Il parere del Garante privacy sul sistema di risposta telefonica per la sorveglianza sanitaria in materia di Covid-19

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Garante per la protezione dei dati personali: Parere sullo schema di ordinanza del Commissario straordinario per l’attuazione e il coordinamento delle misure occorrenti per il contenimento e il contrasto dell’emergenza epidemiologica COVID-19 – 17 dicembre 2020

Premessa

Tra le misure introdotte dal cosiddetto decreto “Ristori”, è stata prevista l’attivazione di un Servizio nazionale di supporto telefonico e telematico alle persone risultate positive al Covid-19, le quali hanno avuto contatti stretti o casuali con altri soggetti risultati positivi o che hanno ricevuto una notifica di allerta attraverso l’applicazione Immuni. Il Decreto ha altresì previsto che detto servizio venga gestito dal Ministero della salute, il quale deve rendere disponibili al Servizio nazionale i dati relativi ai casi diagnosticati di positività al virus, anche attraverso il sistema della tessera sanitaria o tramite sistemi di interoperabilità.

In applicazione del richiamato Decreto Ristori, il Ministero della salute ha, poi, delegato il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento al contrasto dell’emergenza epidemiologica Covid-19 il compito di disciplinare il funzionamento del Servizio nazionale di supporto telefonico e telematico di cui sopra.

Lo scorso dicembre, quindi, il commissario straordinario ha inviato al Garante per la protezione dei dati personali uno schema di Ordinanza, composto da ben 13 articoli, con cui sono state disciplinate le modalità di funzionamento del suddetto servizio di supporto telefonico e telematico, affinché il Garante ne valutasse la conformità rispetto alla normativa in materia di protezione dei dati personali.

Il parere del Garante

Preliminarmente, il garante per la protezione dei dati personali ha dato conto del fatto che lo stesso aveva già fornito, durante i contatti avuti con il Ministero della salute e il Commissario straordinario durante la fase di costruzione del provvedimento esaminato, alcune soluzioni da adottare affinché fossero rispettati i principi in materia di trattamento dei dati relativi alla salute.

Ciò detto, il garante ha evidenziato come il primo punto suggerito dall’ufficio riguardava la individuazione di una procedura per autorizzare che le chiavi identificative del dispositivo mobile, appartenente al soggetto risultato positivo, nel quale è installata l’applicazione Immuni, fossero caricate sul sistema gestito dal Servizio nazionale di risposta telefonica per la sorveglianza sanitaria. In particolare, il garante ha consigliato, in primo luogo, che la suddetta procedura di autorizzazione deve essere realizzata in modo tale da permettere agli operatori del call center del servizio nazionale di verificare con certezza l’identità di colui il quale effettua la chiamata telefonica nonché di verificare che quest’ultimo sia effettivamente un caso accertato positivo al Covid-19, senza tuttavia che venga creata una banca dati dei referti medici che gli operatori del call center possono consultare liberamente. In secondo luogo, la procedura di autorizzazione deve permettere agli operatori del call center di caricare le chiavi del dispositivo mobile del chiamante positivo al Covid-19 attraverso l’inserimento nel sistema di un codice OTP che viene generato dall’applicazione Immuni installata sul telefono del chiamante e che quest’ultimo comunica a voce telefonicamente all’operatore del call center.

Un altro aspetto su cui il garante ha fornito le proprie indicazioni, riguarda la necessità che il ministero della salute, quale titolare del trattamento dei dati personali effettuato attraverso il Sistema nazionale in esame reso dal call center Immuni, nomini il commissario straordinario per l’emergenza epidemiologica come responsabile del trattamento dei dati.

Inoltre, il titolare del trattamento, cioè il ministero della salute, deve verificare che il soggetto al quale è affidata la gestione del call center, soddisfi i requisiti soggettivi previsti dal Regolamento europeo per la protezione dei dati personali ed inoltre deve effettuare la designazione di quest’ultimo quale responsabile del trattamento, attraverso un contratto o un altro atto giuridico che lo vincoli al rispetto delle indicazioni fornite dallo stesso titolare circa i tempi di conservazione dei dati nonché la natura e le finalità del trattamento e circa l’obbligo di istruire in maniera adeguata gli operatori del call center sulle modalità di trattamento dei dati e sul rispetto del principio di liceità.

A tal proposito, il garante segnala che lo schema di regolamento esaminato non appare in linea con le indicazioni di cui sopra, in quanto non viene definito il ruolo del call center immuni rispetto ai trattamenti dei dati personali che vengono effettuati attraverso detto servizio.

Il garante ha altresì rilevato che la piattaforma utilizzata dagli operatori del call center deve essere progettata e realizzata con la introduzione di misure di sicurezza, tecniche e organizzative tali da garantire il rispetto dei principi in materia di privacy con riferimento alle modalità di autenticazione informatica, di autorizzazione dei vari profili che accedono ai dati nonché di tracciamento delle operazioni che vengono compiute dagli operatori del call center.

Anche rispetto a tale profilo, il garante evidenzia le lacune del testo esaminato, in quanto le misure di sicurezza applicate alla piattaforma sono descritte in maniera generica e riguardano soltanto le modalità con cui viene effettuata la autenticazione informatica.

In terzo luogo, l’autorità chiarisce che il ministero della salute deve assicurare una costante vigilanza rispetto ai responsabili del trattamento, anche svolgendo specifica attività di Audit.

Inoltre, aggiunge il garante, che gli operatori dei call center, che effettuano il trattamento dei dati aventi carattere sanitario, debbono ricevere una specifica attività di formazione e comunque devono svolgere la raccolta sotto la responsabilità di un professionista sanitario.

Infine, il garante ribadisce che deve essere previsto l’invio agli interessati i cui dati vengono trattati attraverso il servizio di cui sopra, delle informazioni previste dagli articoli 13 e 14 del Regolamento europeo per la protezione dei dati personali (la cosiddetta informativa privacy) e che il ministero della salute effetti un aggiornamento della valutazione di impatto sulla protezione dei dati personali in ordine al sistema di allerta Covid-19.

Il garante ha, quindi, concluso il proprio parere rilevando che lo schema di ordinanza, poiché non tiene conto delle indicazioni che l’ufficio aveva fornito già in precedenza e sopra riportate, può ottenere il parere positivo a condizione che lo schema di ordinanza sia integrato rispettando le suddette indicazioni date dal garante stesso.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!