorità di controllo Der Beauftragte für den Datenschutz der Evan-
Qualora il reclamo relativo al trattamento dei dati gelischen Kirche in Deutschland
si riferisca a un centro vaccinale privato avente Indirizzo: Außenstelle Berlin (sede distaccata),
sede in Baviera, l’utente è invitato a presentarlo Invalidenstraße 29, 10115 Berlino
presso l’Autorità di controllo:
Qualora il reclamo relativo al trattamento dei dati
Bayerisches Landesamt für Datenschutzaufsicht si riferisca a un centro vaccinale privato dell’orga-
Indirizzo: Casella postale 1349; 91504 Ansbach nizzazione Malteser Hilfsdienst, l’utente è invita-
to a presentarlo presso:
Qualora il reclamo relativo al trattamento dei dati
si riferisca a un centro vaccinale pubblico avente Avvocato Dieter Fuchs
sede in Baviera (tra cui la Croce rossa federale, Indirizzo: Wittelsbacherring 9, 53115 Bonn,
una clinica universitaria, l’autorità amministrativa e-mail: fuchs@orden.de
circondariale, una città extra circondariale o il Mi-
nistero della Salute bavarese) l’utente è invitato a Informativa sulla messa a disposizione dei dati
presentarlo presso l’Autorità di controllo: personali:
Bayerischer Landesbeauftragter für den Daten- una volta che l’utente ha deciso di vaccinarsi, la
schutz, indirizzo: Casella postale 22 12 19, 80502 base giuridica della raccolta dei dati personali è
Monaco di Baviera quella riportata ai punti 5 e 6. La messa a dispo-
sizione dei dati è pertanto soggetta alle norme di
Qualora il reclamo relativo al trattamento dei dati legge, senza le quali il trattamento dei dati in
si riferisca a un centro vaccinale privato avente sede di vaccinazione non potrebbe avere luogo.
sede in Baden-Württemberg (tra cui Huber
Group), l’utente è invitato a presentarlo presso Data dell’ultimo aggiornamento della presente
l’Autorità di controllo: informativa sulla privacy: 14.10.2021BAYERN | DIREKT è il filo diretto con il Governo bavarese.
Chiamando il numero 089 12 22 20 o scrivendo all’indirizzo
direkt@bayern.de è possibile ricevere materiali informativi e
prospetti, informazioni su aspetti di attualità e fonti Internet nonché
indicazioni relative a pubbliche autorità, enti competenti e referenti
presso il Governo bavarese
NOTE LEGALI
Curatore: Ministero della Salute bavarese
Haidenauplatz 1 Gewerbemuseumsplatz 2
81667 Monaco di Baviera 90403 Norimberga
Telefono: +49 89 540 233-0 Telefono: +49 911 215 42-0
Fax: +49 89 540 233-90 999 Fax: +49 911 215 42-90 999
Realizzazione: CMS – Cross Media Solutions GmbH, Würzburg
Stampa: Ortmaier Druck GmbH
Versione aggiornata: ottobre 2021
Cod. articolo: stmgp_iz_003
AVVERTENZA Il presente opuscolo è pubblicato e distribuito gratuitamente nell’ambito delle attività di comunicazione
del Governo bavarese. Ne è vietato l’utilizzo a scopi di propaganda elettorale da parte di partiti politici,
di candidati alle elezioni o attivisti nei cinque mesi precedenti una tornata elettorale. Ciò vale per le
elezioni regionali, federali, comunali ed europee. Nell’arco di tempo di cui sopra sono considerati abuso la
distribuzione dell’opuscolo in occasione di eventi di propaganda elettorale, presso i punti di informazione
dei partiti nonché l’inserimento, l’applicazione o la sovraimpressione sull’opuscolo di informazioni o
messaggi pubblicitari di singoli partiti. È vietato inoltre l’inoltro a terzi a scopi di propaganda elettorale.
Anche in assenza di un’imminente tornata elettorale è vietato utilizzare il presente opuscolo allo scopo
di lasciar intendere che il governo prenda posizione a favore di singoli gruppi politici. Ai partiti politici è
consentito utilizzare l’opuscolo allo scopo di informare i propri iscritti. In caso di pubblicazione – anche
parziale – si richiede di riportare la fonte e di inviare un esemplare d’obbligo.
La presente opera è protetta da diritti d’autore. Tutti i diritti riservati. Opuscolo distribuito gratuitamente;
è vietata la distribuzione a pagamento. Questo opuscolo è stato realizzato con la massima cura. Si declina
tuttavia ogni responsabilità per la correttezza e completezza delle informazioni riportate. Si declina inoltre
ogni responsabilità per i contenuti di siti Internet di terzi.Puoi anche leggere
