UNO STUDIO GLOBALE - Rödl & Partner
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
UNO STUDIO GLOBALE Avv. Nadia Martini «GLI IMPATTI PRIVACY DEI PROVVEDIMENTI ANTI COVID-19» Avv. Nicolò Maria Salvi Quali sono gli impatti privacy dei protocolli di sicurezza anti-contagio secondo i Dott.ssa Serena Gianvecchio DPCM del mese di marzo? Quali le soluzioni che le organizzazioni possono Milano, 2 Aprile 2020 adottare?
AGENDA 1 Introduzione La compressione della privacy in favore della sicurezza pubblica: bilanciamento tra diritto alla riservatezza e 2 tutela del diritto alla salute (tracciamenti via app, geolocalizzazione, etc) I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di regolamentazione delle misure per il contrasto e il 3 contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14.3.2020: regole privacy in materia di controllo degli accessi, rilevazione della temperatura e moduli di autodichiarazione, smartworking I trattamento di dati particolari nel contesto covid-19 da 4 parte delle organizzazioni: regole organizzative e tecniche per l’uso 5 La ricerca scientifica, il vaccino e i dati particolari 6 Contatti
AGENDA 1 Introduzione La compressione della privacy in favore della sicurezza pubblica: bilanciamento tra diritto alla riservatezza e 2 tutela del diritto alla salute (tracciamenti via app, geolocalizzazione, etc) I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di regolamentazione delle misure per il contrasto e il 3 contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14.3.2020: regole privacy in materia di controllo degli accessi, rilevazione della temperatura e moduli di autodichiarazione, smartworking I trattamento di dati particolari nel contesto covid-19 da 4 parte delle organizzazioni: regole organizzative e tecniche per l’uso 5 La ricerca scientifica, il vaccino e i dati particolari 6 Contatti
© Rödl & Partner 1.1 IL NUOVO REGOLAMENTO PRIVACY EUROPEO Il 25 maggio 2016, dopo anni di trattative, è entrato finalmente in vigore il Nuovo Regolamento Europeo sulla Protezione dei Dati n. 2016/679 (“GDPR o Reg.”). Il GDPR: — sostituisce dal 25.5.2018 la Direttiva 95/46/EC che disciplina il trattamento dei dati e, in larga misura, la normativa nazionale in tema di protezione dati, che ha implementato la direttiva, introducendo un nuovo complesso di regole applicabili a tutti gli Stati Membri; — introduce massivi cambiamenti alle leggi nazionali, e quindi anche al D.Lgs.196/2003, impattando in modo significativo su tutte le società ed enti che trattano dati (titolari o responsabili) e su ogni aspetto delle relazioni tra le organizzazioni e il pubblico; — Ma i trattamenti in caso di emergenza hanno una importante connotazione locale (Provv. Garante 2.3.2020; art. 1, n. 7, lett. d) del DPCM 11 marzo 2020; Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro del 14.3.2020) e una regolamentazione europea oltre al GDPR (EDPB_2020) Il mancato adempimento al Regolamento è sanzionato dal 25 maggio 2018. 4
© Rödl & Partner 1.2 IL NUOVO REGOLAMENTO PRIVACY EUROPEO Post GDPR: adozione da parte di Titolare e Responsabile di misure Dando prova che le soluzioni adottate siano le misure adeguate in base ad una tecniche e organizzative valutazione del proprio adeguate al caso concreto trattamento e del relativo rischio e impatto Ante GDPR: adempimento di obblighi, formalità e misure È il principio minime di sicurezza previsti dell’Accountability dalla legge Sanzioni amministrative fino al 4% del fatturato mondiale annuo di gruppo; sanzioni civili; sanzioni penali ex D.Lgs. 196/2003 5
© Rödl & Partner 1.3 PRINCIPIO DELL’ACCOUNTABILITY (RESPONSABILIZZAZIONE) LICEITA’,CORRETTEZZA E TRASPARENZA LIMITAZIONE DELLA FINALITA’ Il GDPR richiede che tutti i trattamenti di dati Il trattamento dei dati personali deve essere limitato personali siano equi; cioè, che le aziende non allo scopo legittimo per il quale tali dati sono stati eseguano trattamenti che non siano legittimi (es. originariamente raccolti dall’interessato: previa informativa e consenso o altri base giuridiche, trattamento secondo quanto indicato etc.) nell’informative. MINIMIZZAZIONE DEI DATI LIMITAZIONE DELLA CONSERVAZIONE I dati personali devono essere conservati solo se necessario, cioè, i dati personali devono essere E’ possibile trattare solo i dati personali cancellati /anonimizzati una volta che lo scopo assolutamente necessari allo scopo della raccolta. legittimo per il quale il dato è stato raccolto è stato adempiuto ESATTEZZA INTEGRITA’ E RISERVATEZZA I dati personali devono essere trattati in modo da I dati personali degli interessati devono sempre garantire una sicurezza adeguata, mediante misure essere accurati e aggiornati. E’ necessario garantire tecniche e organizzative adeguate adottate dal che gli interessati possano aggiornare i loro dati, Titolare a seconda del caso e del rischio concreto quando necessario. 6
© Rödl & Partner 1.4 IL PROCESSO Il processo GDPR Risk/Impact Assessment Remediation Implementation/Monitoring
AGENDA 1 Introduzione La compressione della privacy in favore della sicurezza pubblica: bilanciamento tra diritto alla riservatezza e 2 tutela del diritto alla salute (tracciamenti via app, geolocalizzazione, etc) I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di regolamentazione delle misure per il contrasto e il 3 contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14.3.2020: regole privacy in materia di controllo degli accessi, rilevazione della temperatura e moduli di autodichiarazione, smartworking I trattamento di dati particolari nel contesto covid-19 da 4 parte delle organizzazioni: regole organizzative e tecniche per l’uso 5 La ricerca scientifica, il vaccino e i dati particolari 6 Contatti
© Rödl & Partner 2.1 LA COMPRESSIONE DELLE LIBERTÀ E DEI DIRITTI COSTITUZIONALI DPCM 11 marzo 2020 ❖ Libera circolazione sul territorio dello Stato (art. 16) ❖ Diritto all’istruzione (artt. 33 e 34) ❖ Libertà di riunione (art. 17) ❖ Diritto al lavoro (artt. 4 e 35 e ss.) ❖ Libertà di culto religioso (art. 19) ❖ Diritto di sciopero (art. 40) ❖ Diritto di difesa (art. 24) ❖ Libera iniziativa economica (art. 41) ❖ Diritto di sposarsi e creare una famiglia (art. 29) ❖ Diritto di voto (artt. 48 e ss.) Il diritto alla protezione dei dati personali? Può essere compresso?
© Rödl & Partner 2.2 LE LIMITAZIONI ALLA PROTEZIONE DEI DATI PERSONALI Considerando n. 46 al GDPR «Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell'interessato o di un'altra persona fisica. […] alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell'interessato, per esempio se il trattamento è necessario a fini umanitari, tra l'altro per tenere sotto controllo l'evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana» L’art. 9, par. 2, del GDPR consente il trattamento delle categorie particolari di dati personali quando necessario per: i. «motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato» 11
© Rödl & Partner 2.2 LE LIMITAZIONI ALLA PROTEZIONE DEI DATI PERSONALI Parere favorevole alla proposta di ordinanza del Dipartimento della protezione civile che prevede la 2 febbraio comunicazione e lo scambio di dati personali, anche particolari, fra soggetti pubblici e privati coinvolti nel contrasto alla diffusione del Covid-19. 3 febbraio Ordinanza della Presidenza del consiglio dei ministri Dipartimento della protezione civile n. 630 Antonello Soro, intervistato da Il Messaggero, afferma che «l'emergenza legata all'epidemia comprime alcune 23 febbraio libertà. […] In casi così il diritto alla privacy subisce delle limitazioni» Comunicato stampa del Garante Privacy: no a iniziative "fai da te" nella raccolta dei dati. Soggetti pubblici e 2 marzo privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti D.L. n. 14/2020 che, all’art. 14, ribadisce la possibilità di comunicazione di dati anche particolari e esonera 9 marzo dall’obbligo di informativa ex art. 13. L’EDPB ricorda che «i dati relativi all'ubicazione possono essere utilizzati dall'operatore solo se resi anonimi o con il consenso dei singoli. Tuttavia, l'articolo 15 della direttiva e-privacy consente agli Stati membri di 19 marzo introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica» Antonello Soro, in un intervento su AgendaDigitale, afferma che «Non è vero che la privacy è il lusso che non possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e 29 marzo consigliabile fare per sconfiggere il coronavirus. La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento. Oltre che nella sua temporaneità» 12
© Rödl & Partner 2.3 IL C.D. «MODELLO COREA» No «zone rosse» Monitoraggio degli Test e tamponi spostamenti mediante mirati GPS smartphone, carte di credito e sistema di videosorveglianza SMS o notifiche push ai contatti a rischio 13
© Rödl & Partner 2.4 IL C.D. «MODELLO COREA» IN ITALIA AS-IS DESIDERATA ❖ Trattamento dei dati relativi all’ubicazione in chiaro per: 1. monitorare gli spostamenti dei soggetti in quarantena 2. Ricostruire gli spostamenti per individuare soggetti a rischio Art. 126 al Codice Privacy «dati relativi ❖ Utilizzo di App per l’invio di SMS o push ai all'ubicazione diversi dai dati relativi al traffico, soggetti a rischio riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l'utente o il contraente ha manifestato previamente il proprio consenso […]» 14
© Rödl & Partner 2.4 IL C.D. «MODELLO COREA» IN ITALIA 15
© Rödl & Partner 2.5 L’APP ALLERTALOM Il 30 marzo la Regione Lombardia ha lanciato l’App allertaLOM attraverso la quale: ❖ raccoglie dati personali di tutti gli utenti quali indirizzi IP e codici IMEI identificativi degli smartphone ❖ prevede la facoltà per l’utente di aderire a progetto FERMACOVID compilando un questionario con il quale sono raccolti anche dati relativi allo stato di salute ❖ non raccoglie dati sulla localizzazione del device
© Rödl & Partner 2.6 I POSSIBILI RISCHI DERIVANTI DA UN USO ILLECITO DEI DATI «Non tutto ciò che è tecnologicamente possibile è anche socialmente desiderabile, eticamente accettabile e giuridicamente legittimo. Oggi dobbiamo aggiungere che le derive tecnologiche possono produrre gravi effetti distorsivi» Stefano Rodotà – 28 aprile 2004 17
© Rödl & Partner 2.7 LA VIA PERCORRIBILE PER IL CONTACT TRACING ❖ Rispetto dei principi di cui all’art. 5 GDPR quali, proporzionalità, minimizzazione e accountability ❖ Cabina di regia unica e centrale a livello statale, ad esempio, in capo al Dipartimento di protezione civile) evitando la creazione di diverse banche dati e diversità di trattamenti ❖ Previsione normativa ad efficacia temporalmente limitata (es. decreto legge) ❖ Individuazione normativa di adeguate garanzie, in conformità all’art. 36, par. 4, GDPR ❖ Valutazione di misure graduali ❖ Test mirati su possibili contagiati ❖ Possibile coinvolgimento della Corte Costituzione in via principale da parte dell’Autorità Garante (proposta del presidente dell’Istituto Italiano Privacy) 18
AGENDA 1 Introduzione La compressione della privacy in favore della sicurezza pubblica: bilanciamento tra diritto alla riservatezza e 2 tutela del diritto alla salute (tracciamenti via app, geolocalizzazione, etc) I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di regolamentazione delle misure per il contrasto e il 3 contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14.3.2020: regole privacy in materia di controllo degli accessi, rilevazione della temperatura e moduli di autodichiarazione, smartworking I trattamento di dati particolari nel contesto covid-19 da 4 parte delle organizzazioni: regole organizzative e tecniche per l’uso 5 La ricerca scientifica, il vaccino e i dati particolari 6 Contatti
© Rödl & Partner 3.1 DPCM 11 MARZO 2020 E SS DPCM 11 marzo 2020 Il DPCM 11 marzo 2020, al fine di contenere il contagio COVID-19 sul territorio nazionale, raccomanda a tutti i datori di lavoro: ➢ Di incentivare il lavoro agile (art. 1 c. 10) ➢ Di assumere protocolli di sicurezza anti – contagio (distanza di almeno 1 metro e strumenti di protezione individuale) (art. 1 c. 7 lett. d) ➢ Di favorire intese tra organizzazioni datoriali e sindacali (art. 1 c. 9) Tutti e tre gli aspetti producono importanti impatti privacy
© Rödl & Partner 3.2 IL LAVORO AGILE DPCM 11 marzo 2020 Il DPCM 11 marzo 2020, al fine di contenere il contagio COVID-19 sul territorio nazionale, raccomanda a tutti i datori di lavoro: ➢ Di incentivare il lavoro agile (art. 1 c. 10) ➢ Di assumere protocolli di sicurezza anti – contagio (distanza di almeno 1 metro e strumenti di protezione individuale) (art. 1 c. 7 lett. d) ➢ Di favorire intese tra organizzazioni datoriali e sindacali (art. 1 c. 9) Tutti e tre gli aspetti producono importanti impatti privacy
© Rödl & Partner 3.2 IL LAVORO AGILE Il lavoro agile implica trattamenti di dati personali effettuati dal lavoratore per conto del datore di lavoro. Essi devono quindi avvenire ai sensi della disciplina privacy vigente e nel rispetto di misure tecniche ed organizzative adeguate («accountability»). In particolare:
3.2 IL LAVORO AGILE: MISURE ORGANIZZATIVE ADEGUATE: ALCUNI © Rödl & Partner ESEMPI MODELLO INFORMATIVE CONSENSI GESTIONE TERZE PARTI GESTIONE DIRITTI ORGANIZZATIVO INTERESSATO PRIVACY Dipendenti Marketing Referenti interni Sito web Profilazione DPA che vincolino a standard sicurezza Accesso, Oblio, Incaricati/autorizzati Candidati Geolocalizzazione lavoro agile Rettifica, Portabilità, Ads Fornitori/Consulenti Comunicazione Policy per Opposizione, DPO Visitatori qualificazione terze Limitazione Formazione Videosorveglianza parti Policy per diritti PRIVACY BY REGISTRI DEL DATA RETENTION DATA BREACH RISK e PRIVACY DESIGN TRATTAMENTO ASSESSMENT con + 250 dipendenti Policy per la Policy e metodologia Policy per la gestione se trattamento di dati di data retention valutazione del rischio Policy e approccio di del breach particolari (art. 9) Retention per dato, e dell’impatto del incorporazione della Metodologia per la o rischio per libertà trattamento e sistema trattamento, necessario privacy a partire dalla quantificazione del fondamentali (es. per determinare misure progettazione di un breach (Enisa 2013) profilazione su larga adeguate processo aziendale scala)
© Rödl & Partner 3.2 IL LAVORO AGILE: MISURE TECNICHE ADEGUATE: ALCUNI ESEMPI ASSET MGMT PATCH MGMT DB LOGGING OS LOGGING SECURE COMM. SYSTEMS PROTOCOL END POINT SECURE ACCESS SYS ADMIN PASSWORD MGMT SEGREGATION OF ENCRYPTION FOR CONSULTANT ACCESS REVIEW DUTY 24
© Rödl & Partner 3.2 IL LAVORO AGILE: PUNTI CRITICI Ma come fare a garantire standard di sicurezza presso la casa del lavoratore: - Device personali e non aziendali? - Assistenti vocali (es. Alexa o Siri) disattivati? - Privacy mask? - Accordi coi fornitori? - Tool dedicati?
© Rödl & Partner 3.3 PROTOCOLLI ED INTESE DPCM 11 marzo 2020 Il DPCM 11 marzo 2020, al fine di contenere il contagio COVID-19 sul territorio nazionale, raccomanda a tutti i datori di lavoro: ➢ Di incentivare il lavoro agile (art. 1 c. 10) ➢ Di assumere protocolli di sicurezza anti – contagio (distanza di almeno 1 metro e strumenti di protezione individuale) (art. 1 c. 7 lett. d) ➢ Di favorire intese tra organizzazioni datoriali e sindacali (art. 1 c. 9) Tutti e tre gli aspetti producono importanti impatti privacy
© Rödl & Partner 3.3 PROTOCOLLO CONDIVISO DI REGOLAMENTAZIONE DELLE MISURE PER IL CONTRASTO E IL CONTENIMENTO DELLA DIFFUSIONE DEL VIRUS COVID-19 NEGLI AMBIENTI DI LAVORO DEL 14.3.2020 Il Protocollo è stato sottoscritto su invito del Presidente del Consiglio dei ministri, del Ministro dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute, che hanno promosso l’incontro tra le parti sociali, in attuazione della misura, contenuta all’articolo 1 c. 9, del decreto del Presidente del Consiglio dei ministri 11 marzo 2020. Il documento è vincolante per coloro che sono parte del mondo confindustriali in quanto iscritti e detta regole applicabili ai propri luoghi di lavoro. Il Protocollo introduce importanti trattamenti privacy all’accesso nei locali : (i) il diritto del datore di trattamento di dati particolari (temperatura corporea) (ii) il diritto del datore di regolare l’accesso ai locali (moduli di autodichiarazione) (iii) obblighi informativi del datore verso il lavoratore
3.3 PROTOCOLLO CONDIVISO E LA RILEVAZIONE DELLA TEMPERATURA © Rödl & Partner ALL’ACCESSO NEI LOCALI Il Protocollo sancisce inoltre all’art. 2 che “Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione - nel rispetto delle indicazioni riportate in nota - saranno momentaneamente isolate e fornite di mascherine non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni. Il datore di lavoro informa preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS». In altre parole, il titolare del trattamento è autorizzato dalla legge al trattamento di dati particolari quali la rilevazione della temperatura con termoscanner o termometri digitali. Ma, dato che la rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali di natura particolare (art. 9 GDPR) esso deve avvenire ai sensi della disciplina privacy vigente e quindi nel rispetto di misure tecniche ed organizzative adeguate.
3.3. PROTOCOLLO CONDIVISO E LA RILEVAZIONE DELLA TEMPERATURA: LE © Rödl & Partner MISURE Base giuridica: possibile identificare Necessità e adempimento obblighi di No registrazione della l’interessato e registrare il Informativa short legge (art. 9, par. 2, lett. B temperatura corporea: superamento della soglia di proporzionalità del trattamento: del GDPR), ossia l’eventuale conservazione temperatura solo qualora sia (cartello, email, necessario a documentare le la finalità è l’implementazione dei dei dati raccolti è ragioni che hanno impedito brochure) protocolli di sicurezza ammessa e legittima rappresentata dalla l’accesso ai locali aziendali anti-contagio ex art. 1, n. fino al termine dello stato prevenzione dal 7, lett. d) del DPCM 11 d’emergenza contagio da COVID-19 marzo 2020 Modello Formazione ed organizzativo: istruzioni ai Valutazione di Registri del Procedure DPO e soggetti rischio e individuazione dei trattamento generali GDPR impatto soggetti preposti al preposti al trattamento trattamento
3.3 PROTOCOLLO CONDIVISO E LA RILEVAZIONE DELLA TEMPERATURA: © Rödl & Partner LE MISURE Procedure No diffusione o comunicazione In caso di isolamento Se il lavoratore comunica In caso di allontanamento del lavoratore che durante l’attività dei dati a terzi all’ufficio responsabile del specifiche ad eccezione dei casi previsti momentaneo dovuto al superamento della soglia di personale di aver avuto contatti lavorativa sviluppi febbre e sintomi di infezione respiratoria: Covid/Linee da specifiche previsioni normative (es. in caso di temperatura: con soggetti positivi al COVID- 19: assicurare modalità tali da guida per richiesta da parte dell’Autorità sanitaria per la ricostruzione assicurare modalità tali da assicurare modalità tali da garantire la riservatezza e la garantire la riservatezza e la dignità del lavoratore preposti al della filiera degli eventuali dignità del lavoratore. garantire la riservatezza e la “contatti” stretti di un dignità del lavoratore trattamento lavoratore risultato positivo al COVID-19) Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del Notificare Altre misure contesto aziendale, Accordo contatti con soggetti Regolamento violazioni dei Cifratura/ tecniche a sindacale risultati positivi al d’accesso dati personali Segregation protezione dati COVID-19 e nel caso di allontanamento del (72 h particolari lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi
3.3 PROTOCOLLO CONDIVISO E I MODULI DI AUTO-DICHIARAZIONE © Rödl & Partner ALL’ACCESSO NEI LOCALI Il Protocollo ammette all’art. 2 che «si richieda il rilascio di una dichiarazione» ma essa non deve contenere dati ultronei ma solo attestare «la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19». Anche l’acquisizione della dichiarazione costituisce un trattamento dati personali, ammesso nel solo caso indicato. A tal fine, si applicano le indicazioni precedenti e, nello specifico, si ricorda di: ✓ raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. ✓ Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. ✓ Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
3.3 PROVV. GARANTE 2.3.2020 PRIVACY, NO A INIZIATIVE "FAI DA TE« E I © Rödl & Partner MODULI DI AUTO-DICHIARAZIONE Non sono ammesse dichiarazioni diverse da quelle previste dalla legge (ossia, ad oggi, quelle volte ad attestare «la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19»). Infatti, con Provv. 2.3.2020, il Garante statuisce che «i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato. L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate. Pertanto, i datori non devono effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
3.3. PROTOCOLLO CONDIVISO E L’OBBLIGO INFORMATIVO ALL’ACCESSO © Rödl & Partner NEI LOCALI Il Protocollo sancisce all’art. 1 che “ L’azienda informa tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi depliants informativi. In particolare, le informazioni riguardano: ✓ l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria ✓ la consapevolezza e l’accettazione del fatto di non poter fare ingresso o di poter permanere in azienda e di doverlo dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc) in cui i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio
3.3 PROTOCOLLO CONDIVISO E L’OBBLIGO INFORMATIVO ALL’ACCESSO © Rödl & Partner NEI LOCALI Il Protocollo sancisce all’art. 1 che “ L’azienda informa tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi depliants informativi. In particolare, le informazioni riguardano: ✓ l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene) ✓ l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti . L’obbligo informativo in merito ai sintomi influenzali implica un trattamento di dati particolari di natura sanitaria, che il datore potrà effettuare solo adottando misure tecniche ed organizzative adeguate.
AGENDA 1 Introduzione La compressione della privacy in favore della sicurezza pubblica: bilanciamento tra diritto alla riservatezza e 2 tutela del diritto alla salute (tracciamenti via app, geolocalizzazione, etc) I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di regolamentazione delle misure per il contrasto e il 3 contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14.3.2020: regole privacy in materia di controllo degli accessi, rilevazione della temperatura e moduli di autodichiarazione, smartworking I trattamento di dati particolari nel contesto covid-19 da 4 parte delle organizzazioni: regole organizzative e tecniche per l’uso 5 La ricerca scientifica, il vaccino e i dati particolari 6 Contatti
© Rödl & Partner 4.1 LA DEFINIZIONE DI DATI PARTICOLARI Art. 4 e 9, del GDPR In Europa: Per «dato particolare» si intende il dato inerente lo stato di salute, il dato biometrico, dato genetico, il dato che rivela le opinioni politiche, l’origine razziale etnica nonché la vita e l’orientamento sessuale di una Temperatura Certificato Dato persona. Corporea Medico Biometrico Art. 9, par. 1, del GDPR Salve le ipotesi di cui al par. 2 «è vietato trattare […] dati particolari intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona».
© Rödl & Partner 4.2 LA DEFINIZIONE DI DATI PARTICOLARI QUANDO E’ LECITO TRATTARE I DATI PARTICOLARI? Art. 9, par. 2, del GDPR Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a. l'interessato ha prestato il proprio consenso; b. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; c. il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; d. il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro; e. il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
© Rödl & Partner 4.2 LA DEFINIZIONE DI DATI PARTICOLARI Art. 9, par. 2, del GDPR Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: g. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; h. il trattamento è necessario per motivi di interesse pubblico; i. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale; j. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria; k. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
© Rödl & Partner 4.3 I DATI PARTICOLARI E LA NORMATIVA ITALIANA Art. 9, par. 4, del GDPR «Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».
© Rödl & Partner 4.3 I DATI PARTICOLARI E LA NORMATIVA ITALIANA Art. 9, par. 4, del GDPR Art. 2-septies, comma 1, del D.Lgs. n. 196/2003: «In attuazione di quanto previsto dall'articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo 9 GDPR ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo»
© Rödl & Partner 4.3 I DATI PARTICOLARI E LA NORMATIVA ITALIANA Art. 9, par. 4, del GDPR In attesa del provvedimento di cui all’art. 2-septies, comma 1, del D.Lgs. n. 196/2003 occorre quindi prendere in considerazione (In caso di trattamento di dato biometrico) Provvedimento recante le prescrizioni relative Provvedimento generale prescrittivo al trattamento di categorie particolari di dati, in tema di biometria - 12 novembre 2014 ai sensi dell’art. 21, comma 1 del d.lgs. 10 E agosto 2018, n. 101 Linee guida EDPB 3/2019
4.4 PROVVEDIMENTO RECANTE LE PRESCRIZIONI RELATIVE AL © Rödl & Partner TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI Il provvedimento legittima la raccolta dei dati personali solo se il trattamento rispetta quanto statuito dall’art. 9 del GDPR. Il Provvedimento aggiunge, inoltre, che: i dati devono essere raccolti, di regola, presso l’interessato; tutte le comunicazioni all’interessato in merito al trattamento di dati particolari devono fornire prova della ricezione dell’atto; i documenti che contengono categorie particolari di dati, ove debbano essere trasmessi ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie. 42
4.4 PROVVEDIMENTO RECANTE LE PRESCRIZIONI RELATIVE AL © Rödl & Partner TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI Queste prescrizioni devono essere rispettate anche in ASSOLUTAMENTE SI! questo caso? 43
4.5 PROVVEDIMENTO IN MATERIA DI BIOMETRIA 2014 E LINEE GUIDA © Rödl & Partner 3/2019 E SE RACCOLGO UN DATO BIOMETRICO? QUALI MISURE ULTERIORI DEVO ADOTTARE? RACCOLTA E CONSERVAZIONE CONSERVAZIONE APPLICAZIONE DI DEI LOG DEI DATI CONSERVAZIONE ALGORITMI DI ACCESSO IDENTIFICATIVI IN DEI DATI IN CRITTOGRAFICI AI SERVER OVE SISTEMI DIVERSI AMBIENTE SUI MODELLI SONO RISPETTO AI DATI PROTETTO BIOMETRICI CONSERVATI BIOMETRICI DATI BIOMETRICI DEFINIZIONE DI ADOZIONE DI UNA POLITICHE STRUMENTI DI ALTRE MISURE DIVIETO DI PER LA CIFRATURA PIÙ TECNICHE IN ACCESSO CIFRATURA E PER FORTI IN LINEA CON LO ESTERNO AI DATI LA GESTIONE RELAZIONE AI SVILUPPO BIOMETRICI DELLE CHIAVI DATI GREZZI TECNOLOGICO 44
AGENDA 1 Introduzione La compressione della privacy in favore della sicurezza pubblica: bilanciamento tra diritto alla riservatezza e 2 tutela del diritto alla salute (tracciamenti via app, geolocalizzazione, etc) I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di regolamentazione delle misure per il contrasto e il 3 contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14.3.2020: regole privacy in materia di controllo degli accessi, rilevazione della temperatura e moduli di autodichiarazione, smartworking I trattamento di dati particolari nel contesto covid-19 da 4 parte delle organizzazioni: regole organizzative e tecniche per l’uso 5 La ricerca scientifica, il vaccino e i dati particolari 6 Contatti
© Rödl & Partner 5.1 LA RICERCA SCIENTIFICA E LA CORSA AL VACCINO
© Rödl & Partner 5.1 LA RICERCA SCIENTIFICA E LA CORSA AL VACCINO L’EMERGENZA CHE STIAMO VIVENDO IN TUTTO IL MONDO HA PROVOCATO UNA CORSA ALLA SCOPERTA DEL VACCINO CHE BLOCCHI IL CONTAGIO DEL COVID 19 I centri impegnati nella ricerca seguono differenti strategie diverse per trovare un vaccino per il Covid – 19: ▪ Somministrazione di virus interi che causino una risposta anticorpale; ▪ Somministrazione di una sub-componente del virus, ossia la proteina spike, che corrisponde a ciò con cui il virus si lega al recettore cellulare, per indurre anticorpi contro di essa e bloccare il legame; ▪ Iniezione nel corpo umano, come vaccino, di un frammento di DNA o RNA del virus, che contiene le istruzioni per produrre la proteina virale spike. Grazie a questa iniezione le cellule umane la producono, suscitando la risposta immunitaria. 47
© Rödl & Partner 5.2 PROTOCOLLO INTESA PER VACCINO COVID-19 A tal proposito anche in Italia ci siamo adoperati per trovare un vaccino per il Covid-19. In data 24 marzo 2020 è stato sottoscritto un Protocollo d’intesa con lo scopo di: « mettere a sistema le competenze al fine di dare vita ad una proficua e immediata collaborazione nonché opportunità di cooperazione che possa contribuire ad affrontare e risolvere la grave crisi epidemiologica». Stanziamento risorse finanziarie pari a 8 milioni di euro; Trovare vaccino attraverso l’iniezione di un frammento di DNA o RNA del virus, che contiene le istruzioni per produrre la proteina virale Spike attraverso un vettore adenovirale. 48
© Rödl & Partner 5.3 DISCIPLINA PRIVACY NELL’AMBITO DELLA RICERCA SCIENTIFICA IL PROGETTO DI RICERCA IMPLICA: • Raccolta dei campioni biologici da soggetti malati da cui reperire il virus; • Analisi della risposta immunitaria al vaccino. • Comunicazione di dati particolari tra ospedale e istituto di ricerca Si applicano anche per gli enti di ricerca e gli ospedali le disposizioni riguardo il trattamento di dati particolari ed in particolare: • Art . 9 e 89 GDPR; • Art. 104 a 110-bis Codice Privacy novellato; • Prescrizioni dell’Autorità Garante del 29 luglio 2019 in merito al trattamento di dati particolari; • Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica. 49
© Rödl & Partner 5.4 L’ART. 9 E 89 GDPR il trattamento dei dati particolari è legittimo se necessario a fini di ricerca scientifica in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, proporzionato alla finalità Art.9 perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato • Il trattamento a fini di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato; Art. 89 • il diritto dell'Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21, qualora questo possa pregiudicare il progetto di ricerca 50
© Rödl & Partner 5.5 ADEMPIMENTI PRIVACY ALLA LUCE DELLA NORMATIVA ITALIANA Art. 104 a 110-bis Codice Privacy novellato; Prescrizioni dell’Autorità Garante del 29 luglio 2019 in merito al trattamento di dati particolari; Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica. Le disposizioni nazionali approfondiscono e sembrano dare istruzioni più precise e stringenti riguardo il trattamento di dati personali per finalità di ricerca medica, biomedica ed epidemiologica. Il trattamento risulta infatti legittimo solo se i dati raccolti sono necessari: per la conduzione di studi effettuati con dati raccolti in precedenza a fini di cura della salute o per l’esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute o per l’esecuzione di precedenti progetti di ricerca oppure per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso. 51
© Rödl & Partner 5.6 MISURE DI ORGANIZZATIVE E DI SICUREZZA DA ADOTTARE Il GDPR, il nostro codice privacy e il provvedimento forniscono precise istruzioni su come trattare i dati personali per finalità di ricerca. COME DOVRANNO COMPORTARSI GLI ENTI PER PROCEDERE CONFORMEMENTE A QUANTO DISPOSTO DALLA NORMATIVA? IDONEI MISURE DI SISTEMI DI PROTEZIONE CANALI DI TEMPI DI DATA AUTENTICAZ DEL LUOGO CONSENSO TRASMISSIO SISTEMI DI CONSERVAZI INFORMATIVA PROTECTION IONE PER I DI (SALVO NE PROTETTI AUDIT LOG ONE DEI AGREEMENT SOGGETTI ARCHIVIAZI ECCEZIONI) DEI DATI DATI AUTORIZZAT ONE DEL I DATO 52
© Rödl & Partner 5.7 RICAPITOLANDO ▪ La normativa privacy non è un freno alla salvaguardia della salute. ▪ Il legislatore e le Autorità Competenti hanno come obiettivo la salvaguardia di tutti i diritti e delle libertà degli interessati ponendo sempre in essere un bilanciamento di interessi. ▪ Il datore di lavoro può salvaguardare la salute e la privacy dei propri dipendenti allo stesso tempo, basta adottare le opportune cautele. ▪ La cura e il vaccino per il Covid-19 sono la priorità di tutti gli stati e la privacy dei cittadini può essere rispettata anche tutelando nel migliore dei modi la salute e la sicurezza sociale di tutti i cittadini. 53
© Rödl & Partner 5.8 CONCLUSIONI «In conclusione, è così difficile in momenti come questi far convivere due diritti come quello alla salute e alla privacy? No, se rispettiamo un principio fondamentale della democrazia, la proporzionalità. Che è garantito quando un sistema anche invasivo è comunque finalizzato all'interesse generale di tutela della salute. Purché la raccolta di informazioni non ecceda rispetto alle necessità e avvenga dentro un processo ben normato, controllato e soprattutto a termine» Un'app per la salute grazie a precise deroghe alla privacy Intervista ad Antonello Soro, (di Paolo Russo, "La Stampa" - 25 marzo 2020) 54
AGENDA 1 Introduzione La compressione della privacy in favore della sicurezza pubblica: bilanciamento tra diritto alla riservatezza e 2 tutela del diritto alla salute (tracciamenti via app, geolocalizzazione, etc) I protocolli di sicurezza anti-contagio secondo l’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e il Protocollo condiviso di regolamentazione delle misure per il contrasto e il 3 contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14.3.2020: regole privacy in materia di controllo degli accessi, rilevazione della temperatura e moduli di autodichiarazione, smartworking I trattamento di dati particolari nel contesto covid-19 da 4 parte delle organizzazioni: regole organizzative e tecniche per l’uso 5 La ricerca scientifica, il vaccino e i dati particolari 6 Contatti
© Rödl & Partner 6.1 CONTATTI Nadia Martini Avvocato, Associate Partner Esperienze professionali Attività principali Skills ▪ Nel 2012 responsabile del team di ▪ Assistenza giudiziale e ▪ Data Protection data Protection-I.P. e I.T .presso stragiudiziale a clienti italiani e ▪ Privacy Studio Legale Nunziante Magrone stranieri in tutte le problematiche di ▪ Intellectual Property ▪ Nel 2016, avvocato IP presso Nabarro data protection, Diritto d’autore, ▪ Information Technologies LLP Diritto Industriale ▪ Compliance ▪ Nel 2016, avvocato IP presso Crystal ▪ Privacy Officer Certificato secondo and Giannoni –Crystal LLC lo standard ISO/IEC 17024 ▪ Dal 2016 responsabile del ▪ Nel 2008 membro dell'Istituto dipartimento di Data Protection, I.P, Italiano della Privacy I.T di Rödl & Partner ed Head of Data ▪ Implementazione del GDPR in Protection Italy aziende multinazionali e leader in ▪ DPO per realtà primarie diversi settori Formazione Lingue ▪ Laurea in Giurisprudenza conseguita presso l’Università di Milano ▪ Italiano ▪ Iscritta all’Albo degli avvocati di Milano ▪ Inglese ▪ Master in IP; ▪ Master in IT; ▪ Master in Data protection 56
© Rödl & Partner 6.1 CONTATTI Nicolò Maria Salvi Avvocato, Associate – Data Protection Italy Esperienze professionali Attività principali Skills ▪ Esperienze pregresse in ▪ Assistenza giudiziale e stragiudiziale a clienti italiani ▪ Data Protection e Privacy studi legali internazionali e stranieri in tutte le problematiche di Data Protection ▪ Proprietà Intellettuale ▪ In Rödl & Partner dal 2017 (es. Marketing, Profiling, E-Commerce, Targeting, ▪ Information Technologies CRM, social media, verifiche preliminari, Cookies, ▪ Diritto costituzionale trattamento dei dati personali, Apps, E-Health e Smart Devices, valutazione dei rischi, implementation del GDPR) ▪ Implementation del GDPR in società di primaria importanza Formazione Lingue ▪ Laurea in giurisprudenza conseguita presso la LUISS Guido Carli di Roma ▪ Italiano ▪ Corso di perfezionamento in diritto europeo per la protezione dei dati personali presso ▪ Inglese la LUISS Guido Carli di Roma ▪ Master in Data Protection Officer e Privacy Matter Expert presso TopLegal Academy ▪ Cultore della materia in Teoria e tecnica dell‘interpretazione e della normazione presso la LUISS Guido Carli di Roma ▪ Collaboratore di cattedra in Diritto Costituzionale II, Diritto dei media, Metodologia della scienza giuridica presso la LUISS Guido Carli di Roma 57
© Rödl & Partner 6.1 CONTATTI Serena Gianvecchio Dottoressa, Junior Associate – Data Protection Italy Esperienze professionali Attività principali Skills ▪ Esperienza formativo- ▪ Assistenza giudiziale e stragiudiziale a clienti italiani ▪ Data Protection e Privacy professionale in agenzia di e stranieri in tutte le problematiche di Data Protection ▪ Proprietà Intellettuale investigazioni; (es. Marketing, Profiling, E-Commerce, Targeting, ▪ Information Technologies ▪ Esperienza professionale CRM, social media, verifiche preliminari, Cookies, come Data protection trattamento dei dati personali, Apps, E-Health e Specialist in Azienda; Smart Devices, valutazione dei rischi, ▪ In Rödl & Partner dal 2018 implementation del GDPR) ▪ Implementation del GDPR in società di primaria importanza Formazione Lingue ▪ Laurea in Giurisprudenza conseguita presso l’Università di Milano ▪ Italiano ▪ Corso di Formazione per Data Protection Specialist ▪ Inglese ▪ Corso di specializzazione per Data Protection Specialist ▪ Francese ▪ Corso di perfezionamento in Data Protection e Data governance presso l’Università degli Studi di Milano ▪ Iscritta nel registro del praticanti presso l‘Ordine degli Avvocati di Milano ▪ Collaboratrice di cattedra in Informatica giuridica presso l’Università degli Studi di Milano 58
© Rödl & Partner MILANO Rödl & Partner T +39-02-6328841 Largo Donegani 2 Fax +39-02-63288420 I-20121 Milano info@roedl.it Avvocati, Dottori Commercialisti, Revisori Legali e Consulenti del Lavoro PADOVA Rödl & Partner T +39-049-804 6911 Attorneys-at-Law, Tax Consultants, Certified Via F. Rismondo, 2/E Fax +39-049-8046920 35131 Padova padova@roedl.it Public Accountants and Labour Consultancy Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Arbeitsrechtsberater ROMA Rödl & Partner T +39-06-96701270 P.zza S.Anastasia, 7 Fax +39-06-3223394 00186 Roma roma@roedl.it BOLZANO Rödl & Partner T +39-0471-1943200 P.zza Walther- von- der- Vogelweide 8 Fax +39-0471-1943220 39100 Bolzano bolzano@roedl.it 59
Puoi anche leggere