Premessa
Tra le misure introdotte dal cosiddetto decreto “Ristori”, è stata prevista l’attivazione di un Servizio nazionale di supporto telefonico e telematico alle persone risultate positive al Covid-19, le quali hanno avuto contatti stretti o casuali con altri soggetti risultati positivi o che hanno ricevuto una notifica di allerta attraverso l’applicazione Immuni. Il Decreto ha altresì previsto che detto servizio venga gestito dal Ministero della salute, il quale deve rendere disponibili al Servizio nazionale i dati relativi ai casi diagnosticati di positività al virus, anche attraverso il sistema della tessera sanitaria o tramite sistemi di interoperabilità.
In applicazione del richiamato Decreto Ristori, il Ministero della salute ha, poi, delegato il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento al contrasto dell’emergenza epidemiologica Covid-19 il compito di disciplinare il funzionamento del Servizio nazionale di supporto telefonico e telematico di cui sopra.
Lo scorso dicembre, quindi, il commissario straordinario ha inviato al Garante per la protezione dei dati personali uno schema di Ordinanza, composto da ben 13 articoli, con cui sono state disciplinate le modalità di funzionamento del suddetto servizio di supporto telefonico e telematico, affinché il Garante ne valutasse la conformità rispetto alla normativa in materia di protezione dei dati personali.
Il parere del Garante
Preliminarmente, il garante per la protezione dei dati personali ha dato conto del fatto che lo stesso aveva già fornito, durante i contatti avuti con il Ministero della salute e il Commissario straordinario durante la fase di costruzione del provvedimento esaminato, alcune soluzioni da adottare affinché fossero rispettati i principi in materia di trattamento dei dati relativi alla salute.
Ciò detto, il garante ha evidenziato come il primo punto suggerito dall’ufficio riguardava la individuazione di una procedura per autorizzare che le chiavi identificative del dispositivo mobile, appartenente al soggetto risultato positivo, nel quale è installata l’applicazione Immuni, fossero caricate sul sistema gestito dal Servizio nazionale di risposta telefonica per la sorveglianza sanitaria. In particolare, il garante ha consigliato, in primo luogo, che la suddetta procedura di autorizzazione deve essere realizzata in modo tale da permettere agli operatori del call center del servizio nazionale di verificare con certezza l’identità di colui il quale effettua la chiamata telefonica nonché di verificare che quest’ultimo sia effettivamente un caso accertato positivo al Covid-19, senza tuttavia che venga creata una banca dati dei referti medici che gli operatori del call center possono consultare liberamente. In secondo luogo, la procedura di autorizzazione deve permettere agli operatori del call center di caricare le chiavi del dispositivo mobile del chiamante positivo al Covid-19 attraverso l’inserimento nel sistema di un codice OTP che viene generato dall’applicazione Immuni installata sul telefono del chiamante e che quest’ultimo comunica a voce telefonicamente all’operatore del call center.
Un altro aspetto su cui il garante ha fornito le proprie indicazioni, riguarda la necessità che il ministero della salute, quale titolare del trattamento dei dati personali effettuato attraverso il Sistema nazionale in esame reso dal call center Immuni, nomini il commissario straordinario per l’emergenza epidemiologica come responsabile del trattamento dei dati.
Inoltre, il titolare del trattamento, cioè il ministero della salute, deve verificare che il soggetto al quale è affidata la gestione del call center, soddisfi i requisiti soggettivi previsti dal Regolamento europeo per la protezione dei dati personali ed inoltre deve effettuare la designazione di quest’ultimo quale responsabile del trattamento, attraverso un contratto o un altro atto giuridico che lo vincoli al rispetto delle indicazioni fornite dallo stesso titolare circa i tempi di conservazione dei dati nonché la natura e le finalità del trattamento e circa l’obbligo di istruire in maniera adeguata gli operatori del call center sulle modalità di trattamento dei dati e sul rispetto del principio di liceità.
A tal proposito, il garante segnala che lo schema di regolamento esaminato non appare in linea con le indicazioni di cui sopra, in quanto non viene definito il ruolo del call center immuni rispetto ai trattamenti dei dati personali che vengono effettuati attraverso detto servizio.
Il garante ha altresì rilevato che la piattaforma utilizzata dagli operatori del call center deve essere progettata e realizzata con la introduzione di misure di sicurezza, tecniche e organizzative tali da garantire il rispetto dei principi in materia di privacy con riferimento alle modalità di autenticazione informatica, di autorizzazione dei vari profili che accedono ai dati nonché di tracciamento delle operazioni che vengono compiute dagli operatori del call center.
Anche rispetto a tale profilo, il garante evidenzia le lacune del testo esaminato, in quanto le misure di sicurezza applicate alla piattaforma sono descritte in maniera generica e riguardano soltanto le modalità con cui viene effettuata la autenticazione informatica.
In terzo luogo, l’autorità chiarisce che il ministero della salute deve assicurare una costante vigilanza rispetto ai responsabili del trattamento, anche svolgendo specifica attività di Audit.
Inoltre, aggiunge il garante, che gli operatori dei call center, che effettuano il trattamento dei dati aventi carattere sanitario, debbono ricevere una specifica attività di formazione e comunque devono svolgere la raccolta sotto la responsabilità di un professionista sanitario.
Infine, il garante ribadisce che deve essere previsto l’invio agli interessati i cui dati vengono trattati attraverso il servizio di cui sopra, delle informazioni previste dagli articoli 13 e 14 del Regolamento europeo per la protezione dei dati personali (la cosiddetta informativa privacy) e che il ministero della salute effetti un aggiornamento della valutazione di impatto sulla protezione dei dati personali in ordine al sistema di allerta Covid-19.
Il garante ha, quindi, concluso il proprio parere rilevando che lo schema di ordinanza, poiché non tiene conto delle indicazioni che l’ufficio aveva fornito già in precedenza e sopra riportate, può ottenere il parere positivo a condizione che lo schema di ordinanza sia integrato rispettando le suddette indicazioni date dal garante stesso.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento