21 luglio 2020
Lotta al Covid-19: le aziende possono usare app o braccialetti per il contact tracing?
di Chiara Benvenuto
Con le FAQ di 6 e 13 luglio 2020 il Garante ha fornito ulteriori chiarimenti sul trattamento di dati personali per finalità di prevenzione e contenimento dell’emergenza sanitaria, in particolare affermando il divieto per i datori di lavoro di ricorrere alle applicazioni di “contact tracing” differenti da Immuni e consentendo l’utilizzo dei soli dispositivi che non comportino il trattamento di dati personali.
Il quadro normativo attuale
Nonostante si sia recentemente assistito ad una stabilizzazione della curva dei contagi su scala nazionale, l’attuale quadro normativo non ha subito alcun intervento di modifica con riguardo alle misure prescritte, in ambito pubblico e privato, per il ritorno sui luoghi di lavoro: in particolare si fa riferimento al Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo 2020, aggiornato al 24 aprile 2020 e rinvenibile all’Allegato 12 del D.P.C.M. 11 giugno 2020.
La rilevazione della temperatura corporea
Ad oggi, al datore di lavoro è consentito procedere alla rilevazione della temperatura corporea, da intendersi informazione di tipo sanitario. L’identificazione dell’interessato al superamento della soglia di temperatura è consentita solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Il datore di lavoro è tenuto a fornire (anche oralmente) l’informativa sul trattamento dei dati omettendo le informazioni di cui l’interessato è già in possesso, nelle forme precisate dal Protocollo.
Le informazioni sugli spostamenti ed i “contatti stretti”
Oltre al dato sanitario della temperatura corporea, il datore di lavoro può raccogliere, anche mediante autodichiarazione, informazioni inerenti gli spostamenti ed i contatti dei dipendenti, anche in tale occasione provvedendo al rilascio di apposita informativa, nelle forme di cui sopra.
Il datore di lavoro può comunicare i nomi dei dipendenti contagiati?
I datori di lavoro non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che non si tratti delle autorità sanitarie competenti, al fine di consentire la tempestiva attivazione delle misure di profilassi. Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
I test sierologici in azienda
I test sierologici possono essere disposti solo dal medico competente, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori, e devono essere eseguiti nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.
Le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro.
Il datore di lavoro può ricorrere ad apposite applicazioni di contact tracing?
Il Garante ha chiarito che la funzionalità di “contact tracing” è disciplinata unicamente dall’art. 6, D.L. 30 aprile 2020, n. 28, che ha istituito la piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, abbiano installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile, da intendersi l’app Immuni.
Tale chiarimento è intervenuto con la FAQ n. 9 del 6 luglio 2020.
Si deve quindi ritenere che la raccolta di dati personali mediante app di contact tracing differenti da Immuni sarebbe sguarnita di idonea base giuridica che deve essere specifica e deve rispondere al principio di finalità del trattamento e di proporzionalità.
A quali app può ricorrere l’azienda?
Con la successiva risposta n. 10, il Garante ha affermato che, comunque, il datore di lavoro può ricorrere all’utilizzo di applicativi che non comportino il trattamento di dati personali riferiti a soggetti identificati o identificabili, come per esempio quelli che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, oppure gli applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione).
Qual è la base giuridica delle app non strettamente necessarie alla cura?
Ulteriori chiarimenti sono stati forniti con le FAQ del 13 luglio 2020: le app volte a fornire servizi diversi dalla telemedicina o comunque non strettamente necessari alla cura che comportino il trattamento di dati personali possono essere utilizzate solo previo consenso libero, specifico, esplicito e informato dell’interessato.
Segue: le app regionali
In tema di app, con la FAQ del 13 luglio il Garante ha chiarito che le Regioni non possono subordinare l’accesso e la circolazione sul territorio al download di una specifica applicazione, in quanto l’adesione al sistema di allerta Covid attraverso il tracciamento digitale dei contatti è su base volontaria e non obbligatoria.
Le app di telemedicina
Con l’occasione, l’Autorità ha individuato la base giuridica per l’utilizzo di app di telemedicina per il contrasto al Covid 19 da parte delle strutture sanitarie di telemedicina (app di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) nella lettera h) del paragrafo 2 e nel paragrafo 3 dell’art. 9 del GDPR. Le strutture predette non sono dunque tenute a richiedere uno specifico consenso al trattamento dei dati personali dell’interessato, in quanto si tratta di una diversa modalità di svolgimento del rapporto medico-paziente. Ciò non si traduce nell’obbligatorietà delle app, dovendo essere garantita la prestazione sanitaria anche a coloro che non possano o non intendano installare dette app.
Avv. Chiara Benvenuto
Studio Previti - Dipartimento di Protezione dei dati personali, compliance e sicurezza informatica