Contact tracing, è consentito l'utilizzo di app di tracciamento dei contatti in azienda? I chiarimenti arrivano il 6 luglio 2020 con l'inserimento di due nuove FAQ del Garante per la Privacy: tali app sono regolate dall'articolo 6 del decreto legge 28/2020 e i datori di lavoro possono usare applicazioni che non utilizzino dati personali.
Contact tracing, si possono utilizzare le app di tracciamento dei contatti in azienda?
A questa domanda risponde il Garante della Privacy il 6 luglio 2020, aggiungendo due FAQ a quelle sul trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria.
L’utilizzo di tali applicazioni è disciplinato dall’articolo 6 del decreto legge numero 28 del 30 aprile 2020.
Al momento in commercio sono disponibili applicazioni che non trattano dati personali riferiti a soggetti identificabili, che possono essere utilizzate nei luoghi di lavoro.
Contact tracing, si può usare app di tracciamento dei contatti in azienda?
Il contac tracing, o tracciamento dei contatti, è la possibilità prevista da alcune applicazioni per i contatti significativi avuti in un periodo di tempo limitato.
Tale possibilità è utile in quanto permette di ricostruire la catena dei contagi e dà la possibilità di avvisare le persone che sono venute in contatto con soggetti positivi.
L’operazione permette quindi di adottare le opportune misure di sicurezza per evitare la diffusione del Coronavirus.
Tuttavia non poche perplessità sono state sollevate in relazione ai dati che permettono di conoscere la catena di contatti di un individuo.
Il problema è stato affrontato dal Garante della Privacy che, il 6 luglio 2020, ha aggiungo due ulteriori FAQ alla lista di quelle sul trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria.
La FAQ numero 9 risponde alla seguente domanda:
“Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?”
La risposta del Garante richiama l’articolo 6 del decreto legge numero 28 del 30 aprile 2020. Tale legge disciplina la funzionalità di alcune applicazioni previste per ricostruire la catena di contatti significativi di una persona trovata positiva al Coronavirus, in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie.
La FAQ numero 10, invece, risponde al quesito sulla disponibilità di reperire applicazioni che assicurino tale funzionalità senza trattare dati personali.
Al quesito sulla possibilità di utilizzo di tali applicazioni sul luogo di lavoro, la FAQ spiega quanto segue:
“Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.”
Successivamente il Garante della Privacy fornisce diversi esempi di applicazioni che rispettano tali criteri.
La FAQ numero 10 ne fornisce un elenco non esaustivo:
- applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti;
- funzioni di alcuni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione);
- applicazione collegate ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina, senza registrare alcuna immagine o altra informazione.
L’affidabilità di tali applicazioni deve essere verificata dal titolare, adottando misure che prevengano il malfunzionamento dei dispositivi o casi di falsi positivi o negativi.
Contact tracing, il riferimento normativi sull’utilizzo delle applicazioni di tracciamento dei contatti
La norma che regolamenta il contact tracing delle applicazioni che possono identificare la lista dei contatti di un soggetto positivo al Coronavirus è l’articolo 6 del decreto legge numero 28 del 30 aprile 2020.
Tale legge al comma uno prevede che si istituisce una piattaforma unica nazionale per allertare le persone che sono entrate in stretto contatto con soggetti poi risultati positivi, al fine di tutelarne la salute con misure di prevenzione del contagio.
L’istallazione dell’applicazione è volontaria e tale applicazione, l’App Immuni, ha ottenuto il parere positivo del Garante della Privacy lo scorso 1° giugno.
Al comma 2 è inserito un elenco di condizioni da rispettare, che sono valide anche per ogni altro tipo di applicazione da utilizzare.
Nello specifico è previsto che:
- gli utenti ricevano, prima dell’attivazione dell’applicazione, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
- per impostazione predefinita, in conformità all’articolo 25 del Regolamento (UE) 2016/679, i dati personali raccolti dall’applicazione di cui al comma 1 siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure di cui al presente comma, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;
- il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati;
- è esclusa in ogni caso la geolocalizzazione dei singoli utenti;
- siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
- i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute e specificata nell’ambito delle misure di cui al presente comma;
- i dati siano cancellati in modo automatico alla scadenza del termine;
- i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalità semplificate.
In sintesi deve essere garantita una chiara informazione sul trattamento dei dati dell’applicazione e sulle tecniche di pseudonomizzazione.
I dati raccolti devono, inoltre, essere esclusivamente quelli necessari per comunicare il contatto della catena di contagio.
Viene esclusa la possibilità di utilizzare la geolocalizzazione e la conservazione di tutti i dati deve essere permessa solo per un limitato periodo di tempo, passato tale termine devono cancellarsi in modo automatico.
Articolo originale pubblicato su Informazione Fiscale qui: Contact tracing, si può usare app di tracciamento dei contatti in azienda?