Covid-19 e protezione dal contagio degli ufficiali giudiziari

26 Giugno 2020

La trasmissione degli elenchi dei positivi ai Tribunali non consente un’efficace tutela del personale ed è sproporzionata

Per assicurare il contenimento del contagio da Covid-19 e la protezione degli ufficiali giudiziari i Tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari, ma, come previsto dalle norme adottate dal Governo, devono predisporre adeguati dispositivi di protezione individuale.

E’ quanto ha precisato l’Ufficio del Garante per la protezione dei dati personali in una nota indirizzata al Ministero della Giustizia con cui ha fornito il suo parere in merito alla questione sollevata  da un’ azienda sanitaria di Verona, alla quale l’UNEP (Ufficio Notifiche Esecuzioni e Protesti) del Tribunale della stessa città aveva chiesto di poter avere quotidianamente gli elenchi aggiornati delle persone positive o sospette positive al Covid-19, dei soggetti in quarantena e dei loro conviventi, nonché a loro dislocazione.

Il Garante ha ritenuto che la disponibilità dei predetti elenchi delle Aziende sanitarie non risulta necessaria né all’esercizio delle funzioni attribuite all’UNEP, né alla protezione dal contagio del personale addetto alle notifiche.

Nel fornire la sua risposta, l’Autorità ha tenuto conto del fatto che, in assenza di una mappatura dell’intera popolazione in merito al contagio Covid-19, l’eventuale stato di positività dei destinatari degli atti potrebbe sussistere, seppure non ancora accertato.

Di conseguenza, in linea con le raccomandazioni dell’Istituto Superiore di Sanità, i Tribunali devono adottare le misure di protezione individuale, disposte dal Governo per i lavoratori a contatto con il pubblico, nei confronti di tutti gli operatori UNEP a prescindere dal fatto che essi accedono a locali ove è domiciliata una persona accertata Covid-19.

Occorre inoltre considerare, che anche ove tali elenchi fossero acquisiti spetterebbe ai tribunali una difficile opera di aggiornamento, tenuto conto che gli stessi sono in continua evoluzione sulla base dei risultati dei tamponi.

L’Ufficio del Garante si è comunque reso disponibile a interloquire con il Ministero della giustizia per trovare una soluzione che consenta lo svolgimento dei compiti degli UNEP assicurando, al contempo, la protezione dal contagio del personale impiegato e la riservatezza dei soggetti posti in isolamento domiciliare per Covid-19.

Fonte: Garante Privacy

Relazione annuale 2019, discorso del Presidente e sintesi per la stampa

Roma, 23 Giugno 2020

RELAZIONE SULL’ ATTIVITA’ 2019

Sintesi per la stampa

L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2019.

La Relazione illustra i diversi fronti sui quali è stato impegnato il Collegio dell’Autorità nel corso dell’anno di proroga del suo mandato, caratterizzato in questi ultimi mesi dall’impatto determinato dall’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale. La necessità di assicurare un corretto trattamento dei dati – in particolare di quelli sulla salute – e il rispetto dei diritti delle persone, ha visto l’Autorità impegnata nel fornire pareri e indicare misure di garanzia riguardo alla app “Immuni”; all’effettuazione dei test sierologici; alla raccolta dei dati sanitari di dipendenti e clienti; alla ricetta elettronica; alla sperimentazione clinica e alla ricerca medica; all’attivazione dei sistemi di didattica a distanza; al processo penale e amministrativo da remoto.

Il 2019 ha peraltro rappresentato per l’Autorità un anno particolarmente impegnativo ai fini del progressivo adeguamento al Regolamento Ue da parte dei soggetti pubblici e privati per i quali sono oggi previste nuove responsabilità.

Gli interventi più rilevanti

Il 2019 ha visto una serie di interventi centrati innanzitutto sulle rilevanti novità introdotte dal Regolamento Ue e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la pervasività delle diverse forme di controllo e sorveglianza; il ricorso sempre più diffuso ai dati biometrici; la monetizzazione delle informazioni personali; le fake news; l’Internet delle cose; il revenge porn.

Sul fronte delle violazioni dei dati on line e sui rischi di profilazioni occulte l’anno trascorso ha registrato la sanzione di 1 milione di euro applicata a Facebook per le violazioni emerse nell’ambito dell’istruttoria relativa all’ormai nota vicenda “Cambridge Analytica”, che ha interessato anche cittadini italiani.

Riguardo ai pericoli posti da Tik Tok, il social network cinese che consente di creare e condividere audio, video e immagini, usato da milioni di utenti, in gran parte giovanissimi, il Garante ha chiesto e ottenuto la costituzione di una specifica task force  nell’ambito del Comitato europeo che riunisce tutte le Autorità privacy dell’Unione (Edpb).

Sul fronte cybersecurity e sulla scarsa attenzione alle misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line, l’Autorità ha proseguito l’attività di vigilanza e intervento, anche a seguito di casi di particolare gravità.

Significativo a questo proposito il numero dei data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati: 1443.

L’Autorità ha prescritto ad una società che offre servizi di posta elettronica certificata di adottare rigorose misure per la messa in sicurezza del proprio servizio pec e di sanare le vulnerabilità emerse durante un accertamento ispettivo.

Sempre nel 2019, il Garante ha inoltre dato una serie di puntuali prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica.

In ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata rafforzata la cooperazione con l’intelligence con il nuovo protocollo d’intenti sulla sicurezza cibernetica firmato con il Dis.

E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case. Per contrastare il fenomeno del cyberbullismo è stato stipulato un protocollo d’intesa con alcuni Co.Re.Com. con l’obiettivo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.

Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto (ransom, in inglese) per “liberarlo”. Una minaccia, questa, particolarmente pericolosa nell’epoca del Covid-19 che ha portato molte più persone e per molto più tempo ad essere connesse online.

Nel 2019 si è rafforzata ulteriormente l’attività a tutela del diritto all’oblio e si è sviluppato il confronto in ambito internazionale riguardo ad una sua protezione al di là dei confini europei.

Nel mondo del lavoro il Garante ha definito le garanzie per la raccolta delle impronte digitali dei dipendenti pubblici a fini di lotta all’assenteismo e ha fissato le regole per l’uso delle nuove tecnologie, con particolare riguardo al controllo dei lavoratori e alla gestione della posta elettronica.

Nel settore della giustizia l’Autorità ha proposto misure per assicurare maggiori garanzie nell’uso dei captatori informatici (trojan) a fini investigativi e ha segnalato al Ministro della Giustizia la necessità di una riforma organica per questi strumenti di indagine particolarmente invasivi, anche per limitare i gravi rischi di un loro uso distorsivo emersi da ultimo nel caso “Exodus”.

Nel settore della sanità il Garante è intervenuto a dare chiarimenti  a cittadini, medici, asl e soggetti privati, sulle novità introdotte dal Regolamento Ue e dalla normativa nazionale.

Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato le amministrazioni a rispettare canoni di proporzionalità e a contemperare obblighi di pubblicità degli atti e dignità delle persone.  Ha fissato precise regole per l’esercizio del diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”. Per il nuovo censimento permanente l’Autorità ha chiesto garanzie per rafforzare la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.

Per quanto riguarda il sistema della fiscalità, il Garante ha chiesto tutele per evitare trattamenti sproporzionati dei dati personali dei contribuenti e misure di sicurezza per l’accesso all’archivio dei rapporti finanziari per l’Isee precompilato. Per il sistema di fatturazione elettronica l’Autorità ha ribadito la necessità di garantire la proporzionalità e la selettività nella memorizzazione dei dati dei contribuenti. Sono state fissate inoltre le garanzie per i processi automatizzati ai fini della lotta all’evasione fiscale e sono state stabilite le regole per l’avvio della cosiddetta “lotteria degli scontrini”.

In ambito welfare l’Autorità ha chiesto di rendere conforme il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza alla normativa europea, evitando il monitoraggio troppo invasivo sulle scelte di consumo individuali e assicurando la selettività degli accesi a informazioni relative a fasce deboli della popolazione.

Sul fronte della tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) ad operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. Sono state varate nuove regole a tutela dei consumatori censiti nei sistemi di informazione creditizia, per rispondere alle sfide della digital economy e imporre trasparenza sul funzionamento degli algoritmi.

Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità che caratterizzano un certo modo di fare informazione e per assicurare le opportune tutele innanzitutto nei confronti delle vittime di abusi sessuali, specie se minori.

Il 2019 ha visto, infine, il Garante costantemente impegnato nell’azione di supporto a imprese e pubbliche amministrazioni con una intensa attività di formazione, anche attraverso progetti di cooperazione internazionale (T4Data e Smedata), ai fini di una corretta ed effettiva applicazione del Regolamento Ue, anche riguardo alla nuova figura del Responsabile della protezione dei dati

Le cifre

Nel 2019 sono stati adottati 232 provvedimenti collegiali.
L’Autorità ha fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, tra l’altro il marketing telefonico; la sanità; il credito al consumo; la sicurezza informatica; il settore bancario e finanziario; il lavoro; gli enti locali.

pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 46 ed hanno riguardato l’attività di polizia e sicurezza nazionale; il casellario giudiziale; la digitalizzazione della Pa; le misure contro l’assenteismo e la raccolta delle impronte digitali dei dipendenti pubblici; il testamento biologico; il reddito di cittadinanza; la riforma del Registro pubblico delle opposizioni; il “bonus cultura”; il “whistleblowing”; l’istruzione; la procreazione assistita.

33 sono stati i pareri resi ai sensi della normativa sulla trasparenza.

Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 9 e hanno riguardato l’inosservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni e notificazioni al Garante e un caso di accesso abusivo ad un sistema informativo e telematico.    Le ordinanze-ingiunzione sono state 36.

Le ispezioni effettuate nel 2019 sono state 147. Gli accertamenti, svolti anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato numerosi settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati da società di intermediazione finanziaria; da istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti); da società che svolgono attività di marketing e fidelizzazione (anche con riferimento alla profilazione dei clienti). Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata sul Sistema statistico nazionale (Sistan), sullo Spid, sui software per la gestione del “whistleblowing” e sulle banche dati di rilevanti dimensioni.

Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 15.800 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue, seguiti dalle questioni legate alle telefonate, mail, fax e sms promozionali indesiderati; a Internet; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle centrali rischi private; ai dati bancari.

L’attività internazionale

Non meno rilevante e intensa l’attività del Garante a livello internazionale, con 137 riunioni, ed è stata caratterizzata soprattutto dall’azione di supporto all’ applicazione del Regolamento in materia di protezione dei dati.
Nell’ambito del Comitato europeo per la protezione dei dati (EDPB), che riunisce le autorità di protezione dati dell’Ue, il Garante ha contribuito all’adozione di numerose linee-guida e pareri su tematiche complesse: i codici di condotta; i principi di privacy by design e by default; i contratti online; la videosorveglianza; i trasferimenti di dati verso Paesi extra-Ue basati su norme vincolanti d’impresa (BCR). Il Garante partecipa, inoltre, ai meccanismi di cooperazione (“sportello unico”) e coerenza previsti dal Regolamento Ue, attraverso scambi quotidiani di informazioni e documentazione (in particolare concernenti decisioni su reclami transfrontalieri) sul sistema IMI utilizzato a tale scopo. Importante anche il lavoro svolto sull’interazione tra Regolamento europeo e Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva e-Privacy)

Da sottolineare anche l’attività del Garante italiano per il Consiglio d’Europa, che – attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante del Garante italiano – ha proseguito il lavoro di follow up del Protocollo emendativo della Convenzione 108 che ha dato vita alla cosiddetta “Convenzione 108+”. Il Comitato consultivo della Convenzione 108 ha inoltre adottato le Linee guida in materia di intelligenza artificiale e il Parere relativo alla bozza di secondo protocollo addizionale alla Convenzione di Budapest sul cybercrime. E’ stata infine adottata dal Comitato dei ministri la Raccomandazione sulla protezione dei dati relativi alla salute.

Significativo anche il contributo dato in seno all’OCSE, in particolare riguardo alla sicurezza e alla tutela della privacy nell’economia digitale alla protezione dei minori on line. Si è intensificata anche la collaborazione nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN), che promuovono interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati.Da segnalare anche il lavoro svolto in rapporto alle attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti).

Il testo della Relazione annuale 2019

Discorso del Presidente Antonello Soro

Roma, 23 giugno 2020

Fonte: Garante Privacy

Parere su uno schema di decreto relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO il decreto legge 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota del 29 maggio 2020 (prot. n. 77692), il Ministero dell’Economia e delle Finanze (Mef) ha trasmesso, per il previsto parere, uno schema di decreto, da adottare di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

RILEVATO

Lo schema di decreto inviato al Garante prevede che il Sistema TS renda disponibili agli operatori del Dipartimento di Prevenzione delle ASL, anche tramite i Sistemi di Accoglienza Regionale (SAR), le funzionalità per la trasmissione di alcuni dati al Sistema di allerta Covid-19. A tal fine, lo schema di decreto prevede che, in caso di esito positivo di un tampone, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente contatti il paziente per effettuare l’indagine epidemiologica, che prevede anche la verifica dell’installazione dell’applicazione di cui all’art. 6, comma 1, del decreto legge n. 30 aprile 2020, n. 28 (di seguito “App”). Se il paziente ha installato la predetta App, gli sarà richiesto di utilizzare la funzione di generazione del codice OTP che il paziente comunicherà all’operatore; a questo punto, ottenuta l’autorizzazione, il sistema procederà con il caricamento sul server di backend del Sistema di allerta Covid-19 delle chiavi crittografiche casuali (Temporary Exposure Key) generate dal dispositivo mobile su cui è installata l’App (art. 2 dello schema di decreto).

Secondo quanto indicato nello schema di decreto, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente, dopo aver acceduto al Sistema TS, anche tramite i SAR, con le credenziali in suo possesso e in virtù del particolare profilo di autorizzazione attribuito, inserisce i dati forniti dal paziente (codice OTP e data di inizio dei sintomi) che saranno inviati dal Sistema TS al server di backend del Sistema di allerta Covid-19 con le modalità descritte nell’Allegato A al decreto (art. 2, commi 3 e 4 dello schema di decreto).

In merito ai descritti trattamenti effettuati dal Sistema TS, il Ministero dell’economia e delle finanze è designato Responsabile del trattamento da parte del Ministero della salute (art. 28 del Regolamento e art. 2, comma 7 dello schema di decreto).

La valutazione di impatto relativa ai trattamenti di dati personali posti in essere tramite il Sistema TS nell’ambito del richiamato Sistema di allerta Covid-19 è stata effettuata, conformemente all’art. 35, par. 1 del Regolamento, unitamente a quella relativa al complesso delle operazioni effettuate mediante il predetto Sistema di allerta Covid-19 (art. 2, comma 8 dello schema di decreto).

Lo schema di decreto trasmesso all’Autorità è stato formulato anche sulla base dei rilievi e delle indicazioni fornite dall’Ufficio nel corso di alcune riunioni e interlocuzioni.

Lo schema di decreto trasmesso si compone di 2 articoli, relativi al quadro definitorio (art. 1) e alla trasmissione dei dati dagli operatori sanitari per il tramite del Sistema TS (art. 2), nonché di un allegato tecnico relativo alle “Modalità di trasmissione dei dati dagli operatori sanitari per il tramite del Sistema” (Allegato A allo schema di decreto).

OSSERVA

Lo schema di decreto in esame definisce le modalità del trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

Le misure indicate nello schema di decreto in esame completano l’individuazione dei dati personali raccolti dall’App necessari ad avvisare gli utenti della stessa di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19 che sono stati determinati dal Ministero della salute e specificati nell’ambito della valutazione di impatto presentata al Garante contestualmente allo schema di decreto in esame (art. 6, comma 2, lett. b), d.l. n. 28/2020).

Al riguardo, l’Ufficio, nel corso delle interlocuzioni con il Mef e con il Ministero della salute, ha fornito il proprio contributo affinché, seppur con l’urgenza connessa al contesto emergenziale, le soluzioni individuate fossero rispettose della disciplina in materia di trattamento dei dati sulla salute.

Con specifico riferimento al trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, è stata richiesto che fosse specificamente demandato all’operatore di sanità pubblica il compito, in caso di esito positivo di un tampone, di contattare il paziente per effettuare l’indagine epidemiologica che prevederà anche la verifica circa l’eventuale installazione dell’App.

Ciò in conformità alle disposizioni di settore, adottate anche nel contesto emergenziale in atto, che attribuiscono proprio ai Dipartimenti di prevenzione delle aziende sanitarie locali il compito di ricostruire la filiera dei contati stretti del soggetto risultato positivo al Covid-19 e di determinare le misure di contenimento di contagio più opportune (art. 3, comma 6, d.p.c.m. 8 marzo 2020, Circolare n. 5443 del Ministero della salute del 22 febbraio 2020, e successive modificazioni e integrazioni).

L’Ufficio ha inoltre rappresentato la necessità che, con riferimento ai trattamenti effettuati tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, il Mef sia designato Responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

Nell’ambito della predetta collaborazione istituzionale, l’Ufficio ha espresso inoltre alcuni rilievi tecnici relativi, in particolare, alle procedure di autenticazione informatica per l’accesso alla predetta funzionalità del sistema TS da parte degli operatori sanitari, alle informazioni memorizzate nei file di log e al relativo periodo di conservazione. Ulteriori rilievi sono stati formulati con riferimento alle procedure di autenticazione informatica per l’accesso al sistema TS da parte dei c.d. “amministratori di sicurezza”, alle informazioni memorizzate nei file di log degli accessi e delle operazioni compiute dagli amministratori di sistema e al relativo periodo di conservazione. Le indicazioni sono state volte anche a rendere omogenee a livello nazionale le predette misure.

Ciò premesso, rilevato che lo schema di decreto in esame tiene conto delle indicazioni fornite dall’Ufficio, non vi sono rilievi da formulare, sotto il profilo della protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute.

Roma, 1° giugno 2020

Fonte: Garante Privacy

Provvedimento sui data breach INPS: comunicazione agli interessati coinvolti – 14 maggio 2020

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

Viste le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L’Istituto nazionale previdenza sociale (di seguito “INPS” o “Istituto”), con note del 1° aprile e del 6 aprile 2020, ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, due distinte violazioni dei dati personali che hanno comportato, rispettivamente:

1. l’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;

2. l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

Tali violazioni dei dati personali si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate alla situazione emergenziale in corso previste dal d.l. 18/2020, nei confronti di una prevista ampia platea di beneficiari che hanno tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell’INPS.

Contestualmente, l’Autorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale. In particolare, si evidenzia come, tra i predetti soggetti, siano presenti:

numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell’INPS, compresi quelli per compilare e inviare individualmente la propria domanda per l’erogazione delle prestazioni previste dal d.l. n. 18/2020;

soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi;

professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi;

enti e associazioni, in rappresentanza di categorie professionali e utenti.

Muovendo da tali elementi, l’Ufficio ha avviato un’istruttoria sulle predette violazioni dei dati personali, mediante richieste di informazioni rivolte all’Istituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dall’INPS e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dall’Istituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste l’Istituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020, fornendo le informazioni e gli elementi di seguito rappresentati.

1. Gli elementi forniti dall’Istituto

1.1. La violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”

In relazione alla prima violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di garantire “adeguati livelli di fruibilità dei servizi […] e contestualmente la protezione da attacchi DDOS” nei giorni in cui sarebbe stato possibile presentare le istanze per l’erogazione di prestazioni previste dal d.l. n. 18/2020, aveva deciso di fare ricorso a un servizio CDN (Content Delivery Network), ritenuto “idoneo per la gestione di questo modello di erogazione di servizio (cosiddetto click day)”.

In particolare, l’Istituto ha rappresentato che “in vista del rilascio di nuovi servizi al cittadino, previsto per il giorno 01/04/2020, INPS richiede il coinvolgimento del supporto Microsoft, al fine di valutare soluzioni tecnologiche che possano aiutare a migliorare le prestazioni del servizio reso attraverso il sito web istituzionale dell’INPS, in previsione di possibili carichi eccezionali. Viene, altresì, coinvolta la società Leonardo la quale fornisce il supporto sistemistico nell’ambito dell’accordo quadro Consip di system management. Si forma un “tavolo tecnico” tra Inps, Microsoft e Leonardo e viene individuata, come unica soluzione possibile per fronteggiare l’emergenza, l’utilizzo di una Content Delivery Network (CDN)”, optando per “l’offerta tecnologica di Microsoft che, nell’ambito dei servizi Cloud Azure, propone un servizio di distribuzione dei contenuti basato su una propria tecnologia [(di seguito “CDN Microsoft”)] ovvero su tecnologia Akamai [(di seguito “CDN Akamai”)], leader del mercato di riferimento”.

L’Istituto ha dichiarato che, inizialmente, nella serata del 31 marzo 2020, aveva provveduto ad attivare il servizio CDN Microsoft ma, emergendo “da subito criticità proprio nel caching [… con] risposte generiche del tipo “The Request cannot be served””, aveva “ritenuto opportuno operare un rollback della situazione ripristinando l’accesso diretto al proprio sito”. L’Istituto ha precisato che “i disservizi osservati [… erano] dunque relativi all’incapacità del servizio di fornire risposte all’utente e dunque di indisponibilità dello stesso”.

Successivamente, nella mattina del 1° aprile 2020, l’Istituto aveva rilevato che “i sistemi erano in forte sofferenza e il servizio era fortemente degradato” e aveva, pertanto, “optato per riattivare il servizio CDN, questa volta su tecnologia Akamai” che è stato “attivato, attraverso la modifica del DNS, alle ore 10,13 del 1° Aprile”. Tuttavia, “si è subito palesato l’anomalo funzionamento del meccanismo di caching che di fatto ha provocato la replica di alcune schede anagrafiche presenti nel portale www.inps.it, l’unico dominio sottoposto a caching da parte della CDN” e “non appena sono emersi i primi segnali di un potenziale data breach, alle ore 10,30 è stato avviato il rollback della soluzione modificando la risoluzione DNS per tornare all’erogazione dei servizi esclusivamente attraverso il portale dell’Istituto senza l’intermediazione della CDN”.

A. Le misure adottate per porre rimedio alla violazione dei dati personali

In seguito, l’Istituto ha deciso di “chiudere completamente il portale internet” e di riattivare il servizio, dopo circa 3 ore, solo a seguito dell’effettuazione di “alcune ottimizzazioni già avviate ma non ancora ultimate al momento dell’apertura dello stesso” e del “contingentamento del traffico proveniente dagli intermediari e dai cittadini stabilendo che questi ultimi potessero accedere solo al di fuori della fascia orario dalle ore 8 alle 16 riservata agli intermediari”. Inoltre, “l’Istituto ha richiesto la rimozione di tutti i contenuti che sono stati indebitamente diffusi da terzi su Twitter”.

L’Istituto ha rappresentato che, nei giorni successivi alla violazione dei dati personali, ha continuato a ricevere “svariate segnalazioni di utenti che hanno rilevato la persistenza di dati anagrafici di soggetti terzi […] all’accesso delle procedure dell’Istituto ma si è accertato che tali segnalazioni non erano ascrivibili alla persistenza del problema ma semplicemente al fatto che il browser dell’utente continuava a ripresentare la pagina memorizzata nella sua cache locale. Infatti, è stato sufficiente far fare un refresh della pagina o svuotare la cache che il problema non si è più ripresentato”.

L’Istituto ha altresì evidenziato che, “al fine di limitare la diffusione dei dati personali che si era innescata sui vari social, […] si è provveduto ad istituire una apposita casella violazionedatiGDPR@inps.it, resa pubblica con apposito avviso in home page del portale, per consentire di inviare segnalazioni ed evidenze in merito al data breach”.

B. Le tipologie di dati personali oggetto di violazione

L’Istituto ha rappresentato che “sulla base delle evidenze riscontrate e delle successive analisi tecniche, la violazione dei dati di tali soggetti è stata limitata alla sola possibilità di visualizzazione di dati personali (anagrafici, residenza e contatti telematici), presenti nelle pagine cache, non essendo consentita alcuna modifica da parte di terzi”. In particolare, le tipologie di dati personali oggetto della violazione sono “codice fiscale, cognome, nome, data di nascita, luogo di nascita, indirizzo di residenza, telefono, cellulare, email e PEC”, presenti nella “pagina “Anagrafica” all’interno della sezione myINPS del portale informativo”.

C. Gli interessati coinvolti nella violazione dei dati personali

L’Istituto ha dichiarato che, sulla base delle impostazioni di caching del servizio CDN Akamai e dell’analisi dei relativi log, “gli interessati non dovrebbero essere oltre 23 persone”, evidenziando che “non è possibile identificare analiticamente dai sistemi i soggetti coinvolti nella violazione poiché la CDN Akamai non ha la persistenza dei contenuti in cache. Si è dunque proceduto ad una loro identificazione sulla base delle segnalazioni raccolte attraverso la specifica casella violazionedatiGDPR@inps.it” e fornendo un elenco di 8 interessati coinvolti nella violazione dei dati personali.

In particolare, l’Istituto ha aggiunto che “dall’analisi degli access log della CDN, è emerso che le richieste della pagina anagrafica di myINPS, che hanno avuto una risposta positiva (HTTP 200), sono state 842. Considerato che tra queste ci sono anche le richieste effettuate dai potenziali interessati al data breach, come stimati […] in massimo 23 unità, ne consegue che il numero massimo di soggetti che avrebbero avuto la possibilità di consultare i dati anagrafici di terzi è non superiore a 819. Tuttavia, considerato che ogni utente, di fronte all’esigenza di accedere ai propri dati, potrebbe aver richiesto un nuovo caricamento della pagina, ne consegue che il numero effettivo di soggetti distinti potrebbe essere stato sensibilmente inferiore”.

D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti

A questo proposito, l’Istituto ha dichiarato che “tenuto conto della tipologia dei dati visualizzati e nella considerazione che la possibilità di visualizzazione è avvenuta in modo del tutto casuale e limitata nel tempo da parte di soggetti che appaiono privi di qualunque legame e interesse con quelli coinvolti, […] ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

1.2. La violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting

In relazione alla seconda violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di “consentire la presentazione delle domande esclusivamente per via telematica, nonostante i tempi molto ristretti concessi per la sua predisposizione (il decreto è del 17 marzo 2020 e la presentazione delle domande è stata avviata sempre dal 1° aprile, con messa in produzione il 31 marzo, nel contesto di tutte le criticità sopra descritte), si è dovuto realizzare una nuova procedura informatica poiché i requisiti formulati per questo tipo di prestazione non hanno consentito il riuso di altre procedure” e che l’accesso a tale procedura doveva essere consentito “a tutti i cittadini e ai patronati quali intermediari autorizzati alla trasmissione”, tenendo anche conto del fatto che “molti potenziali beneficiari delle prestazioni avrebbero potuto non essere in possesso di credenziali di accesso (PIN, SPID, CIE, CNS)” al portale “www.inps.it”.

L’Istituto ha rappresentato che ha quindi “consentito, per le sole domande delle indennità 600€ e del Bonus Baby Sitting, la possibilità di presentare le domande con i soli primi 8 caratteri ricevuti via SMS dopo la richiesta del PIN” (c.d. accesso con modalità semplificata o, anche, con “PIN semplificato”) e che “tale previsione ha comportato la necessità di gestire il profilo autorizzativo attraverso controlli applicativi in deroga agli standard di controllo autorizzativo adottati per tutte le altre applicazioni, delegando alle applicazioni il controllo autorizzativo”. Tuttavia, “per effettuare in tempo strettissimi tutte le attività del ciclo di vita del software, le aree applicative hanno dovuto derogare parzialmente anche agli ordinari collaudi di sicurezza applicativa che l’Istituto effettua su tutte le sue applicazioni e che non è stato possibile effettuare alla luce dei tempi imposti e non negoziabili”.

L’Istituto ha rappresentato di essersi avvalso, per la realizzazione della procedura Bonus Baby Sitting, dei servizi di “application development and maintenance” forniti dalla società Sistemi Informativi S.r.l., designata responsabile ai sensi dell’art. 28 del Regolamento, a cui “sono state fornite le indicazioni di carattere amministrativo e tecnico derivanti dall’applicazione del D.L. 18/2020 per la progettazione e lo sviluppo del software, come normalmente avviene in occasione di nuove procedure”.

In particolare, l’Istituto ha dichiarato di aver dato “la possibilità di accesso alla procedura con qualsiasi identità digitale, anche il PIN semplificato, a prescindere dal profilo autorizzativo e sulla base del principio che: ogni soggetto identificato con una identità digitale può svolgere atti relativi alla sua persona. Tuttavia, la procedura ha dovuto prevedere la possibilità di trasmettere le domande anche attraverso i patronati. Dunque la procedura prevede un funzionamento duale: “cittadino in prima persona” che può inserire la domanda solo per proprio conto, “Patronato” che può inserire domande anche per terzi. Nel determinare il comportamento che doveva assumere sulla base delle informazioni del profilo dell’utente identificato dal sistema di accesso, l’implementazione della procedura non ha tenuto conto dell’esistenza di molteplici altre categorie di utenti, diverse dal cittadino (con PIN completo) e dal patronato, assimilandole a tutti gli effetti ai patronati invece che al cittadino”.

A. Le misure adottate per porre rimedio alla violazione dei dati personali

L’Istituto ha rappresentato che “il malfunzionamento si è verificato dal momento dell’apertura della procedura e ha interessato gli utenti cittadino che hanno acceduto con il PIN semplificato e tutte le altre categorie di utenti diverse dal semplice cittadino e dai patronati, indipendentemente dalla tipologia di credenziali [di autenticazione] utilizzate” e che lo stesso si è protratto fino alle ore 11:48 del 2 aprile 2020, momento in cui l’Istituto, dopo essere venuto a conoscenza della violazione, ha provveduto a chiudere “immediatamente il servizio per effettuare gli approfondimenti dovuti e correggere l’anomalia”.

B. Le tipologie di dati personali oggetto di violazione

L’Istituto ha dichiarato che la predetta “non corretta implementazione di [… un] controllo applicativo ha consentito a persone non autorizzate di consultare la lista delle domande presentate dalla stessa categoria di utenti” e che, a partire dall’elenco di tali domande, era possibile visualizzarne il contenuto e, nel caso di domande salvate in bozza (ossia non ancora trasmesse dal richiedente), modificarne il contenuto, cancellarle o inviarle all’Istituto. In particolare, l’INPS ha rappresentato che “ogni utente appartenente alle suddette categorie, ha potuto accedere alle domande trasmesse da altri utenti della stessa categoria. Ad es. chi ha acceduto con PIN semplificato ha potuto accedere alle domande inserite da altri con PIN semplificato, il consulente del lavoro ha potuto accedere alle domande inserite da altri consulenti del lavoro”, evidenziando che:

“la visualizzazione della lista di domande presenta i seguenti dati: n. domanda, data inserimento, codice fiscale del minore, data di presentazione della domanda, stato della domanda”;

“l’azione di cancellazione di una domanda [(salvata in bozza)] non consente di visualizzarne il contenuto”;

le operazioni di visualizzazione di una domanda (trasmessa o salvata in bozza) o di modifica di una domanda (salvata in bozza) consentivano l’accesso alle seguenti tipologie di dati personali:

i) dati personali del richiedente: dichiarazione di essere o meno unico genitore; codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; stato civile; indirizzo di residenza; cellulare; email; PEC; situazione lavorativa (appartenenza a una delle seguenti categorie di lavoratori: lavoratori dipendenti del settore privato; iscritti alla gestione separata; lavoratori autonomi; lavoratori dipendenti del settore sanitario pubblico e privato accreditato; personale del comparto sicurezza, difesa e soccorso pubblico);

ii) dati personali del figlio: dichiarazione di essere il genitore/affidatario del figlio; dichiarazione di essere convivente con il figlio; codice fiscale; cognome; nome; sesso; data di nascita; cittadinanza; in caso di minore di affido, documentazione della sentenza di affido; in caso di figlio di età superiore ai 12 anni con disabilità, dichiarazioni sullo stato di disabilità quale portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3, comma 3, della legge n. 104/1992, nonché sulla frequenza scolastica, di ordine e grado, o presso un centro diurno a carattere assistenziale, allegando la relativa documentazione attestante tali circostanze;

iii) dati personali dell’altro genitore: codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; in caso di altro genitore convivente con il richiedente, dichiarazioni sulla fruizione di altre prestazioni e sulla situazione lavorativa (“l’altro genitore non ha usufruito di alcuna delle misure di cui agli artt. 23 e 25 del d.l. n. 18/2020”; “l’altro genitore non è beneficiario di strumenti di sostegno al reddito in caso di sospensione o cessazione dell’attività lavorativa”; “l’altro genitore non è disoccupato ed è un lavoratore”).

C. Gli interessati coinvolti nella violazione dei dati personali

Sulla base della documentazione in atti, durante il periodo di malfunzionamento della procedura Bonus Baby Sitting, il numero massimo di domande – mostrate nella lista presente nella sezione “Consultazione domande” – che sono state potenzialmente accessibili da terzi, appartenenti alle predette categorie di utenti, risulta pari a 773, così suddivise:

670 domande compilate da utenti con profilo “Cittadino PIN semplificato”;

71 domande compilate da utenti con profilo “Consulente”;

8 domande compilate da utenti con profilo “Azienda”;

24 domande compilate da utenti con profilo riconducibile a diversi Ordini professionali (ciascuna domanda con visibilità limitata agli utenti con lo stesso profilo).

L’Istituto ha dichiarato di aver rilevato l’esecuzione di diverse tipologie di operazioni su alcune delle predette domande, nei seguenti termini:

68 domande, trasmesse o salvate in bozza, sono state visualizzate da terzi;

17 domande, salvate in bozza, sono state modificate da terzi;

81 domande, salvate in bozza, sono state cancellate da terzi;

62 domande, salvate in bozza, sono state inviate da terzi (non operatori di patronato).

D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti

Per quanto attiene alle considerazioni svolte dall’INPS in ordine alla sussistenza dei presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti, l’Istituto ha dichiarato che:

“i soggetti che hanno visualizzato [le 68] domande inserite da terzi sono, per la quali totalità, residenti in altra regione, provincia o comune degli interessati” e, inoltre, “non era fornita la possibilità di ricercare domande attraverso elementi identificativi dei soggetti a meno che si fosse già a conoscenza del codice fiscale del minore e che detto codice fiscale fosse presente nella lista casualmente visualizzata”;

“in merito ai 17 interessati per i quali è stata rilevata una modifica, da parte di terzi, della relativa domanda in stato di bozza, non avendo l’interessato provveduto ancora alla sua trasmissione, si è proceduto, come misura di maggior tutela, alla loro cancellazione logica. L’interessato avrebbe dunque potuto reinserire i dati della domanda senza il rischio di alterazione da parte di terzi”;

gli 81 “soggetti che hanno visto cancellata la propria bozza di domanda, non hanno visto i propri dati visualizzati da terzi e l’unica conseguenza è stata quella di aver dovuto riacquisire i dati precedentemente immessi prima dell’invio”;

le 62 domande inviate all’Istituto da terzi “sono state bloccate e si sta gestendo l’iter amministrativo delle stesse coinvolgendo gli interessati”.

L’Istituto ha, inoltre, rappresentato che “non sono state riscontrate evidenze di una diffusione di dati personali di specifiche domande di Baby Sitting” e che “dalle analisi condotte sulle domande visualizzate o modificate da terzi, è emerso che solo 2 domande contenevano l’indicazione che il minore è portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3 comma 3 L. 104/92 senza l’allegazione di alcuna documentazione aggiuntiva. Nessuna delle domande era riferita a situazione di minori in affido o adottati”.

L’Istituto ha quindi dichiarato che “i suddetti aspetti denotano come, chi ha consultato, avrebbe avuto uno scarso interesse a conoscere i dati visualizzati e dunque uno scarso impatto sulla sfera personale degli interessati. Allo stesso tempo, l’impossibilità di fare ricerche mirate, la casualità e l’evidenza che chi ha acceduto ha una residenza distante dagli interessati, denotano una scarsa probabilità che i dati siano stati visualizzati da soggetti che potevano avere interesse ad incidere sulla sfera personale dei soggetti coinvolti. Sulla base di tali valutazioni di rischio, l’Istituto ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

OSSERVA

2. Il quadro emerso dalle segnalazioni e dai reclami

In aggiunta a quanto rappresentato dall’INPS nelle note inviate all’Autorità e sopra sintetizzate, occorre precisare che alcune segnalazioni e reclami hanno portato alla luce ulteriori e diversi elementi che richiedono specifici approfondimenti al fine di meglio delineare l’ambito e la portata delle violazioni dei dati personali notificate all’Autorità ovvero di rilevare criticità non ancora oggetto di valutazione da parte dell’Istituto, di seguito riassunte, che potrebbero richiedere l’adozione di ulteriori misure, anche in relazione all’individuazione di nuovi interessati coinvolti.

2.1. Elementi relativi alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”

Sulla base di una prima analisi delle segnalazioni e dei reclami ricevuti dall’Autorità, nonché di ulteriori elementi reperibili in rete, emerge che tale violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti già individuati dall’Istituto, che ai 23 soggetti complessivamente indicati da quest’ultimo come numero massimo di interessati che sarebbero stati coinvolti nella violazione determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”.

Inoltre, dalla predetta documentazione, sono state rilevate le seguenti ulteriori criticità, che non state oggetto di approfondimento da parte dell’Istituto:

ulteriori dati oggetto di violazione: alcuni utenti hanno rappresentato che, accendendo al portale dell’INPS, nella mattina del 1° aprile 2020, era possibile visualizzare, oltre ai dati anagrafici e di contatto, anche informazioni relative alle richieste inoltrate all’Istituto da altri interessati tramite il servizio “INPS Risponde”, nonché la loro posizione fiscale e altre informazioni disponibili nell’area riservata del portale;

assenza di una procedura di autenticazione informatica: alcuni utenti hanno segnalato che, nella mattina del 1° aprile 2020, collegandosi al portale dell’INPS, hanno avuto accesso ai dati personali di altri interessati, senza aver superato alcuna procedura di autenticazione informatica.

2.2. Elementi relativi alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting

Anche con riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, dalle segnalazioni e dai reclami è emersa la necessità di chiarire la circostanza per cui, accedendo alla sezione “Consultazione Domande” della procedura Bonus Baby Sitting, in data 2 aprile 2020, erano visualizzabili anche domande presentate in data 31 marzo 2020, ossia il giorno precedente alla data a decorrere dalla quale, come rappresentato dall’Istituto, sarebbe stato possibile presentare le domande (1° aprile 2020).

2.3. Ulteriori anomalie rilevate

Alcune segnalazioni e reclami hanno, infine, portato alla luce ulteriori anomalie, che non risultano direttamente correlate a quanto rappresentato dall’INPS in relazione alle violazioni dei dati personali oggetto di notifica, di seguito sintetizzate:

a) accessi non autorizzati a dati personali occorsi già nella giornata del 31 marzo 2020:

un’interessata ha rappresentato di essere stata contattata telefonicamente alle ore 18,22 del 31 marzo 2020 da un altro utente che, dopo aver avuto accesso al portale dell’INPS con le proprie credenziali di autenticazione, in quel momento stava visualizzando i dati personali dell’interessata, inclusi il numero di cellulare, i dati dei pagamenti ricevuti dall’INPS in seguito a richieste connesse allo stato di  disoccupazione (incluso l’IBAN), le attestazioni ISEE richieste (contenenti dati personali anche di terzi), il fascicolo previdenziale con i dati relativi all’attività lavorativa (datori di lavoro, contributi versati, durata dei rapporti di lavoro, ecc.), nonché i certificati di malattia;

un utente ha segnalato che collegandosi alle ore 18,36 del 31 marzo 2020 al portale dell’INPS per inserire la propria domanda di congedo parentale ha avuto accesso ai dati personali di un’altra interessata, senza aver superato alcuna procedura di autenticazione informatica;

b) anomalie riscontrate nell’ambito della procedura Indennità COVID-19:

un’interessata ha evidenziato di aver presentato, il 1° aprile 2020, la domanda per l’erogazione dell’indennità COVID-19 nella sua qualità di “lavoratore con rapporto di collaborazione coordinata e continuativa iscritto alla Gestione separata”; successivamente, in data 19 aprile 2020, accedendo al portale dell’INPS, l’interessata constatava che la domanda inoltrata conteneva una qualifica differente da quella da lei inserita; l’interessata, in data 20 aprile 2020, provvedeva a contattare in proposito il call center dell’Istituto che, riscontrata la predetta anomalia, si attivava per inserire una nuova richiesta per conto dell’interessata, che tuttavia non riceveva alcuna comunicazione a mezzo email di presa in carico della nuova richiesta; la sera dello stesso giorno l’interessata veniva contattata telefonicamente da un utente che le riferiva di aver visualizzato i suoi dati personali nella propria “lista esiti” sul portale dell’INPS;

alcuni utenti hanno rappresentato che, accedendo al portale dell’INPS in data 1° aprile 2020, all’atto dell’invio della propria domanda per l’indennità COVID-19 la relativa procedura dell’Istituto li informava che non era possibile procedere con l’invio della domanda in quanto la stessa risultava già presentata.

3. La valutazione dei rischi per i diritti e le libertà degli interessati derivanti dalle violazioni

Nelle more dello svolgimento dell’istruttoria ancora in corso, necessaria all’approfondimento di quanto sopra illustrato, anche al fine di adottare eventuali provvedimenti correttivi e di definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dall’Istituto a tutela degli interessati in ordine all’assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria medesima.

In proposito, occorre tener presente che il Regolamento (spec. cons. nn. 75 e 76) suggerisce che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva.

In particolare, le Linee guida individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione.

L’INPS ha ritenuto che entrambe le violazioni dei dati personali oggetto di notifica non fossero suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche e non ha pertanto provveduto a informare gli interessati coinvolti nelle violazioni.

Il contesto in cui l’Istituto si è trovato a dover intervenire – che potrà essere tenuto in considerazione nel corso dell’istruttoria per valutare l’adeguatezza e la proporzionalità delle misure tecniche e organizzative – non può rilevare ai fini della valutazione del rischio per la comunicazione della violazione agli interessati ai sensi dell’art. 34 del Regolamento. Tale valutazione, infatti, va effettuata a posteriori, sulla base degli scenari di rischio che in concreto possono verificarsi in danno dei diritti e delle libertà degli interessati, tenendo conto, nel caso in esame, dei seguenti fattori:

1) aspetti di carattere generale relativi a entrambe le violazioni notificate:

il ruolo centrale rivestito dall’INPS nel sistema previdenziale e assistenziale nazionale e nel panorama delle grandi banche dati pubbliche, che richiede un elevato grado di accountability al fine di garantire la fiducia nei confronti dell’Istituto da parte degli utenti, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento;

l’impatto che le decisioni adottate dall’INPS in relazione al trattamento di dati personali hanno avuto sulla collettività, considerata anche la condizione di difficoltà in cui versano coloro che chiedono di accedere a misure di sostengo del reddito;

la natura delle violazioni dei dati personali, che hanno comportato l’accesso alle informazioni personali, direttamente identificative degli interessati, da parte di un elevato numero di utenti le cui intenzioni sono sconosciute;

2) con specifico riferimento alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”:

le categorie di dati personali oggetto di violazione, che comprendono anche recapiti di telefonia mobile;

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, invasioni della sfera privata, disagio psicologico, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti;

3) con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting:

le tipologie di interessati i cui dati personali sono stati oggetti di violazione, appartenenti anche a categorie vulnerabili (minori, soggetti con disabilità);

le categorie di dati personali oggetto di violazione (dati anagrafici, cittadinanza, residenza, dati di contatto, dati relativi alla salute, dati relativi alla situazione lavorativa), anche riferiti a terzi;

le tipologie di operazioni, anche dispositive, che sono state effettuate sui dati personali degli interessati da parte di soggetti non autorizzati;

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, la limitazione dei loro diritti, invasioni della sfera privata, disagio psicologico, discriminazione, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti.

Pertanto, diversamente da quanto sostenuto dall’Istituto, ancorché con diversa probabilità e gravità, le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento. Ciò, anche in considerazione del fatto che non risulta soddisfatta alcuna delle condizioni di cui all’art. 34, par. 3, del Regolamento, per le quali non è richiesta la comunicazione agli interessati.

Peraltro, la comunicazione agli interessati coinvolti, allo stato individuati, non comporta sforzi sproporzionati da parte dell’Istituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione.

La comunicazione pubblica effettuata dall’Istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice “comunicazione in merito al data breach” – anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato e a fornire indicazioni “in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli”, offrendo un recapito dedicato al quale rivolgersi – non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che l’Istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati (cons. n. 86 del Regolamento).

RITENUTO

Alla luce del complessivo esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l’istruttoria in corso, si ravvisano la necessità e l’urgenza di ingiungere all’Istituto, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.

Tale comunicazione, inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’Istituto.

Con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, si evidenzia che la predetta comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio all’INPS (62 domande), ma anche nell’elenco delle 773 domande mostrato nella sezione “Consultazione domande” della procedura Bonus Baby Sitting. In particolare, tale comunicazione dovrà essere inviata al genitore richiedente, fornendo anche elementi relativi agli altri interessati eventualmente coinvolti (figli e altri genitori); la predetta comunicazione dovrà essere inviata anche all’altro genitore laddove l’INPS disponga dei relativi contatti telematici.

Si ritiene, pertanto, considerate le circostanze, necessario disporre – essendo la notifica di cui all’art. 166, comma 5, del Codice, incompatibile con la natura e finalità del presente provvedimento – che la predetta comunicazione sia effettuata senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Al fine di agevolare l’assolvimento di tale obbligo anche nei confronti di interessati coinvolti nelle violazioni dei dati personali ma non ancora individuati dall’INPS, l’Ufficio provvederà, contestualmente alla notifica del presente provvedimento, a mettere a disposizione dell’Istituto gli elementi utili allo stato agli atti dell’Autorità.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, ingiunge all’INPS di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti, nei termini di cui in premessa;

2) richiede all’INPS di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

3) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 14 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Fonte: Garante Privacy

FAQ – Trattamento dati nel contesto delle sperimentazioni cliniche e delle ricerche mediche nell’ambito dell’emergenza sanitaria da covid-19

1. Qual è la base giuridica per il trattamento dei dati personali anche relativi alla salute nell’ambito delle sperimentazioni cliniche dei medicinali per l’emergenza epidemiologica da COVID-19?

I promotori e i centri di sperimentazione possono trattare dati personali, anche relativi alla salute dei pazienti affetti da Covid-19, per lo svolgimento di sperimentazioni cliniche dei medicinali (quali ad esempio gli studi clinici sperimentali sui medicinali di fase I, II, III e IV, gli studi osservazionali sui farmaci e i programmi di uso terapeutico compassionevole), strettamente necessari per contrastare e studiare la pandemia in corso, sulla base del consenso degli interessati, ovvero di un altro presupposto giuridico, ai sensi dell’art. 9, par. 2 del Regolamento, in conformità al diritto dell’Unione o nazionale per motivi di interesse pubblico rilevante, per motivi di interesse pubblico nel settore della sanità pubblica e per fini di ricerca scientifica (art. 9, par. 2, lett. a), g), i) e j) del Regolamento).

 

2.  Quali adempimenti devono svolgere i promotori e i centri di sperimentazione laddove non sia possibile informare gli interessati?

Quando, a causa di particolari e comprovate ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato oppure rischia di pregiudicare gravemente il conseguimento delle finalità della ricerca e non è quindi possibile acquisire il consenso degli interessati al trattamento dei dati personali, i titolari del trattamento sono tenuti, laddove possibile, a raccogliere tale consenso, previa idonea informativa, presso chi esercita legalmente la potestà di questi ultimi, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato (in analogia con quanto previsto dal punto 4.11.2 delle prescrizioni relative al trattamento dei dati genetici, allegato 4 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, doc. web n. 9124510).
Qualora, per specifiche e comprovate ragioni, non sia possibile acquisire il consenso informato al trattamento dei dati personali, neanche presso terzi, ovvero ciò rischi di pregiudicare gravemente il buon esito della ricerca (si pensi al trattamento di dati riferiti a pazienti defunti o ricoverati in reparti di terapia intensiva), i titolari che intendano svolgere trattamenti di dati personali che riguardano esclusivamente studi sperimentali e gli usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19, non sono obbligati, in forza della normativa relativa alla presente fase emergenziale, alla preventiva sottoposizione del progetto di ricerca, nonché della relativa valutazione di impatto, alla consultazione preventiva del Garante di cui all’art. 110 del Codice in materia di protezione dei dati personali.

 

3. Gli Istituti di ricovero e cura a carattere scientifico (IRCSS) devono acquisire il consenso degli interessati per il trattamento dei dati personali anche relativi alla salute nell’ambito delle ricerche mediche relative al Covid-19 finanziate dal Ministero della salute?

Il Ministero della salute, sulla base della normativa emanata in fase emergenziale, il 1° aprile 2020, ha adottato un bando per invitare gli Istituti di ricovero e cura a carattere scientifico (IRCCS) a presentare progetti di ricerca medica, finanziati attraverso i fondi per la ricerca corrente degli IRCCS, finalizzati a migliorare la comprensione dell’epidemia Covid-19, contribuire a una gestione clinica più efficiente dei pazienti infetti e migliorare le possibilità e l’efficacia dei trattamenti terapeutici a disposizione delle strutture del Servizio Sanitario Nazionale. I trattamenti di dati personali anche relativi alla salute svolti dagli IRCCS beneficiari dei predetti fondi, nell’ambito delle ricerche finalizzate al contrasto della pandemia, possono essere svolti senza il consenso degli interessati, in quanto ineriscono alle funzioni di rilevante interesse pubblico attribuite, tra gli altri, anche ai soggetti del Servizio sanitario nazionale. I predetti IRCSS che trattano dati personali nell’ambito delle ricerche mediche finanziate dal Ministero non devono, pertanto, effettuare gli adempimenti previsti dall’art. 110 del Codice.

Fonte: Garante Privacy

 

FAQ – Trattamento dati nel contesto scolastico nell’ambito dell’emergenza sanitaria

1) Le scuole sono tenute ad acquisire il consenso di alunni, genitori e insegnanti per attivare la didattica a distanza?

No. Gli istituti scolastici possono trattare i dati, anche relativi a categorie particolari(1) di insegnanti, alunni (anche minorenni), e genitori nell’ambito delle proprie finalità istituzionali e non devono chiedere agli interessati di prestare il consenso al trattamento dei propri dati, neanche in relazione alla didattica a distanza, attivata a seguito della sospensione delle attività formative delle scuole di ogni ordine e grado. Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro.

 

2) Gli Istituti scolastici devono informare gli interessati in merito ai trattamenti dei dati personali effettuati nelle attività di didattica a distanza?

Sì. Gli istituti scolastici sono tenuti ad assicurare la trasparenza del trattamento informando, con un linguaggio facilmente comprensibile anche dai minori, gli interessati (alunni, studenti, genitori e docenti) in merito, in particolare, ai tipi di dati e alle modalità di trattamento degli stessi, ai tempi di conservazione e alle altre operazioni di trattamento, specificando che le finalità perseguite sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

 

3) La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al COVID 19?

Spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. L’istituto scolastico è tenuto a fornire alle istituzioni competenti, le informazioni necessarie, affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

 

4) Le scuole possono svolgere riunioni dei docenti in video conferenza?

Per effetto della sospensione dell’attività didattica e delle riunioni degli organi collegiali in presenza, sono state attivate modalità di didattica a distanza e il ricorso al lavoro agile con riguardo ai servizi amministrativi. Per le medesime ragioni legate all’emergenza, anche alla luce delle indicazioni del Ministro per la pubblica amministrazione e del Ministero dell’Istruzione, ogni forma di riunione nell’ambito delle attività indifferibili deve essere svolta con modalità telematiche. Il Garante ha già fornito alcune indicazioni alle scuole per orientare scelte consapevoli riguardo alle piattaforme da impiegare, sulla base delle garanzie offerte dai fornitori, in considerazione degli specifici rischi anche per i dati personali dei docenti.

 

(1) Vale a dire i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale.

Fonte: Garante Privacy

FAQ -Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria

1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020.(1)
In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).
Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.
In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

 

2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati. Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

 

3. È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.
Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

 

4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori. Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)(1). Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo). Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore. In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

 

5. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).
Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

 

6. Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi. Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).
La comunicazione di informazioni reltive alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).
Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

(1) Come aggiornato in data 24 aprile 2020

Fonte: Garante Privacy

FAQ – Trattamento dati da parte degli enti locali nell’ambito dell’emergenza sanitaria

1. Come devono essere trattati i dati dei soggetti destinatari dei servizi comunali di supporto alla popolazione attivati per l’emergenza Covid-19?

I servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando, con i canali ritenuti più efficaci, le modalità di attivazione del servizio (ad es. numero verde), senza raccogliere, dunque, gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti.
In primo luogo, infatti, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi, poiché tali esigenze potrebbero, ad esempio, essere assolte dalla famiglia o da altre reti sociali scelte dall’interessato.
In secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio o non possono usufruire di reti familiari o sociali (anziani, invalidi, malati cronici).

 

2. Come devono essere trattati i dati dei soggetti destinatari dei contributi economici comunali?

Ai fini dell’attribuzione delle risorse economiche ai soggetti che versano in condizioni di difficoltà economiche nel contesto dell’emergenza Covid-19, i Comuni hanno predisposto dei moduli con cui autocertificare il possesso dei requisiti previsti per ottenere le misure di sostegno. Tali moduli devono prevedere la raccolta dei soli dati indispensabili alla verifica dei presupposti (es. reddito, fruizione di altri aiuti, composizione nucleo familiare, etc.) e non anche informazioni non necessarie o non pertinenti per ottenere il beneficio richiesto.
Con specifico riferimento ai cd. buoni spesa, alcuni bandi rivolti agli esercizi commerciali prevedono il rimborso del valore nominale dei buoni a fronte della presentazione, da parte degli esercenti, di adeguata documentazione giustificativa (es. buoni spesa in originale e/o gli scontrini fiscali per cui il rimborso è richiesto).
In tale ipotesi, piuttosto che presentare direttamente gli scontrini con i dettagli di spesa, si ritiene preferibile che l’esercizio commerciale presenti un’autodichiarazione sulla conformità dell’utilizzo dei buoni di cui chiede il rimborso, con contestuale impegno a conservare gli scontrini per gli eventuali controlli che il Comune riterrà di effettuare. In tal modo si evita la produzione sistematica di documentazione di dettaglio che, associata all’identità del beneficiario del buono, comporterebbe la comunicazione di dati personali, anche di natura particolare (ad es. acquisti di prodotti alimentari specifici, etc.).

 

3. Possono essere pubblicati i dati relativi ai destinatari di contributi di natura economica o di altri benefici (es. buoni spesa)?

La normativa sulla trasparenza stabilisce l’obbligo di pubblicazione, fra l’altro, dei nominativi dei soggetti destinatari in generale di benefici economici superiori a mille euro nel corso dell’anno solare (quali sovvenzioni, contributi, sussidi o altri vantaggi economici), fermo restando il divieto di diffusione di nel caso in cui da tali dati “sia possibile ricavare informazioni relative allo stato di salute [o] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013).
Si tratta di un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali degli interessati, al fine di evitare che soggetti in condizioni disagiate – economiche o sociali – soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi della particolare situazione personale.
Nel caso di benefici economici superiori a mille euro nell’anno solare, spetta all’ente locale, titolare del trattamento, valutare quando le informazioni di contesto rivelino dati sulla salute ovvero l’esistenza di un disagio economico o sociale dell’interessato e non procedere, di conseguenza, alla pubblicazione di dati o altre informazioni idonee ad identificarlo. In ogni caso, nel rispetto del principio di minimizzazione dei dati rispetto alla finalità perseguita, non risulta giustificato pubblicare dati quali, l’indirizzo di abitazione o la residenza, il codice fiscale, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell’equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc.

 

4. È possibile diffondere i dati identificativi delle persone positive al Covid-19 o che sono state poste in isolamento?

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.
Pertanto, le aziende sanitarie, le prefetture, i comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia o per il contrasto di “fake news”.

 

5. Chi può trattare i dati dei soggetti in isolamento per verificare il rispetto di tale misura?

L’attività di sorveglianza sanitaria dei soggetti posti in isolamento domiciliare consiste in un intervento di sanità pubblica, che deve essere realizzato da operatori sanitari in grado di valutare, in relazione alle condizioni di salute del soggetto, gli interventi sanitari più opportuni. Le disposizioni d’urgenza adottate pongono infatti in capo a “l’operatore di sanità pubblica” l’obbligo di provvedere “a contattare, quotidianamente, per avere notizie sulle condizioni di salute, la persona in sorveglianza” (art. 3, comma 6, d.p.c.m. 8 marzo 2020; art. 2, comma 6, d.p.c.m. 4 marzo u.s.).
Le prefetture, che hanno il compito di controllare che la misura dell’isolamento domiciliare sia effettivamente rispettata, possono avvalersi delle forze di polizia, deputate -eventualmente- anche ad adottare i provvedimenti sanzionatori connessi al mancato rispetto delle predette misure di isolamento.
Le forze di polizia locale possono venire a conoscenza dei dati identificativi dei soggetti posti in isolamento, qualora la Prefettura deleghi loro la predetta attività di controllo. In tal caso, la Prefettura potrà comunicare alla polizia locale insistente sul territorio comunale, i dati dei soggetti nei cui confronti ha delegato l’attività di controllo sul rispetto della misura di isolamento domiciliare.

 

6. Quali dati personali possono essere trattati dalla polizia locale nell’ambito dei controlli su strada?

La verifica sull’attuazione delle misure emergenziali è assicurata dalle Prefetture avvalendosi delle Forze di polizia, tra le quali la polizia locale (artt. 3 e 5 l. n. 65/1986).
Il personale di polizia locale preposto ai controlli su strada deve anche assicurare il rispetto delle restrizioni dei movimenti delle persone sul territorio, effettuando il controllo delle autodichiarazioni, rese dai cittadini, provvedendo anche all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative o, nei casi più gravi, alla trasmissione delle notizie di reato alle autorità competenti.
Gli accertamenti sulla veridicità delle dichiarazioni – rese ai sensi degli artt. 46 e 47 del d.P.R. 445/2000 sul modello ministeriale – riguardano anche la dichiarazione di “non essere sottoposto alla misura della quarantena ovvero di non essere risultato positivo al COVID-19” e devono poter essere effettuati, da tutte le forze di polizia, sui dati aggiornati tenuti dalle Aziende sanitarie competenti.  In ragione della gravità delle conseguenze che possono derivare agli interessati dall’esisto di tali verifiche, della temporaneità delle misure di isolamento e della variabilità delle stesse (per es. a seguito di tampone negativo), tali controlli devono essere necessariamente effettuati con modalità che garantiscano l’esattezza dei dati e il loro aggiornamento. Devono, pertanto, essere implementate soluzioni che consentano a tutte le Forze di polizia la possibilità di interrogare puntualmente i predetti elenchi con riferimento alla presenza della misura dell’isolamento domiciliare nei confronti del soggetto controllato. Nulla osta che tale interrogazione sia fatta presso ciascuna delle strutture sanitarie dislocate sul territorio ovvero, in modo coordinato, presso un ufficio a ciò deputato della Prefettura.

 

7. Quali dati personali possono essere trattati per la gestione del servizio di raccolta domiciliare dei rifiuti?

Qualora i Comuni intendano istituire un servizio di raccolta domiciliare dei rifiuti prodotti dai soggetti posti in isolamento domiciliare, come suggerito dall’Istituto Superiore della Sanità (rapporto n. 3/2020), tale servizio può essere attivato a richiesta degli interessati.
Tale modalità consentirebbe di raggiungere la finalità di raccolta domiciliare, limitando i rischi connessi alla circolazione degli elenchi contenenti dati sulla salute degli interessati, oltre che all’interno degli enti locali, anche tra i soggetti privati che erogano i servizi comunali, nonché quelli relativi al loro mancato aggiornamento.
Tale soluzione lascia, tra l’altro, agli interessati la facoltà di decidere se usufruire di tale servizio, oppure continuare a provvedere personalmente al conferimento dei rifiuti (per il tramite delle reti familiari), nel rispetto delle raccomandazioni fornite dall’Istituto Superiore di Sanità.

Fonte: Garante Privacy