Il parere del Garante privacy sul sistema di risposta telefonica per la sorveglianza sanitaria in materia di Covid-19

Garant de la protection des données personnelles: Parere sullo schema di ordinanza del Commissario straordinario per l’attuazione e il coordinamento delle misure occorrenti per il contenimento e il contrasto dell’emergenza epidemiologica COVID-19 – 17 Décembre 2020
prémisse
Tra le misure introdotte dal cosiddetto decreto “Ristori”, è stata prevista l’attivazione di un Servizio nazionale di supporto telefonico e telematico alle persone risultate positive al Covid-19, le quali hanno avuto contatti stretti o casuali con altri soggetti risultati positivi o che hanno ricevuto una notifica di allerta attraverso l’applicazione Immuni. Il Decreto ha altresì previsto che detto servizio venga gestito dal Ministero della salute, il quale deve rendere disponibili al Servizio nazionale i dati relativi ai casi diagnosticati di positività al virus, anche attraverso il sistema della tessera sanitaria o tramite sistemi di interoperabilità.
In applicazione del richiamato Decreto Ristori, il Ministero della salute ha, puis, delegato il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento al contrasto dell’emergenza epidemiologica Covid-19 il compito di disciplinare il funzionamento del Servizio nazionale di supporto telefonico e telematico di cui sopra.
Lo scorso dicembre, donc, il commissario straordinario ha inviato al Garante per la protezione dei dati personali uno schema di Ordinanza, composto da ben 13 des articles, con cui sono state disciplinate le modalità di funzionamento del suddetto servizio di supporto telefonico e telematico, affinché il Garante ne valutasse la conformità rispetto alla normativa in materia di protezione dei dati personali.
Il parere del Garante
à titre préliminaire, il garante per la protezione dei dati personali ha dato conto del fatto che lo stesso aveva già fornito, durante i contatti avuti con il Ministero della salute e il Commissario straordinario durante la fase di costruzione del provvedimento esaminato, alcune soluzioni da adottare affinché fossero rispettati i principi in materia di trattamento dei dati relativi alla salute.
Ciò detto, il garante ha evidenziato come il primo punto suggerito dall’ufficio riguardava la individuazione di una procedura per autorizzare che le chiavi identificative del dispositivo mobile, appartenente al soggetto risultato positivo, nel quale è installata l’applicazione Immuni, fossero caricate sul sistema gestito dal Servizio nazionale di risposta telefonica per la sorveglianza sanitaria. En particulier, il garante ha consigliato, premier, che la suddetta procedura di autorizzazione deve essere realizzata in modo tale da permettere agli operatori del call center del servizio nazionale di verificare con certezza l’identità di colui il quale effettua la chiamata telefonica nonché di verificare che quest’ultimo sia effettivamente un caso accertato positivo al Covid-19, senza tuttavia che venga creata una banca dati dei referti medici che gli operatori del call center possono consultare liberamente. In secondo luogo, la procedura di autorizzazione deve permettere agli operatori del call center di caricare le chiavi del dispositivo mobile del chiamante positivo al Covid-19 attraverso l’inserimento nel sistema di un codice OTP che viene generato dall’applicazione Immuni installata sul telefono del chiamante e che quest’ultimo comunica a voce telefonicamente all’operatore del call center.
Un altro aspetto su cui il garante ha fornito le proprie indicazioni, riguarda la necessità che il ministero della salute, quale titolare del trattamento dei dati personali effettuato attraverso il Sistema nazionale in esame reso dal call center Immuni, nomini il commissario straordinario per l’emergenza epidemiologica come responsabile del trattamento dei dati.
Inoltre, il titolare del trattamento, cioè il ministero della salute, deve verificare che il soggetto al quale è affidata la gestione del call center, soddisfi i requisiti soggettivi previsti dal Regolamento europeo per la protezione dei dati personali ed inoltre deve effettuare la designazione di quest’ultimo quale responsabile del trattamento, attraverso un contratto o un altro atto giuridico che lo vincoli al rispetto delle indicazioni fornite dallo stesso titolare circa i tempi di conservazione dei dati nonché la natura e le finalità del trattamento e circa l’obbligo di istruire in maniera adeguata gli operatori del call center sulle modalità di trattamento dei dati e sul rispetto del principio di liceità.
A tal proposito, il garante segnala che lo schema di regolamento esaminato non appare in linea con le indicazioni di cui sopra, in quanto non viene definito il ruolo del call center immuni rispetto ai trattamenti dei dati personali che vengono effettuati attraverso detto servizio.
Il garante ha altresì rilevato che la piattaforma utilizzata dagli operatori del call center deve essere progettata e realizzata con la introduzione di misure di sicurezza, tecniche e organizzative tali da garantire il rispetto dei principi in materia di privacy con riferimento alle modalità di autenticazione informatica, di autorizzazione dei vari profili che accedono ai dati nonché di tracciamento delle operazioni che vengono compiute dagli operatori del call center.
Anche rispetto a tale profilo, il garante evidenzia le lacune del testo esaminato, in quanto le misure di sicurezza applicate alla piattaforma sono descritte in maniera generica e riguardano soltanto le modalità con cui viene effettuata la autenticazione informatica.
In terzo luogo, l’autorità chiarisce che il ministero della salute deve assicurare una costante vigilanza rispetto ai responsabili del trattamento, anche svolgendo specifica attività di Audit.
Inoltre, aggiunge il garante, che gli operatori dei call center, che effettuano il trattamento dei dati aventi carattere sanitario, debbono ricevere una specifica attività di formazione e comunque devono svolgere la raccolta sotto la responsabilità di un professionista sanitario.
Enfin, il garante ribadisce che deve essere previsto l’invio agli interessati i cui dati vengono trattati attraverso il servizio di cui sopra, delle informazioni previste dagli articoli 13 e 14 del Regolamento europeo per la protezione dei dati personali (la cosiddetta informativa privacy) e che il ministero della salute effetti un aggiornamento della valutazione di impatto sulla protezione dei dati personali in ordine al sistema di allerta Covid-19.
Il garante ha, donc, concluso il proprio parere rilevando che lo schema di ordinanza, poiché non tiene conto delle indicazioni che l’ufficio aveva fornito già in precedenza e sopra riportate, può ottenere il parere positivo a condizione che lo schema di ordinanza sia integrato rispettando le suddette indicazioni date dal garante stesso.
Volume recommandé

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad

32,00 € 30,40 € acheter

son www.maggiolieditore.it

Devenez auteur de Diritto.it
En savoir plus!

Vous pourriez aussi être intéressé

L’obbligo imposto ai dipendenti di tenere medicinali e assorbenti in modo visibile sulla scrivania della propria postazione di lavoro costituisce violazione della privacy.

di MuiaPier Paolo
25 Janvier 2021

I chiarimenti del Garante privacy sull’informativa, la nomina del DPO e la tenuta del registro dei trattamenti in materia sanitaria

di MuiaPier Paolo
25 Avril 2019

Il diritto all’oblio non si estende fino alla rimozione della notizia dopo un lungo tempo dalla verificazione dei fatti, se questa è di rilevante interesse pubblico, ma impone soltanto che essa sia aggiornata

di MuiaPier Paolo
25 novembre 2019

Le Garant de la vie privée sur la protection des données et la sécurité sanitaire au travail dans le contexte de l'urgence sanitaire du Covid-19

di MuiaPier Paolo
3 juillet 2020

The post Il parere del Garante privacy sul sistema di risposta telefonica per la sorveglianza sanitaria in materia di Covid-19 appeared first on Diritto.it.
La source: Diritto.it