UNO STUDIO GLOBALE - Rödl & Partner

Pagina creata da Alex Beretta
 
CONTINUA A LEGGERE
UNO STUDIO GLOBALE - Rödl & Partner
UNO STUDIO GLOBALE
Avv. Nadia Martini            «GLI IMPATTI PRIVACY DEI PROVVEDIMENTI ANTI COVID-19»
Avv. Nicolò Maria Salvi       Quali sono gli impatti privacy dei protocolli di sicurezza anti-contagio secondo i
Dott.ssa Serena Gianvecchio   DPCM del mese di marzo? Quali le soluzioni che le organizzazioni possono
Milano, 2 Aprile 2020         adottare?
UNO STUDIO GLOBALE - Rödl & Partner
AGENDA

1    Introduzione
     La compressione della privacy in favore della sicurezza
     pubblica: bilanciamento tra diritto alla riservatezza e
2
     tutela del diritto alla salute (tracciamenti via app,
     geolocalizzazione, etc)
     I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7,
     lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di
     regolamentazione delle misure per il contrasto e il
3    contenimento della diffusione del virus Covid-19 negli
     ambienti di lavoro del 14.3.2020: regole privacy in materia
     di controllo degli accessi, rilevazione della temperatura e
     moduli di autodichiarazione, smartworking
     I trattamento di dati particolari nel contesto covid-19 da
4    parte delle organizzazioni: regole organizzative e tecniche
     per l’uso
5    La ricerca scientifica, il vaccino e i dati particolari

6    Contatti
UNO STUDIO GLOBALE - Rödl & Partner
AGENDA

1    Introduzione
     La compressione della privacy in favore della sicurezza
     pubblica: bilanciamento tra diritto alla riservatezza e
2
     tutela del diritto alla salute (tracciamenti via app,
     geolocalizzazione, etc)
     I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7,
     lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di
     regolamentazione delle misure per il contrasto e il
3    contenimento della diffusione del virus Covid-19 negli
     ambienti di lavoro del 14.3.2020: regole privacy in materia
     di controllo degli accessi, rilevazione della temperatura e
     moduli di autodichiarazione, smartworking
     I trattamento di dati particolari nel contesto covid-19 da
4    parte delle organizzazioni: regole organizzative e tecniche
     per l’uso
5    La ricerca scientifica, il vaccino e i dati particolari

6    Contatti
UNO STUDIO GLOBALE - Rödl & Partner
© Rödl & Partner
1.1      IL NUOVO REGOLAMENTO PRIVACY EUROPEO

 Il 25 maggio 2016, dopo anni di trattative, è entrato finalmente in vigore il Nuovo Regolamento Europeo sulla
 Protezione dei Dati n. 2016/679 (“GDPR o Reg.”).

 Il GDPR:

 — sostituisce dal 25.5.2018 la Direttiva 95/46/EC che disciplina il trattamento dei dati e, in larga misura, la
   normativa nazionale in tema di protezione dati, che ha implementato la direttiva, introducendo un nuovo
   complesso di regole applicabili a tutti gli Stati Membri;
 — introduce massivi cambiamenti alle leggi nazionali, e quindi anche al D.Lgs.196/2003, impattando in modo
   significativo su tutte le società ed enti che trattano dati (titolari o responsabili) e su ogni aspetto delle
   relazioni tra le organizzazioni e il pubblico;
 — Ma i trattamenti in caso di emergenza hanno una importante connotazione locale (Provv. Garante 2.3.2020;
   art. 1, n. 7, lett. d) del DPCM 11 marzo 2020; Protocollo condiviso di regolamentazione delle misure per il
   contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro del 14.3.2020) e
   una regolamentazione europea oltre al GDPR (EDPB_2020)

 Il mancato adempimento al Regolamento è sanzionato dal 25 maggio 2018.                                            4
UNO STUDIO GLOBALE - Rödl & Partner
© Rödl & Partner
1.2   IL NUOVO REGOLAMENTO PRIVACY EUROPEO

                      Post GDPR: adozione da parte di
                      Titolare e Responsabile di misure      Dando prova che le soluzioni
                                                               adottate siano le misure
                           adeguate in base ad una             tecniche e organizzative
                            valutazione del proprio           adeguate al caso concreto
                      trattamento e del relativo rischio
                                   e impatto

          Ante GDPR: adempimento di
          obblighi, formalità e misure                                         È il principio
          minime di sicurezza previsti                                      dell’Accountability
                  dalla legge

                   Sanzioni amministrative fino al 4% del fatturato mondiale annuo di gruppo;
                              sanzioni civili; sanzioni penali ex D.Lgs. 196/2003

                                                                                                  5
UNO STUDIO GLOBALE - Rödl & Partner
© Rödl & Partner
1.3       PRINCIPIO DELL’ACCOUNTABILITY (RESPONSABILIZZAZIONE)

           LICEITA’,CORRETTEZZA E TRASPARENZA
                                                                          LIMITAZIONE DELLA FINALITA’
      Il GDPR richiede che tutti i trattamenti di dati         Il trattamento dei dati personali deve essere limitato
      personali siano equi; cioè, che le aziende non           allo scopo legittimo per il quale tali dati sono stati
      eseguano trattamenti che non siano legittimi (es.        originariamente         raccolti     dall’interessato:
      previa informativa e consenso o altri base giuridiche,   trattamento secondo quanto indicato
      etc.)                                                    nell’informative.

                  MINIMIZZAZIONE DEI DATI                            LIMITAZIONE DELLA CONSERVAZIONE
                                                               I dati personali devono essere conservati solo se
                                                               necessario, cioè, i dati personali devono essere
      E’ possibile trattare solo i dati personali
                                                               cancellati /anonimizzati una volta che lo scopo
      assolutamente necessari allo scopo della raccolta.
                                                               legittimo per il quale il dato è stato raccolto è stato
                                                               adempiuto

                          ESATTEZZA                                        INTEGRITA’ E RISERVATEZZA
                                                               I dati personali devono essere trattati in modo da
      I dati personali degli interessati devono sempre
                                                               garantire una sicurezza adeguata, mediante misure
      essere accurati e aggiornati. E’ necessario garantire
                                                               tecniche e organizzative adeguate adottate dal
      che gli interessati possano aggiornare i loro dati,
                                                               Titolare a seconda del caso e del rischio concreto
      quando necessario.
                                                                                                                         6
UNO STUDIO GLOBALE - Rödl & Partner
© Rödl & Partner
1.4      IL PROCESSO

                               Il processo GDPR

      Risk/Impact Assessment     Remediation      Implementation/Monitoring
UNO STUDIO GLOBALE - Rödl & Partner
AGENDA

1    Introduzione
     La compressione della privacy in favore della sicurezza
     pubblica: bilanciamento tra diritto alla riservatezza e
2
     tutela del diritto alla salute (tracciamenti via app,
     geolocalizzazione, etc)
     I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7,
     lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di
     regolamentazione delle misure per il contrasto e il
3    contenimento della diffusione del virus Covid-19 negli
     ambienti di lavoro del 14.3.2020: regole privacy in materia
     di controllo degli accessi, rilevazione della temperatura e
     moduli di autodichiarazione, smartworking
     I trattamento di dati particolari nel contesto covid-19 da
4    parte delle organizzazioni: regole organizzative e tecniche
     per l’uso
5    La ricerca scientifica, il vaccino e i dati particolari

6    Contatti
UNO STUDIO GLOBALE - Rödl & Partner
© Rödl & Partner
2.1     LA COMPRESSIONE DELLE LIBERTÀ E DEI DIRITTI COSTITUZIONALI

DPCM 11 marzo 2020

  ❖ Libera circolazione sul territorio dello Stato (art. 16)   ❖ Diritto all’istruzione (artt. 33 e 34)

  ❖ Libertà di riunione (art. 17)                              ❖ Diritto al lavoro (artt. 4 e 35 e ss.)

  ❖ Libertà di culto religioso (art. 19)                       ❖ Diritto di sciopero (art. 40)

  ❖ Diritto di difesa (art. 24)                                ❖ Libera iniziativa economica (art. 41)

  ❖ Diritto di sposarsi e creare una famiglia (art. 29)        ❖ Diritto di voto (artt. 48 e ss.)

                  Il diritto alla protezione dei dati personali? Può essere compresso?
UNO STUDIO GLOBALE - Rödl & Partner
© Rödl & Partner
2.2. LE LIMITAZIONI ALLA PROTEZIONE DEI DATI PERSONALI

                       È veramente necessario?

                                                         10
© Rödl & Partner
2.2      LE LIMITAZIONI ALLA PROTEZIONE DEI DATI PERSONALI

 Considerando n. 46 al GDPR «Il trattamento di dati personali dovrebbe essere altresì considerato lecito
 quando è necessario per proteggere un interesse essenziale per la vita dell'interessato o di un'altra
 persona fisica. […] alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di
 interesse pubblico sia agli interessi vitali dell'interessato, per esempio se il trattamento è necessario a fini
 umanitari, tra l'altro per tenere sotto controllo l'evoluzione di epidemie e la loro diffusione o in casi di
 emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana»

 L’art. 9, par. 2, del GDPR consente il trattamento delle categorie particolari di dati personali quando
 necessario per:

 i. «motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per
    la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza
    dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o
    degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà
    dell'interessato»

                                                                                                                    11
© Rödl & Partner
2.2   LE LIMITAZIONI ALLA PROTEZIONE DEI DATI PERSONALI

                    Parere favorevole alla proposta di ordinanza del Dipartimento della protezione civile che prevede la
      2 febbraio    comunicazione e lo scambio di dati personali, anche particolari, fra soggetti pubblici e privati coinvolti nel
                    contrasto alla diffusione del Covid-19.

      3 febbraio    Ordinanza della Presidenza del consiglio dei ministri Dipartimento della protezione civile n. 630

                    Antonello Soro, intervistato da Il Messaggero, afferma che «l'emergenza legata all'epidemia comprime alcune
      23 febbraio   libertà. […] In casi così il diritto alla privacy subisce delle limitazioni»

                    Comunicato stampa del Garante Privacy: no a iniziative "fai da te" nella raccolta dei dati. Soggetti pubblici e
      2 marzo       privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti

                    D.L. n. 14/2020 che, all’art. 14, ribadisce la possibilità di comunicazione di dati anche particolari e esonera
      9 marzo
                    dall’obbligo di informativa ex art. 13.

                    L’EDPB ricorda che «i dati relativi all'ubicazione possono essere utilizzati dall'operatore solo se resi anonimi o
                    con il consenso dei singoli. Tuttavia, l'articolo 15 della direttiva e-privacy consente agli Stati membri di
      19 marzo
                    introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile
                    solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica»

                    Antonello Soro, in un intervento su AgendaDigitale, afferma che «Non è vero che la privacy è il lusso che non
                    possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e
      29 marzo
                    consigliabile fare per sconfiggere il coronavirus. La chiave è nella proporzionalità, lungimiranza e
                    ragionevolezza dell’intervento. Oltre che nella sua temporaneità»

                                                                                                                                         12
© Rödl & Partner
2.3   IL C.D. «MODELLO COREA»

                                 No «zone rosse»

                                                       Monitoraggio degli
                Test e tamponi                       spostamenti mediante
                    mirati                          GPS smartphone, carte di
                                                      credito e sistema di
                                                       videosorveglianza

                                 SMS o notifiche
                                 push ai contatti
                                    a rischio
                                                                               13
© Rödl & Partner
2.4      IL C.D. «MODELLO COREA» IN ITALIA

                       AS-IS                                               DESIDERATA

                                                         ❖ Trattamento dei dati relativi all’ubicazione in
                                                           chiaro per:
                                                             1. monitorare gli spostamenti dei soggetti in
                                                                quarantena
                                                             2. Ricostruire gli spostamenti per individuare
                                                                soggetti a rischio
 Art. 126 al Codice Privacy «dati relativi               ❖ Utilizzo di App per l’invio di SMS o push ai
 all'ubicazione diversi dai dati relativi al traffico,     soggetti a rischio
 riferiti agli utenti o ai contraenti di reti
 pubbliche di comunicazione o di servizi di
 comunicazione      elettronica    accessibili      al
 pubblico, possono essere trattati solo se
 anonimi o se l'utente o il contraente ha
 manifestato previamente il proprio consenso
 […]»
                                                                                                              14
© Rödl & Partner
2.4   IL C.D. «MODELLO COREA» IN ITALIA

                                          15
© Rödl & Partner
2.5   L’APP ALLERTALOM

  Il 30 marzo la Regione Lombardia ha lanciato l’App allertaLOM attraverso la quale:

                                             ❖ raccoglie dati personali di tutti gli utenti quali
                                                indirizzi IP e codici IMEI identificativi degli
                                                smartphone

                                             ❖ prevede la facoltà per l’utente di aderire a
                                                progetto     FERMACOVID              compilando   un
                                                questionario con il quale sono raccolti anche
                                                dati relativi allo stato di salute

                                             ❖ non raccoglie dati sulla localizzazione del
                                                device
© Rödl & Partner
2.6    I POSSIBILI RISCHI DERIVANTI DA UN USO ILLECITO DEI DATI

       «Non tutto ciò che è tecnologicamente possibile è anche socialmente

       desiderabile, eticamente accettabile e giuridicamente legittimo. Oggi

      dobbiamo aggiungere che le derive tecnologiche possono produrre gravi

                                 effetti distorsivi»

                                                       Stefano Rodotà – 28 aprile 2004

                                                                                         17
© Rödl & Partner
2.7    LA VIA PERCORRIBILE PER IL CONTACT TRACING

  ❖ Rispetto dei principi di cui all’art. 5 GDPR quali, proporzionalità, minimizzazione e
      accountability

  ❖ Cabina di regia unica e centrale a livello statale, ad esempio, in capo al Dipartimento di
      protezione civile) evitando la creazione di diverse banche dati e diversità di trattamenti

  ❖ Previsione normativa ad efficacia temporalmente limitata (es. decreto legge)

  ❖ Individuazione normativa di adeguate garanzie, in conformità all’art. 36, par. 4, GDPR

  ❖ Valutazione di misure graduali

  ❖ Test mirati su possibili contagiati

  ❖ Possibile coinvolgimento della Corte Costituzione in via principale da parte dell’Autorità
      Garante (proposta del presidente dell’Istituto Italiano Privacy)
                                                                                                   18
AGENDA

1    Introduzione
     La compressione della privacy in favore della sicurezza
     pubblica: bilanciamento tra diritto alla riservatezza e
2
     tutela del diritto alla salute (tracciamenti via app,
     geolocalizzazione, etc)
     I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7,
     lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di
     regolamentazione delle misure per il contrasto e il
3    contenimento della diffusione del virus Covid-19 negli
     ambienti di lavoro del 14.3.2020: regole privacy in materia
     di controllo degli accessi, rilevazione della temperatura e
     moduli di autodichiarazione, smartworking
     I trattamento di dati particolari nel contesto covid-19 da
4    parte delle organizzazioni: regole organizzative e tecniche
     per l’uso
5    La ricerca scientifica, il vaccino e i dati particolari

6    Contatti
© Rödl & Partner
3.1     DPCM 11 MARZO 2020 E SS

DPCM 11 marzo 2020
Il DPCM 11 marzo 2020, al fine di contenere il contagio COVID-19 sul territorio nazionale,
raccomanda a tutti i datori di lavoro:

➢ Di incentivare il lavoro agile (art. 1 c. 10)

➢ Di assumere protocolli di sicurezza anti – contagio (distanza di almeno 1 metro e strumenti di
  protezione individuale) (art. 1 c. 7 lett. d)

➢ Di favorire intese tra organizzazioni datoriali e sindacali (art. 1 c. 9)

                       Tutti e tre gli aspetti producono importanti impatti privacy
© Rödl & Partner
3.2     IL LAVORO AGILE

DPCM 11 marzo 2020
Il DPCM 11 marzo 2020, al fine di contenere il contagio COVID-19 sul territorio nazionale,
raccomanda a tutti i datori di lavoro:

➢ Di incentivare il lavoro agile (art. 1 c. 10)

➢ Di assumere protocolli di sicurezza anti – contagio (distanza di almeno 1 metro e strumenti di
  protezione individuale) (art. 1 c. 7 lett. d)

➢ Di favorire intese tra organizzazioni datoriali e sindacali (art. 1 c. 9)

                       Tutti e tre gli aspetti producono importanti impatti privacy
© Rödl & Partner
3.2     IL LAVORO AGILE

Il lavoro agile implica trattamenti di dati personali effettuati dal lavoratore per conto del datore di
lavoro.

Essi devono quindi avvenire ai sensi della disciplina privacy vigente e nel rispetto di misure
tecniche ed organizzative adeguate («accountability»).

In particolare:
3.2 IL LAVORO AGILE: MISURE ORGANIZZATIVE ADEGUATE: ALCUNI

                                                                                                                                    © Rödl & Partner
ESEMPI

     MODELLO                   INFORMATIVE                  CONSENSI             GESTIONE TERZE
                                                                                      PARTI               GESTIONE DIRITTI
   ORGANIZZATIVO
                                                                                                           INTERESSATO
      PRIVACY                    Dipendenti                 Marketing
    Referenti interni              Sito web                Profilazione          DPA che vincolino a
                                                                                 standard sicurezza         Accesso, Oblio,
  Incaricati/autorizzati          Candidati              Geolocalizzazione
                                                                                     lavoro agile         Rettifica, Portabilità,
           Ads               Fornitori/Consulenti         Comunicazione
                                                                                      Policy per             Opposizione,
          DPO                      Visitatori
                                                                                 qualificazione terze          Limitazione
      Formazione              Videosorveglianza
                                                                                         parti              Policy per diritti

                                                           PRIVACY BY              REGISTRI DEL           DATA RETENTION
     DATA BREACH              RISK e PRIVACY
                                                            DESIGN                TRATTAMENTO
                               ASSESSMENT                                        con + 250 dipendenti
                                   Policy per la                                                           Policy e metodologia
   Policy per la gestione                                                        se trattamento di dati      di data retention
                             valutazione del rischio   Policy e approccio di
        del breach                                                                 particolari (art. 9)     Retention per dato,
                                e dell’impatto del      incorporazione della
    Metodologia per la                                                            o rischio per libertà   trattamento e sistema
                            trattamento, necessario    privacy a partire dalla
    quantificazione del                                                            fondamentali (es.
                            per determinare misure       progettazione di un
    breach (Enisa 2013)                                                           profilazione su larga
                                    adeguate             processo aziendale
                                                                                          scala)
© Rödl & Partner
3.2   IL LAVORO AGILE: MISURE TECNICHE ADEGUATE: ALCUNI ESEMPI

      ASSET MGMT    PATCH MGMT       DB LOGGING      OS LOGGING     SECURE COMM.
       SYSTEMS                                                        PROTOCOL

       END POINT    SECURE ACCESS     SYS ADMIN     PASSWORD MGMT   SEGREGATION OF
      ENCRYPTION   FOR CONSULTANT   ACCESS REVIEW                        DUTY

                                                                                     24
© Rödl & Partner
3.2      IL LAVORO AGILE: PUNTI CRITICI

Ma come fare a garantire standard di sicurezza presso la casa del lavoratore:

-   Device personali e non aziendali?
-   Assistenti vocali (es. Alexa o Siri) disattivati?
-   Privacy mask?
-   Accordi coi fornitori?
-   Tool dedicati?
© Rödl & Partner
3.3     PROTOCOLLI ED INTESE

DPCM 11 marzo 2020
Il DPCM 11 marzo 2020, al fine di contenere il contagio COVID-19 sul territorio nazionale,
raccomanda a tutti i datori di lavoro:

➢ Di incentivare il lavoro agile (art. 1 c. 10)

➢ Di assumere protocolli di sicurezza anti – contagio (distanza di almeno 1 metro e strumenti di
  protezione individuale) (art. 1 c. 7 lett. d)

➢ Di favorire intese tra organizzazioni datoriali e sindacali (art. 1 c. 9)

                       Tutti e tre gli aspetti producono importanti impatti privacy
© Rödl & Partner
3.3   PROTOCOLLO CONDIVISO DI REGOLAMENTAZIONE DELLE MISURE PER IL CONTRASTO E IL
CONTENIMENTO DELLA DIFFUSIONE DEL VIRUS COVID-19 NEGLI AMBIENTI DI LAVORO DEL 14.3.2020

 Il Protocollo è stato sottoscritto su invito del Presidente del Consiglio dei ministri, del Ministro
 dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del
 Ministro della salute, che hanno promosso l’incontro tra le parti sociali, in attuazione della misura, contenuta
 all’articolo 1 c. 9, del decreto del Presidente del Consiglio dei ministri 11 marzo 2020.

 Il documento è vincolante per coloro che sono parte del mondo confindustriali in quanto iscritti e detta regole
 applicabili ai propri luoghi di lavoro.

 Il Protocollo introduce importanti trattamenti privacy all’accesso nei locali :

 (i)   il diritto del datore di trattamento di dati particolari (temperatura corporea)

 (ii) il diritto del datore di regolare l’accesso ai locali (moduli di autodichiarazione)

 (iii) obblighi informativi del datore verso il lavoratore
3.3   PROTOCOLLO CONDIVISO E LA RILEVAZIONE DELLA TEMPERATURA

                                                                                                            © Rödl & Partner
ALL’ACCESSO NEI LOCALI

Il Protocollo sancisce inoltre all’art. 2 che “Il personale, prima dell’accesso al luogo di lavoro
potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà
superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione -
nel rispetto delle indicazioni riportate in nota - saranno momentaneamente isolate e fornite di
mascherine non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno
contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni. Il
datore di lavoro informa preventivamente il personale, e chi intende fare ingresso in azienda, della
preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati
positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS».

In altre parole, il titolare del trattamento è autorizzato dalla legge al trattamento di dati particolari
quali la rilevazione della temperatura con termoscanner o termometri digitali.

Ma, dato che la rilevazione in tempo reale della temperatura corporea costituisce un trattamento
di dati personali di natura particolare (art. 9 GDPR) esso deve avvenire ai sensi della disciplina
privacy vigente e quindi nel rispetto di misure tecniche ed organizzative adeguate.
3.3. PROTOCOLLO CONDIVISO E LA RILEVAZIONE DELLA TEMPERATURA: LE

                                                                                                                                                © Rödl & Partner
MISURE

                                 Base giuridica:                                               possibile identificare
       Necessità e         adempimento obblighi di         No registrazione della          l’interessato e registrare il
                                                                                                                           Informativa short
                          legge (art. 9, par. 2, lett. B   temperatura corporea:          superamento della soglia di
    proporzionalità del
       trattamento:            del GDPR), ossia            l’eventuale conservazione
                                                                                         temperatura solo qualora sia       (cartello, email,
                                                                                         necessario a documentare le
        la finalità è
                            l’implementazione dei               dei dati raccolti è       ragioni che hanno impedito           brochure)
                            protocolli di sicurezza           ammessa e legittima
   rappresentata dalla                                                                    l’accesso ai locali aziendali
                           anti-contagio ex art. 1, n.     fino al termine dello stato
     prevenzione dal        7, lett. d) del DPCM 11               d’emergenza
  contagio da COVID-19            marzo 2020

        Modello           Formazione ed
     organizzativo:        istruzioni ai                     Valutazione di
                                                                                             Registri del                      Procedure
          DPO e
                             soggetti                          rischio e
    individuazione dei                                                                       trattamento                     generali GDPR
                                                                impatto
   soggetti preposti al     preposti al
       trattamento         trattamento
3.3 PROTOCOLLO CONDIVISO E LA RILEVAZIONE DELLA TEMPERATURA:

                                                                                                                                                                            © Rödl & Partner
LE MISURE

     Procedure                  No diffusione o comunicazione         In caso di isolamento             Se il lavoratore comunica
                                                                                                                                        In caso di allontanamento del
                                                                                                                                       lavoratore che durante l’attività
                                          dei dati a terzi                                             all’ufficio responsabile del
     specifiche                  ad eccezione dei casi previsti
                                                                     momentaneo dovuto al
                                                                   superamento della soglia di      personale di aver avuto contatti
                                                                                                                                          lavorativa sviluppi febbre e
                                                                                                                                       sintomi di infezione respiratoria:
    Covid/Linee                     da specifiche previsioni
                                    normative (es. in caso di
                                                                          temperatura:               con soggetti positivi al COVID-
                                                                                                                     19:                  assicurare modalità tali da
      guida per                 richiesta da parte dell’Autorità
                                 sanitaria per la ricostruzione
                                                                     assicurare modalità tali da
                                                                                                      assicurare modalità tali da
                                                                                                                                         garantire la riservatezza e la
                                                                   garantire la riservatezza e la                                           dignità del lavoratore
     preposti al                   della filiera degli eventuali      dignità del lavoratore.        garantire la riservatezza e la
                                     “contatti” stretti di un                                           dignità del lavoratore
    trattamento                 lavoratore risultato positivo al
                                             COVID-19)
  Tali garanzie devono
  essere assicurate anche
  nel caso in cui il
  lavoratore comunichi
  all’ufficio responsabile
  del personale di aver
  avuto, al di fuori del                                               Notificare                                                           Altre misure
  contesto aziendale,
        Accordo
  contatti con soggetti
                                    Regolamento                      violazioni dei                       Cifratura/                         tecniche a
       sindacale
  risultati positivi al              d’accesso                       dati personali                      Segregation                       protezione dati
  COVID-19 e nel caso di
  allontanamento del                                                      (72 h                                                              particolari
  lavoratore che durante
  l’attività lavorativa
  sviluppi febbre e sintomi
  di infezione respiratoria e
  dei suoi colleghi
3.3 PROTOCOLLO CONDIVISO E I MODULI DI AUTO-DICHIARAZIONE

                                                                                                        © Rödl & Partner
ALL’ACCESSO NEI LOCALI

Il Protocollo ammette all’art. 2 che «si richieda il rilascio di una dichiarazione» ma essa non deve
contenere dati ultronei ma solo attestare «la non provenienza dalle zone a rischio epidemiologico e
l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19».

Anche l’acquisizione della dichiarazione costituisce un trattamento dati personali, ammesso nel
solo caso indicato.

A tal fine, si applicano le indicazioni precedenti e, nello specifico, si ricorda di:
✓ raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da
   COVID-19.
✓ Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al
   COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona
   risultata positiva.
✓ Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è
   necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
3.3  PROVV. GARANTE 2.3.2020 PRIVACY, NO A INIZIATIVE "FAI DA TE« E I

                                                                                                                     © Rödl & Partner
MODULI DI AUTO-DICHIARAZIONE

Non sono ammesse dichiarazioni diverse da quelle previste dalla legge (ossia, ad oggi, quelle volte ad
attestare «la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni,
con soggetti risultati positivi al COVID-19»).

Infatti, con Provv. 2.3.2020, il Garante statuisce che «i datori di lavoro devono invece astenersi dal
raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo
lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore
e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.

La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che
istituzionalmente esercitano queste funzioni in modo qualificato. L’accertamento e la raccolta di
informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni
individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi
deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

Pertanto, i datori non devono effettuare iniziative autonome che prevedano la raccolta di dati anche sulla
salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
3.3. PROTOCOLLO CONDIVISO E L’OBBLIGO INFORMATIVO ALL’ACCESSO

                                                                                                                    © Rödl & Partner
NEI LOCALI

Il Protocollo sancisce all’art. 1 che “ L’azienda informa tutti i lavoratori e chiunque entri in azienda circa le
disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei
locali aziendali, appositi depliants informativi. In particolare, le informazioni riguardano:

✓ l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di
  chiamare il proprio medico di famiglia e l’autorità sanitaria

✓ la consapevolezza e l’accettazione del fatto di non poter fare ingresso o di poter permanere in azienda e di
  doverlo dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni
  di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone
  positive al virus nei 14 giorni precedenti, etc) in cui i provvedimenti dell’Autorità impongono di informare il
  medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio
3.3 PROTOCOLLO CONDIVISO E L’OBBLIGO INFORMATIVO ALL’ACCESSO

                                                                                                                    © Rödl & Partner
NEI LOCALI
Il Protocollo sancisce all’art. 1 che “ L’azienda informa tutti i lavoratori e chiunque entri in azienda circa le
disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei
locali aziendali, appositi depliants informativi. In particolare, le informazioni riguardano:

✓ l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda
  (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere
  comportamenti corretti sul piano dell’igiene)

✓ l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi
  sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad
  adeguata distanza dalle persone presenti .

L’obbligo informativo in merito ai sintomi influenzali implica un trattamento di dati particolari di natura
sanitaria, che il datore potrà effettuare solo adottando misure tecniche ed organizzative adeguate.
AGENDA

1    Introduzione
     La compressione della privacy in favore della sicurezza
     pubblica: bilanciamento tra diritto alla riservatezza e
2
     tutela del diritto alla salute (tracciamenti via app,
     geolocalizzazione, etc)
     I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7,
     lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di
     regolamentazione delle misure per il contrasto e il
3    contenimento della diffusione del virus Covid-19 negli
     ambienti di lavoro del 14.3.2020: regole privacy in materia
     di controllo degli accessi, rilevazione della temperatura e
     moduli di autodichiarazione, smartworking
     I trattamento di dati particolari nel contesto covid-19 da
4    parte delle organizzazioni: regole organizzative e tecniche
     per l’uso
5    La ricerca scientifica, il vaccino e i dati particolari

6    Contatti
© Rödl & Partner
4.1     LA DEFINIZIONE DI DATI PARTICOLARI

                                                                                                                Art. 4 e 9, del GDPR

      In Europa:

      Per «dato particolare» si intende il
      dato inerente lo stato di salute, il dato
      biometrico, dato genetico, il dato che
      rivela le opinioni politiche, l’origine
      razziale etnica nonché la vita e
      l’orientamento    sessuale     di     una         Temperatura                  Certificato                 Dato
      persona.                                          Corporea                     Medico                      Biometrico

            Art. 9, par. 1, del GDPR
                 Salve le ipotesi di cui al par. 2 «è vietato trattare […] dati particolari intesi a identificare in modo univoco
                 una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della
                 persona».
© Rödl & Partner
4.2     LA DEFINIZIONE DI DATI PARTICOLARI

      QUANDO E’ LECITO TRATTARE I DATI PARTICOLARI?
            Art. 9, par. 2, del GDPR

      Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

             a. l'interessato ha prestato il proprio consenso;
             b. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del
                trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione
                sociale;
             c. il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona
                fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio
                consenso;
             d. il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di
                lucro;
             e. il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
© Rödl & Partner
4.2      LA DEFINIZIONE DI DATI PARTICOLARI

            Art. 9, par. 2, del GDPR

      Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

             g. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o
                ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
             h. il trattamento è necessario per motivi di interesse pubblico;
             i. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro,
                valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o
                sociale;
             j. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali
                la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri
                elevati di qualità e sicurezza dell'assistenza sanitaria;
             k. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o
                storica o a fini statistici.
© Rödl & Partner
4.3    I DATI PARTICOLARI E LA NORMATIVA ITALIANA

         Art. 9, par. 4, del GDPR

      «Gli Stati membri possono mantenere o introdurre ulteriori
      condizioni, comprese limitazioni, con riguardo al trattamento
      di dati genetici, dati biometrici o dati relativi alla salute».
© Rödl & Partner
4.3      I DATI PARTICOLARI E LA NORMATIVA ITALIANA

           Art. 9, par. 4, del GDPR

      Art. 2-septies, comma 1, del D.Lgs. n. 196/2003:

      «In attuazione di quanto previsto dall'articolo 9, paragrafo 4, del regolamento, i
      dati genetici, biometrici e relativi alla salute, possono essere oggetto di
      trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo
      articolo 9 GDPR ed in conformità alle misure di garanzia disposte dal Garante, nel
      rispetto di quanto previsto dal presente articolo»
© Rödl & Partner
4.3   I DATI PARTICOLARI E LA NORMATIVA ITALIANA

       Art. 9, par. 4, del GDPR

               In attesa del provvedimento di cui all’art. 2-septies, comma 1, del D.Lgs. n. 196/2003
                                      occorre quindi prendere in considerazione

                                                                (In caso di trattamento di dato biometrico)
       Provvedimento recante le prescrizioni relative
                                                                    Provvedimento generale prescrittivo
       al trattamento di categorie particolari di dati,
                                                                  in tema di biometria - 12 novembre 2014
         ai sensi dell’art. 21, comma 1 del d.lgs. 10
                                                                                     E
                    agosto 2018, n. 101
                                                                         Linee guida EDPB 3/2019
4.4 PROVVEDIMENTO RECANTE LE PRESCRIZIONI RELATIVE AL

                                                                                                                          © Rödl & Partner
TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI

   Il provvedimento legittima la raccolta dei dati personali solo se il trattamento rispetta
   quanto statuito dall’art. 9 del GDPR.

   Il Provvedimento aggiunge, inoltre, che:

         i dati devono essere raccolti, di regola, presso l’interessato;
         tutte le comunicazioni all’interessato in merito al trattamento di dati particolari devono fornire prova della
         ricezione dell’atto;
         i documenti che contengono categorie particolari di dati, ove debbano essere trasmessi ad altri uffici o
         funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere
         esclusivamente le informazioni necessarie.

                                                                                                                          42
4.4 PROVVEDIMENTO RECANTE LE PRESCRIZIONI RELATIVE AL

                                                          © Rödl & Partner
TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI

         Queste prescrizioni devono
         essere rispettate anche in   ASSOLUTAMENTE SI!
               questo caso?

                                                          43
4.5   PROVVEDIMENTO IN MATERIA DI BIOMETRIA 2014 E LINEE GUIDA

                                                                                    © Rödl & Partner
3/2019
         E SE RACCOLGO UN DATO BIOMETRICO? QUALI MISURE ULTERIORI DEVO ADOTTARE?

              RACCOLTA E
            CONSERVAZIONE     CONSERVAZIONE                       APPLICAZIONE DI
                 DEI LOG           DEI DATI       CONSERVAZIONE      ALGORITMI
              DI ACCESSO      IDENTIFICATIVI IN     DEI DATI IN    CRITTOGRAFICI
             AI SERVER OVE     SISTEMI DIVERSI      AMBIENTE        SUI MODELLI
                  SONO        RISPETTO AI DATI      PROTETTO        BIOMETRICI
              CONSERVATI         BIOMETRICI
            DATI BIOMETRICI

            DEFINIZIONE DI                         ADOZIONE DI
            UNA POLITICHE                         STRUMENTI DI     ALTRE MISURE
                                 DIVIETO DI
                PER LA                            CIFRATURA PIÙ     TECNICHE IN
                                 ACCESSO
           CIFRATURA E PER                           FORTI IN      LINEA CON LO
                              ESTERNO AI DATI
             LA GESTIONE                           RELAZIONE AI      SVILUPPO
                                BIOMETRICI
             DELLE CHIAVI                           DATI GREZZI    TECNOLOGICO

                                                                                    44
AGENDA

1    Introduzione
     La compressione della privacy in favore della sicurezza
     pubblica: bilanciamento tra diritto alla riservatezza e
2
     tutela del diritto alla salute (tracciamenti via app,
     geolocalizzazione, etc)
     I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7,
     lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di
     regolamentazione delle misure per il contrasto e il
3    contenimento della diffusione del virus Covid-19 negli
     ambienti di lavoro del 14.3.2020: regole privacy in materia
     di controllo degli accessi, rilevazione della temperatura e
     moduli di autodichiarazione, smartworking
     I trattamento di dati particolari nel contesto covid-19 da
4    parte delle organizzazioni: regole organizzative e tecniche
     per l’uso
5    La ricerca scientifica, il vaccino e i dati particolari

6    Contatti
© Rödl & Partner
5.1   LA RICERCA SCIENTIFICA E LA CORSA AL VACCINO
© Rödl & Partner
5.1   LA RICERCA SCIENTIFICA E LA CORSA AL VACCINO

               L’EMERGENZA CHE STIAMO VIVENDO IN TUTTO IL MONDO
              HA PROVOCATO UNA CORSA ALLA SCOPERTA DEL VACCINO
                     CHE BLOCCHI IL CONTAGIO DEL COVID 19

               I centri impegnati nella ricerca seguono differenti strategie diverse per trovare un
               vaccino per il Covid – 19:

               ▪   Somministrazione di virus interi che causino una risposta anticorpale;

               ▪   Somministrazione di una sub-componente del virus, ossia la proteina spike, che
                   corrisponde a ciò con cui il virus si lega al recettore cellulare, per indurre anticorpi
                   contro di essa e bloccare il legame;

               ▪   Iniezione nel corpo umano, come vaccino, di un frammento di DNA o RNA del virus,
                   che contiene le istruzioni per produrre la proteina virale spike. Grazie a questa
                   iniezione le cellule umane la producono, suscitando la risposta immunitaria.
                                                                                                              47
© Rödl & Partner
5.2   PROTOCOLLO INTESA PER VACCINO COVID-19

                        A tal proposito anche in Italia ci siamo adoperati per trovare un
                        vaccino per il Covid-19.

                        In data 24 marzo 2020 è stato sottoscritto un Protocollo d’intesa
                        con lo scopo di:

                        « mettere a sistema le competenze al fine di dare vita ad una
                        proficua e immediata collaborazione nonché opportunità di
                        cooperazione che possa contribuire ad affrontare e risolvere la
                        grave crisi epidemiologica».

                         Stanziamento risorse finanziarie pari a 8 milioni di euro;
                         Trovare vaccino attraverso l’iniezione di un frammento di DNA
                         o RNA del virus, che contiene le istruzioni per produrre la
                         proteina virale Spike attraverso un vettore adenovirale.

                                                                                            48
© Rödl & Partner
5.3   DISCIPLINA PRIVACY NELL’AMBITO DELLA RICERCA SCIENTIFICA

                          IL PROGETTO DI RICERCA IMPLICA:

                           • Raccolta dei campioni biologici da soggetti malati da cui
                             reperire il virus;
                           • Analisi della risposta immunitaria al vaccino.
                           • Comunicazione di dati particolari tra ospedale e istituto di
                             ricerca

                      Si applicano anche per gli enti di ricerca e gli ospedali le disposizioni riguardo il
                      trattamento di dati particolari ed in particolare:

                      •   Art . 9 e 89 GDPR;
                      •   Art. 104 a 110-bis Codice Privacy novellato;
                      •   Prescrizioni dell’Autorità Garante del 29 luglio 2019 in merito al trattamento di dati
                          particolari;
                      •   Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.

                                                                                                                   49
© Rödl & Partner
5.4    L’ART. 9 E 89 GDPR

                 il trattamento dei dati particolari è legittimo se necessario a fini di ricerca scientifica in conformità
                 dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, proporzionato alla finalità

      Art.9      perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche
                 per tutelare i diritti fondamentali e gli interessi dell'interessato

                • Il trattamento a fini di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i
                 diritti e le libertà dell'interessato;

      Art. 89   • il diritto dell'Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21,
                 qualora questo possa pregiudicare il progetto di ricerca

                                                                                                                                       50
© Rödl & Partner
5.5      ADEMPIMENTI PRIVACY ALLA LUCE DELLA NORMATIVA ITALIANA
                                                                                                                  Art. 104 a 110-bis Codice Privacy novellato;
                                                             Prescrizioni dell’Autorità Garante del 29 luglio 2019 in merito al trattamento di dati particolari;
                                                                                Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.

 Le disposizioni nazionali approfondiscono e sembrano dare istruzioni più precise e stringenti riguardo il
 trattamento di dati personali per finalità di ricerca medica, biomedica ed epidemiologica. Il trattamento risulta
 infatti legittimo solo se i dati raccolti sono necessari:

 per la conduzione di studi effettuati con dati raccolti in precedenza a fini di cura della salute o per l’esecuzione
 di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di
 tutela della salute o per l’esecuzione di precedenti progetti di ricerca oppure

 per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico,
 non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso.
                                                                                                                                                                   51
© Rödl & Partner
5.6   MISURE DI ORGANIZZATIVE E DI SICUREZZA DA ADOTTARE

                    Il GDPR, il nostro codice privacy e il provvedimento forniscono precise istruzioni
                                  su come trattare i dati personali per finalità di ricerca.
                          COME DOVRANNO COMPORTARSI GLI ENTI
            PER PROCEDERE CONFORMEMENTE A QUANTO DISPOSTO DALLA NORMATIVA?

                                                                              IDONEI      MISURE DI
                                                                            SISTEMI DI   PROTEZIONE
                                                 CANALI DI                                              TEMPI DI
                                      DATA                                 AUTENTICAZ    DEL LUOGO
                      CONSENSO                  TRASMISSIO    SISTEMI DI                               CONSERVAZI
      INFORMATIVA                  PROTECTION                               IONE PER I       DI
                        (SALVO                  NE PROTETTI   AUDIT LOG                                  ONE DEI
                                   AGREEMENT                                SOGGETTI      ARCHIVIAZI
                      ECCEZIONI)                  DEI DATI                                                DATI
                                                                           AUTORIZZAT      ONE DEL
                                                                                 I          DATO

                                                                                                                    52
© Rödl & Partner
5.7   RICAPITOLANDO

                      ▪ La normativa privacy non è un freno alla salvaguardia della
                         salute.

                      ▪ Il legislatore e le Autorità Competenti hanno come obiettivo la
                         salvaguardia di tutti i diritti e delle libertà degli interessati
                         ponendo sempre in essere un bilanciamento di interessi.

                      ▪ Il datore di lavoro può salvaguardare la salute e la privacy dei
                         propri dipendenti allo stesso tempo, basta adottare le
                         opportune cautele.

                      ▪ La cura e il vaccino per il Covid-19 sono la priorità di tutti gli
                         stati e la privacy dei cittadini può essere rispettata anche
                         tutelando nel migliore dei modi la salute e la sicurezza sociale di
                         tutti i cittadini.
                                                                                               53
© Rödl & Partner
5.8   CONCLUSIONI

       «In conclusione, è così difficile in momenti come questi far convivere
                    due diritti come quello alla salute e alla privacy?
           No, se rispettiamo un principio fondamentale della democrazia, la proporzionalità.
              Che è garantito quando un sistema anche invasivo è comunque finalizzato
                              all'interesse generale di tutela della salute.
                 Purché la raccolta di informazioni non ecceda rispetto alle necessità
           e avvenga dentro un processo ben normato, controllato e soprattutto a termine»

                                                                    Un'app per la salute grazie a precise deroghe alla privacy
                                                                                                 Intervista ad Antonello Soro,
                                                                            (di Paolo Russo, "La Stampa" - 25 marzo 2020)

                                                                                                                                 54
AGENDA

1    Introduzione
     La compressione della privacy in favore della sicurezza
     pubblica: bilanciamento tra diritto alla riservatezza e
2
     tutela del diritto alla salute (tracciamenti via app,
     geolocalizzazione, etc)
     I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7,
     lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di
     regolamentazione delle misure per il contrasto e il
3    contenimento della diffusione del virus Covid-19 negli
     ambienti di lavoro del 14.3.2020: regole privacy in materia
     di controllo degli accessi, rilevazione della temperatura e
     moduli di autodichiarazione, smartworking
     I trattamento di dati particolari nel contesto covid-19 da
4    parte delle organizzazioni: regole organizzative e tecniche
     per l’uso
5    La ricerca scientifica, il vaccino e i dati particolari

6    Contatti
© Rödl & Partner
6.1          CONTATTI

Nadia Martini
Avvocato, Associate Partner

Esperienze professionali                   Attività principali                        Skills
▪ Nel 2012 responsabile del team di        ▪ Assistenza giudiziale e                  ▪   Data Protection
  data Protection-I.P. e I.T .presso         stragiudiziale a clienti italiani e      ▪   Privacy
  Studio Legale Nunziante Magrone            stranieri in tutte le problematiche di   ▪   Intellectual Property
▪ Nel 2016, avvocato IP presso Nabarro       data protection, Diritto d’autore,       ▪   Information Technologies
  LLP                                        Diritto Industriale                      ▪   Compliance
▪ Nel 2016, avvocato IP presso Crystal     ▪ Privacy Officer Certificato secondo
  and Giannoni –Crystal LLC                  lo standard ISO/IEC 17024
▪ Dal 2016 responsabile del                ▪ Nel 2008 membro dell'Istituto
  dipartimento di Data Protection, I.P,      Italiano della Privacy
  I.T di Rödl & Partner ed Head of Data    ▪ Implementazione del GDPR in
  Protection Italy                           aziende multinazionali e leader in
▪ DPO per realtà primarie                    diversi settori

Formazione                                                                            Lingue
▪   Laurea in Giurisprudenza conseguita presso l’Università di Milano                 ▪ Italiano
▪   Iscritta all’Albo degli avvocati di Milano                                        ▪ Inglese
▪   Master in IP;
▪   Master in IT;
▪   Master in Data protection

                                                                                                                     56
© Rödl & Partner
6.1          CONTATTI

Nicolò Maria Salvi
Avvocato, Associate – Data Protection Italy

Esperienze professionali         Attività principali                                           Skills
▪ Esperienze pregresse in        ▪ Assistenza giudiziale e stragiudiziale a clienti italiani   ▪   Data Protection e Privacy
  studi legali internazionali      e stranieri in tutte le problematiche di Data Protection    ▪   Proprietà Intellettuale
▪ In Rödl & Partner dal 2017       (es. Marketing, Profiling, E-Commerce, Targeting,           ▪   Information Technologies
                                   CRM, social media, verifiche preliminari, Cookies,          ▪   Diritto costituzionale
                                   trattamento dei dati personali, Apps, E-Health e
                                   Smart Devices, valutazione dei rischi,
                                   implementation del GDPR)
                                 ▪ Implementation del GDPR in società di primaria
                                   importanza
Formazione                                                                                     Lingue
▪ Laurea in giurisprudenza conseguita presso la LUISS Guido Carli di Roma                      ▪ Italiano
▪ Corso di perfezionamento in diritto europeo per la protezione dei dati personali presso ▪ Inglese
  la LUISS Guido Carli di Roma
▪ Master in Data Protection Officer e Privacy Matter Expert presso TopLegal Academy
▪ Cultore della materia in Teoria e tecnica dell‘interpretazione e della normazione presso
  la LUISS Guido Carli di Roma
▪ Collaboratore di cattedra in Diritto Costituzionale II, Diritto dei media, Metodologia della
  scienza giuridica presso la LUISS Guido Carli di Roma

                                                                                                                               57
© Rödl & Partner
6.1          CONTATTI

Serena Gianvecchio
Dottoressa, Junior Associate – Data Protection Italy

Esperienze professionali         Attività principali                                       Skills
▪ Esperienza formativo-          ▪ Assistenza giudiziale e stragiudiziale a clienti italiani ▪ Data Protection e Privacy
  professionale in agenzia di      e stranieri in tutte le problematiche di Data Protection ▪ Proprietà Intellettuale
  investigazioni;                  (es. Marketing, Profiling, E-Commerce, Targeting,         ▪ Information Technologies
▪ Esperienza professionale         CRM, social media, verifiche preliminari, Cookies,
  come Data protection             trattamento dei dati personali, Apps, E-Health e
  Specialist in Azienda;           Smart Devices, valutazione dei rischi,
▪ In Rödl & Partner dal 2018       implementation del GDPR)
                                 ▪ Implementation del GDPR in società di primaria
                                   importanza
Formazione                                                                                 Lingue
▪ Laurea in Giurisprudenza conseguita presso l’Università di Milano                        ▪ Italiano
▪ Corso di Formazione per Data Protection Specialist                                       ▪ Inglese
▪ Corso di specializzazione per Data Protection Specialist                                 ▪ Francese
▪ Corso di perfezionamento in Data Protection e Data governance presso l’Università
  degli Studi di Milano
▪ Iscritta nel registro del praticanti presso l‘Ordine degli Avvocati di Milano
▪ Collaboratrice di cattedra in Informatica giuridica presso l’Università degli Studi di
  Milano

                                                                                                                           58
© Rödl & Partner
                                               MILANO
                                               Rödl & Partner                          T             +39-02-6328841
                                               Largo Donegani 2                        Fax           +39-02-63288420
                                               I-20121 Milano                          info@roedl.it

 Avvocati, Dottori Commercialisti, Revisori
     Legali e Consulenti del Lavoro            PADOVA
                                               Rödl & Partner                          T           +39-049-804 6911
Attorneys-at-Law, Tax Consultants, Certified   Via F. Rismondo, 2/E                    Fax         +39-049-8046920
                                               35131 Padova                            padova@roedl.it
Public Accountants and Labour Consultancy

      Rechtsanwälte, Steuerberater,
  Wirtschaftsprüfer, Arbeitsrechtsberater      ROMA
                                               Rödl & Partner                          T             +39-06-96701270
                                               P.zza S.Anastasia, 7                    Fax           +39-06-3223394
                                               00186 Roma                              roma@roedl.it

                                               BOLZANO
                                               Rödl & Partner                          T           +39-0471-1943200
                                               P.zza Walther- von- der- Vogelweide 8   Fax          +39-0471-1943220
                                               39100 Bolzano                           bolzano@roedl.it

                                                                                                                       59
Puoi anche leggere