Parere su uno schema di decreto relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO il decreto legge 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota del 29 maggio 2020 (prot. n. 77692), il Ministero dell’Economia e delle Finanze (Mef) ha trasmesso, per il previsto parere, uno schema di decreto, da adottare di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

RILEVATO

Lo schema di decreto inviato al Garante prevede che il Sistema TS renda disponibili agli operatori del Dipartimento di Prevenzione delle ASL, anche tramite i Sistemi di Accoglienza Regionale (SAR), le funzionalità per la trasmissione di alcuni dati al Sistema di allerta Covid-19. A tal fine, lo schema di decreto prevede che, in caso di esito positivo di un tampone, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente contatti il paziente per effettuare l’indagine epidemiologica, che prevede anche la verifica dell’installazione dell’applicazione di cui all’art. 6, comma 1, del decreto legge n. 30 aprile 2020, n. 28 (di seguito “App”). Se il paziente ha installato la predetta App, gli sarà richiesto di utilizzare la funzione di generazione del codice OTP che il paziente comunicherà all’operatore; a questo punto, ottenuta l’autorizzazione, il sistema procederà con il caricamento sul server di backend del Sistema di allerta Covid-19 delle chiavi crittografiche casuali (Temporary Exposure Key) generate dal dispositivo mobile su cui è installata l’App (art. 2 dello schema di decreto).

Secondo quanto indicato nello schema di decreto, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente, dopo aver acceduto al Sistema TS, anche tramite i SAR, con le credenziali in suo possesso e in virtù del particolare profilo di autorizzazione attribuito, inserisce i dati forniti dal paziente (codice OTP e data di inizio dei sintomi) che saranno inviati dal Sistema TS al server di backend del Sistema di allerta Covid-19 con le modalità descritte nell’Allegato A al decreto (art. 2, commi 3 e 4 dello schema di decreto).

In merito ai descritti trattamenti effettuati dal Sistema TS, il Ministero dell’economia e delle finanze è designato Responsabile del trattamento da parte del Ministero della salute (art. 28 del Regolamento e art. 2, comma 7 dello schema di decreto).

La valutazione di impatto relativa ai trattamenti di dati personali posti in essere tramite il Sistema TS nell’ambito del richiamato Sistema di allerta Covid-19 è stata effettuata, conformemente all’art. 35, par. 1 del Regolamento, unitamente a quella relativa al complesso delle operazioni effettuate mediante il predetto Sistema di allerta Covid-19 (art. 2, comma 8 dello schema di decreto).

Lo schema di decreto trasmesso all’Autorità è stato formulato anche sulla base dei rilievi e delle indicazioni fornite dall’Ufficio nel corso di alcune riunioni e interlocuzioni.

Lo schema di decreto trasmesso si compone di 2 articoli, relativi al quadro definitorio (art. 1) e alla trasmissione dei dati dagli operatori sanitari per il tramite del Sistema TS (art. 2), nonché di un allegato tecnico relativo alle “Modalità di trasmissione dei dati dagli operatori sanitari per il tramite del Sistema” (Allegato A allo schema di decreto).

OSSERVA

Lo schema di decreto in esame definisce le modalità del trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

Le misure indicate nello schema di decreto in esame completano l’individuazione dei dati personali raccolti dall’App necessari ad avvisare gli utenti della stessa di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19 che sono stati determinati dal Ministero della salute e specificati nell’ambito della valutazione di impatto presentata al Garante contestualmente allo schema di decreto in esame (art. 6, comma 2, lett. b), d.l. n. 28/2020).

Al riguardo, l’Ufficio, nel corso delle interlocuzioni con il Mef e con il Ministero della salute, ha fornito il proprio contributo affinché, seppur con l’urgenza connessa al contesto emergenziale, le soluzioni individuate fossero rispettose della disciplina in materia di trattamento dei dati sulla salute.

Con specifico riferimento al trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, è stata richiesto che fosse specificamente demandato all’operatore di sanità pubblica il compito, in caso di esito positivo di un tampone, di contattare il paziente per effettuare l’indagine epidemiologica che prevederà anche la verifica circa l’eventuale installazione dell’App.

Ciò in conformità alle disposizioni di settore, adottate anche nel contesto emergenziale in atto, che attribuiscono proprio ai Dipartimenti di prevenzione delle aziende sanitarie locali il compito di ricostruire la filiera dei contati stretti del soggetto risultato positivo al Covid-19 e di determinare le misure di contenimento di contagio più opportune (art. 3, comma 6, d.p.c.m. 8 marzo 2020, Circolare n. 5443 del Ministero della salute del 22 febbraio 2020, e successive modificazioni e integrazioni).

L’Ufficio ha inoltre rappresentato la necessità che, con riferimento ai trattamenti effettuati tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, il Mef sia designato Responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

Nell’ambito della predetta collaborazione istituzionale, l’Ufficio ha espresso inoltre alcuni rilievi tecnici relativi, in particolare, alle procedure di autenticazione informatica per l’accesso alla predetta funzionalità del sistema TS da parte degli operatori sanitari, alle informazioni memorizzate nei file di log e al relativo periodo di conservazione. Ulteriori rilievi sono stati formulati con riferimento alle procedure di autenticazione informatica per l’accesso al sistema TS da parte dei c.d. “amministratori di sicurezza”, alle informazioni memorizzate nei file di log degli accessi e delle operazioni compiute dagli amministratori di sistema e al relativo periodo di conservazione. Le indicazioni sono state volte anche a rendere omogenee a livello nazionale le predette misure.

Ciò premesso, rilevato che lo schema di decreto in esame tiene conto delle indicazioni fornite dall’Ufficio, non vi sono rilievi da formulare, sotto il profilo della protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute.

Roma, 1° giugno 2020

Fonte: Garante Privacy