Il Garante per la Privacy ha aggiornato le FAQ relative al trattamento dei dati nel contesto lavorativo pubblico e privato ed in particolare, in data 13/07/2020, ha pubblicato due FAQ sull’uso di App di contact tracing in ambito aziendale.
In particolare, il Garante ha chiarito che il datore di lavoro non può rendere nota l’identità del dipendente affetto da COVID-19 agli altri lavoratori, ma deve limitarsi a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie.
Inoltre, nell’attuale contesto di emergenza epidemiologica il datore di lavoro può lecitamente venire a conoscenza dell’identità del dipendente affetto da COVID-19 o che presenta sintomi compatibili con il virus, ad esempio, nel caso in cui venga informato direttamente dal dipendente, sul quale grava l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.
A tal fine, il datore di lavoro può invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati.
Il datore di lavoro potrebbe, inoltre, venire a conoscenza dello stato di positività al COVID-19 accertato dalle autorità sanitarie a seguito dell’effettuazione di un tampone oro/nasofaringeo, nell’ambito della collaborazione che è tenuto a prestare a tali autorità, oppure potrebbe conoscere lo stato di avvenuta negativizzazione del tampone oro/nasofaringeo, ai fini della riammissione sul luogo di lavoro dei lavoratori già risultati positivi all’infezione da COVID-19.
Al di fuori dei casi normativamente previsti, il datore di lavoro non può invece trattare dati sulla salute del lavoratore e comunicare gli stessi a soggetti terzi.
Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
Il Garante ha infine chiarito che che la funzionalità di “contact tracing”, prevista da alcuni applicativi per poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo è attualmente disciplinata unicamente dall’art. 6, D.L. n. 28/2020 (Sistema di allerta Covid-19) e che sono disponibili sul mercato applicativi che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili.
Con le nuove FAQ sulle App di tracciamento digitale l’Autorità ha nuovamente ribadito che l’installazione dell’applicazione non è obbligatoria, ma avviene su base volontaria. L’adesione al sistema, infatti – precisa il Garante – deve essere frutto di una scelta realmente libera da parte dell’interessato, che deve essere adeguatamente informato e deve poter confidare nella trasparenza del trattamento dei dati.
La mancata installazione dell’App fa perdere all’interessato la possibilità di ricevere avvisi automatici sugli eventuali contatti a rischio, ma – come conferma anche l’Autorità Garante – non comporta conseguenze pregiudizievoli o disparità di trattamento; in particolare, non condiziona l’esercizio di diritti o la possibilità di usufruire di determinati servizi. Del pari, la mancata installazione dell’App non può incidere sulla libertà di circolazione ed espressamente il Garante precisa che una Regione non può condizionare l’accesso sul proprio territorio all’installazione e utilizzo di una App.
Le strutture sanitarie che intendono avvalersi di strumenti di telemedicina (app di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) per effettuare diagnosi o terapie a distanza, non devono richiedere uno specifico consenso al trattamento dei dati personali dell’interessato.
Per l’utilizzo di App diverse da quelle di telemedicina (quali, ad esempio, app divulgative o app per la raccolta di informazioni sullo stato di salute della popolazione di un dato territorio), è necessario invece il consenso dell’interessato, il quale deve essere adeguatamente informato sull’uso che verrà fatto dei suoi dati.
L’Autorità ha inoltre sottolineato che le App devono trattare solamente i dati strettamente necessari a perseguire le finalità del trattamento, evitando di raccogliere dati eccedenti (ad esempio, quelli relativi all’ubicazione del dispositivo mobile dell’utente) e limitandosi a richiedere permessi per l’accesso a funzionalità o informazioni presenti nel dispositivo solo se indispensabili.