E' necessario inoltrare alla propria banca una richiesta di accesso ai dati personali relativi al rapporto bancario in essere (conto corrente bancario), specificando espressamente che essa è formulata ai sensi dell'art. 15 del Regolamento UE 2016/679.

Sì. Solo in caso di richiesta di copie ulteriori, il titolare del trattamento può addebitare un contributo spese ragionevole.

Ci si può rivolgere al Garante per la protezione dei dati personali con le modalità indicate all'art. 77 del Regolamento UE 2016/679.

In questo caso si configura un'ipotesi di rifiuto implicito. Sempre all'esito di un reclamo al Garante, la banca può essere obbligata a comunicare i dati richiesti.

In questo caso è possibile chiedere ulteriori chiarimenti alla banca oppure rivolgersi al Garante con un reclamo. La banca, infatti, ha l'obbligo di comunicare le informazioni richieste in modo comprensibile ed è tenuta a fornire, se necessario, i criteri e i parametri per comprendere il significato di eventuali codici associati alle informazioni stesse.

L’importo da pagare per la definizione agevolata del procedimento sanzionatorio dipende dalla tipologia di violazione. A tal fine è stato predisposta la seguente tabella, riportante per ciascuna violazione l’importo da versare: 

Il decreto legislativo n. 101 del 10 agosto 2018 (pubb. G.U. n. 205 del 4 settembre 2018) prevede per il pagamento in misura ridotta il termine di novanta giorni dalla data della sua entrata in vigore (19 settembre 2018). Pertanto il termine ultimo per esercitare tale facoltà è quello del 18 dicembre 2018.

Il pagamento può essere effettuato tramite bollettino postale intestato a "Tesoreria Provinciale dello Stato di ROMA" il cui numero di conto corrente è 871012; oppure con versamento tramite istituti bancari, uffici postali ecc., utilizzando il seguente codice IBAN IT 31I0100003245348010237300 e indicando la seguente causale "Definizione agevolata sanzioni del __(data contestazione)___ – capo X capitolo 2373 – Contravventore: _____________”, unitamente al numero della contestazione, laddove presente. 

Qualora la contestazione contenga più violazioni e il contravventore intenda effettuare il pagamento finalizzato alla definizione agevolata solo per alcune di queste, nella causale del versamento andranno indicate le violazioni per cui è effettuato il versamento (si potrà fare riferimento, a tale riguardo, al numero della contestazione o all’articolo della norma violata).

No, non è necessario. E’ comunque possibile comunicare il versamento effettuato o trasmettere copia dello stesso, facendo riferimento all’indirizzo di posta elettronica protocollo@pec.gpdp.it.

Le somme derivanti dalla definizione agevolata dei procedimenti (al pari dei proventi derivanti dalle sanzioni previste dal Codice) sono assegnate al bilancio dello Stato. Tali somme, nella misura del cinquanta per cento del totale annuo, sono poi riassegnate – ai sensi dell’art. 166, comma 8, del Codice, come modificato dall’art. 15 del d.lgs. 101/2018 –  al fondo di cui all’articolo 156, comma 8, per essere destinati alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante

Il dossier sanitario è l´insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l´interessato, che vengono condivisi tra i professionisti sanitari che lo assistono presso un´unica  struttura sanitaria (ad es. ospedale, casa di cura privata, ecc.).

Il dossier sanitario serve a rendere più efficienti i processi di diagnosi e cura del paziente all´interno di un´unica struttura sanitaria, consentendo ai diversi professionisti che vi operano di accedere a tutte le informazioni cliniche relative ai precedenti interventi (ricoveri, visite ambulatoriali, accessi in pronto soccorso) effettuati dall´assistito presso quella stessa struttura.

Il dossier consente di ricostruire la storia clinica di un paziente con riferimento a tutte le prestazioni sanitarie ad esso erogate da una determinata struttura sanitaria. La cartella clinica, invece, è uno strumento che descrive, secondo degli standard definiti dal Ministero della salute, un singolo episodio di ricovero dell´interessato.

Il dossier è accessibile da parte di tutti gli operatori sanitari della struttura sanitaria titolare del dossier che prenderanno in cura nel tempo l´interessato

Sì. È necessario acquisire il consenso informato dell´interessato. Va chiarito tuttavia (e l´informativa deve precisarlo) che l´eventuale mancato consenso al trattamento mediante dossier non incide sulla possibilità di accedere alle cure mediche richieste.

Si. In caso di revoca, il dossier non deve essere ulteriormente implementato, le informazioni in esso presenti devono restare disponibili al professionista che le ha redatte, ma non devono più essere condivide con i professionisti degli altri reparti che prenderanno in seguito in cura l´interessato.

In questo caso il consenso deve essere acquisito da chi esercita la potestà legale sull´interessato. In caso di minori, una volta raggiunta la maggiore età, il consenso dell´interessato deve essere acquisito nuovamente.

Sì. L´inserimento nel dossier di informazioni sottoposte a maggior tutela da parte dell´ordinamento (come ad esempio informazioni relative ad atti di violenza sessuale o pedofilia, all´infezione da HIV o all´uso di alcool o di stupefacenti) deve essere espressamente menzionato nell´informativa e sottoposto a un consenso specifico dell´interessato.

Sì. L´interessato può decidere di oscurare taluni dati o documenti sanitari, che dunque non saranno visibili e consultabili tramite il dossier.

Sì. L´oscuramento dell´evento clinico è revocabile nel tempo. Se l´interessato ha deciso di oscurare alcuni dati o documenti che lo riguardano, tale scelta non deve essere desumibile dal dossier.

Il personale amministrativo può accedere alle sole informazioni amministrative strettamente necessarie per assolvere alle funzioni cui è preposto (il cosiddetto "accesso modulare")

Il fascicolo sanitario elettronico (di seguito, "FSE") è "l'insieme di dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi riguardanti l'assistito" (art. 12, comma 1, d.l. n. 179/2012), generati oltre che da strutture sanitarie pubbliche anche da quelle private.

L'informativa deve essere formulata con linguaggio chiaro e indicare, oltre a tutti gli elementi richiesti dall'art. 13 del Regolamento (titolare, finalità del trattamento, etc.), che i dati che confluiscono nel fascicolo sono relativi allo stato di salute attuale ed eventualmente pregresso dell'interessato. L'informativa deve, inoltre, indicare il diritto di conoscere quali accessi sono stati effettuati al proprio FSE.

Il personale amministrativo può, in qualità di soggetto autorizzato, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all'erogazione della prestazione sanitaria (ad esempio, il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i dati indispensabili per la prenotazione stessa).

Sì. Il fascicolo può essere consultato da tutti gli esercenti le professioni sanitarie (pubblici e privati) che a vario titolo prenderanno in cura l'interessato. Il MMG/PLS ha poi il compito specifico di redigere il profilo sanitario sintetico (il cosiddetto patient summary).

Il patient summary, o profilo sanitario sintetico, è il documento socio-sanitario informatico redatto e aggiornato dal MMG/PLS, che riassume la storia clinica dell'interessato, al fine di facilitare la continuità di cura mediante il rapido inquadramento del paziente al momento di un contatto con il servizio sanitario nazionale (SSN).

I periti, le compagnie di assicurazione, i datori di lavoro, le associazioni scientifiche e gli organismi amministrativi pur se operanti in ambito sanitario, e comunque i terzi non autorizzati non possono accedere al FSE.

Sì. L'interessato ha il diritto di richiedere l'oscuramento dei dati e dei documenti sanitari e sociosanitari sia prima dell'alimentazione del FSE sia successivamente. In questi casi, i dati e i documenti oscurati potranno essere consultati esclusivamente dall'interessato e dai titolari che hanno generato i predetti documenti. L'oscuramento deve avvenire con modalità tali da garantire che gli altri soggetti abilitati all'accesso al FSE per le finalità di cura non possano venire automaticamente a conoscenza del fatto che l'assistito ha effettuato tale scelta e che esistano dati "oscurati". L'assistito può decidere di revocare in ogni momento l'oscuramento.

Sì. L'interessato può inserire informazioni personali e documenti relativi ai propri percorsi di cura nel "taccuino personale dell'assistito", che è una sezione riservata del FSE.

Sì. L'interessato può accedere al proprio FSE in forma protetta e riservata e può anche consultare l'elenco degli accessi che sono stati eseguiti sul proprio fascicolo.

È l’obbligo previsto - dal 1° gennaio 2019 - di emettere in formato elettronico tutte le fatture, a seguito di forniture di beni e servizi effettuate sia tra due professionisti sia da un professionista verso un consumatore, ad eccezione di alcune specifiche categorie (ad esempio, gli operatori sanitari).

Il trattamento dei dati deve avvenire nel rispetto dei principi di minimizzazione, integrità e riservatezza dei dati, con l’adozione di adeguate misure tecniche ed organizzative a cura di tutti i soggetti coinvolti nella fatturazione elettronica (operatori economici, intermediari anche tecnici, altri soggetti delegati e Agenzia delle Entrate).

L’Agenzia delle Entrate tratta i dati personali dei contribuenti per recapitare attraverso il Sistema d’Interscambio le fatture emesse e ricevute, per finalità di controllo fiscale, rimborsi, predisposizione della dichiarazione dei redditi e dell’IVA e assistenza ai contribuenti, nonché per la realizzazione di strumenti di ausilio all’adempimento spontaneo da parte degli operatori economici.

Il portale “fatture e corrispettivi” dell’Agenzia delle Entrate consente a ciascun operatore economico autenticato, o ai soggetti da lui delegati, di accedere ai dati fattura (tra i quali, ad esempio, data di emissione, numero progressivo, partita IVA dell’operatore economico) ad eccezione dei dati relativi alla descrizione dell’operazione (natura, quantità e qualità dei beni e servizi oggetto dell’operazione). L’Agenzia delle Entrate offre inoltre agli operatori economici servizi di consultazione e conservazione delle fatture elettroniche. Anche i consumatori che lo richiedono possono consultare le fatture emesse nei loro confronti.

Tale servizio viene espressamente richiesto dall’operatore economico e dal consumatore attraverso un’apposita funzionalità resa disponibile nell’area riservata del sito web dell’Agenzia delle Entrate. I file delle fatture elettroniche, correttamente inviate all’Agenzia delle Entrate, sono disponibili per la consultazione fino al secondo anno successivo a quello di ricezione da parte della stessa.

La conservazione delle fatture elettroniche ne garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità in conformità alle disposizioni fiscali. L’Agenzia delle Entrate offre agli operatori economici tale servizio per un periodo di 15 anni. L’attivazione avviene a seguito dell’adesione, da parte dell’operatore economico, a un apposito accordo, che disciplina il ruolo di responsabile del trattamento assunto in questo caso dall’Agenzia.

No. Nel rispetto del principio di minimizzazione, tra i dati utilizzabili per i controlli automatizzati non può rientrare la descrizione dell’operazione oggetto di fattura che, oltre a poter contenere i dati personali di dettaglio (natura, qualità e quantità dei beni e dei servizi fatturati), non si presta ad elaborazioni massive e richiede un esame puntuale, caso per caso, del contenuto.

No, per il periodo di imposta 2019 e 2020 gli operatori sanitari non possono emettere fatture elettroniche. Devono invece continuare a inviare i dati tramite il sistema Tessera Sanitaria (di seguito “sistema TS”). Le fatture, quindi, dovranno essere soltanto in formato cartaceo.

Sì, il divieto di emettere fatture elettroniche relative alle prestazioni sanitarie effettuate nei confronti delle persone fisiche si applica anche ai soggetti che non sono tenuti all'invio dei dati al sistema TS, come, ad esempio, in caso di opposizione degli interessati all’invio dei dati per la dichiarazione dei redditi precompilata. In caso contrario, la specifica misura di garanzia individuata dal Garante non sarebbe stata applicabile alle situazioni più delicate (ad esempio, fattura per una prestazione sanitaria erogata dai servizi per le tossicodipendenze o dai consultori familiari).

Il divieto di emettere fatture elettroniche per prestazioni sanitarie costituisce una misura di garanzia a tutela dei dati sulla salute del contribuente e la mancata applicazione di tale misura non dovrebbe produrre ulteriori effetti negativi, neppure di carattere economico.

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

L’ente locale, anche a fronte del riconoscimento di un rapporto di strumentalità tra le informazioni o la documentazione richiesta dal consigliere e la funzione di indirizzo e controllo politico-amministrativo, è tenuto a effettuare un’attenta valutazione sulle informazioni da rilasciare, in particolar modo quando, come nel caso in esame, vengano in rilievo altri interessi tutelati dall’ordinamento, quali quelli alla riservatezza e alla protezione dei dati personali. Il diritto di accesso del consigliere, infatti, per quanto ampio, non può configurarsi come un diritto illimitato e non può essere soddisfatto con modalità tali che comportino un pregiudizio di altri interessi meritevoli di tutela, richiedendo all’ente locale un "ragionevole bilanciamento" fra i diversi diritti.

Nel caso in cui la richiesta di accesso riguardi documentazione contenente dati personali – es. elenchi dei soggetti destinatari dei cd. buoni alimentari, buoni spesa, contributi economici, documentazione istruttoria degli uffici, copia delle istanze presentate, della documentazione allegata, etc. – l’amministrazione destinataria dell’istanza dovrà applicare correttamente i principi in materia di protezione dei dati personali, e in particolare, quello di “minimizzazione dei dati”, valutazione che deve essere particolarmente stringente nel caso di accesso a  categorie particolari di dati personali (es. situazioni di handicap) oppure a dati relativi a condanne penali o reati (artt. 9 e 10 del Regolamento UE 2016/679).

In applicazione di tali principi, il diritto di accesso dei consiglieri potrebbe essere validamente soddisfatto consentendo l’accesso alle sole informazioni che risultano indispensabili per lo svolgimento del mandato (cfr. provv. del Garante 25 luglio 2013, doc. web n. 2604062), fornendo, ad esempio, dati resi anonimi o aggregati idonei a fornire il quadro conoscitivo necessario a permettere al consigliere di valutare, con piena efficacia, l’operato dell’amministrazione nonché per esprimere un voto consapevole sulle questioni del consiglio.

A tal proposito, il Consiglio di Stato ha recentemente affermato che la conoscenza dei nominativi di coloro che hanno presentato le domande non appare legata da quel nesso di strumentalità necessaria con le funzioni di indirizzo politico-amministrativo, non rientrando tra i compiti dei consiglieri quello “di sostituirsi al singolo interessato né [quello di effettuare] un riesame di legittimità di singoli provvedimenti”. La comunicazione di tali dati, oltre a non rivestire un’utilità concreta ed aggiuntiva, comporta un inutile sacrificio del diritto alla riservatezza degli interessati, con possibile violazione della normativa in materia di protezione dei dati personali (Cons. Stato, Sez. V, 11 febbraio 2021, n. 2089, cit.).

Pertanto, considerato che la documentazione relativa all’erogazione di contributi economici nell’ambito dell’emergenza da Covid-19 (es. buoni spesa, buoni alimentare, etc.), può comprendere dati relativi al nucleo famigliare, alla presenza di persone con handicap, alla giacenza economica postale/bancaria, alla situazione lavorativa, alla titolarità di altre misure di sostegno al reddito, mutui, affitti e finanziamenti, il Comune potrebbe fornire informazioni di dettaglio sull’attività di erogazione svolta dagli uffici, comunicando l’ammontare complessivo dei contributi stanziati e di quelli erogati, il numero delle domande presentate, dei beneficiari ammessi, delle istanze respinte, trattate, da esaminare, omettendo però l’indicazione dei nominativi degli interessati o altri dati idonei ad identificarli.

Il diritto riconosciuto ai consiglieri dall’art. 43, del d.lgs. n. 267/2000 (t.u.e.l.) – che prevede che “i consiglieri comunali e provinciali hanno diritto di ottenere dagli uffici, rispettivamente, del comune e della provincia, nonché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni in loro possesso, utili all'espletamento del proprio mandato” –  è direttamente funzionale non tanto alla soddisfazione di un proprio interesse personale, quanto alla cura di un interesse pubblico connesso all’espletamento del mandato. La documentazione richiesta deve essere strettamente funzionale all’esercizio della funzione «di indirizzo e di controllo politico–amministrativo», propria del consiglio dell’ente locale, e alle prerogative attribuite singolarmente al consigliere stesso, tra le quali non rientra quella di sostituirsi al singolo interessato né un riesame di legittimità di singoli provvedimenti.

Tale diritto può, quindi, essere esercitato anche riguardo a informazioni sull’erogazione dei benefici economici stanziati dai Comuni nell’ambito della gestione dell’emergenza, ma sempre nel rispetto dei presupposti di stretta funzionalizzazione sopra richiamati nonché dei principi e delle regole applicabili al trattamento dei dati personali (vedi FAQ 10).

È da escludere, quindi, che tale diritto possa essere esercitato attraverso istanze generiche oppure meramente emulative, o che possano concretizzarsi in un eccessivo e minuzioso controllo dei singoli atti degli stessi uffici, allontanandosi dalla presupposta finalità di indirizzo e controllo politico-amministrativo.

L'art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Il RGPD non fornisce la definizione di "autorità pubblica" o "organismo pubblico" e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (di seguito Linee guida), ne rimette l'individuazione al diritto nazionale applicabile(1).

Allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che ricadevano nell'ambito di applicazione degli artt. 18-22 del Codice, che stabilivano le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

Occorre, comunque, considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD. In ogni caso, qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti - in termini di criteri per la designazione, posizione e compiti - che valgono per i RPD designati in via obbligatoria(2).

NOTE

(1) Cfr. al riguardo il par. 2.1.1., pag. 6, delle Linee guida sui responsabili della protezione dei dati (RPD) adottate dal Gruppo Art. 29 il 13 dicembre 2016 ed emendate il 5 aprile 2017 (WP243 rev. 01), disponibili sul sito istituzionale dell'Autorità.

(2) Anche in caso di assenza del requisito soggettivo previsto dall'art. 37, par. 1, lett. a), del RGPD, il titolare o il responsabile del trattamento sono comunque tenuti alla designazione del RPD, ai sensi di quanto previsto dall'art. 37, par. 1, lett. b) e c), nel caso in cui le attività principali consistano:

- in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;

- nel trattamento su larga scala di categorie di dati personali di cui all'art. 9 del RGPD o dei dati relativi alle condanne penali e a reati di cui all'art. 10 del RGPD.
Con riferimento all'interpretazione delle espressioni «attività principali», «larga scala» e «monitoraggio regolare e sistematico» vedasi quanto riportato nelle Linee guida.

Il RGPD non fornisce specifiche indicazioni al riguardo. È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al RPD - aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l'autorità di controllo e contatto con gli interessati in relazione all'esercizio dei propri diritti) - siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l'art. 38, par. 3, del RGPD fissa alcune garanzie essenziali per consentire ai RPD di operare con un grado sufficiente di autonomia all'interno dell'organizzazione. In particolare, occorre assicurare che il RPD "non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti". Il considerando 97 aggiunge che i RPD "dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente". Ciò significa, come chiarito nelle Linee guida, che «il RPD, nell'esecuzione dei compiti attribuitigli ai sensi dell'articolo 39, non deve ricevere istruzioni sull'approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l'autorità di controllo. Né deve ricevere istruzioni sull'interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».

Inoltre, sempre ai sensi dell'art. 38, par. 3, del RGPD, il RPD «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell'esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità,  che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell'organizzazione.

Il responsabile della protezione dei dati personali (di seguito “RPD”; o anche conosciuto come Data protection officer) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (di seguito “RGPD”). Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD. A tal fine, deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità (quali, ad esempio, audizioni, accertamenti ispettivi o riunioni svolte a vario titolo; cfr. art. 38, par. 1 del RGPD). Coopera, inoltre, con l'Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39 del RGPD).

Parole chiave: funzioni, punto di contatto.

Riferimenti normativi: art. 37, 38 e 39, RGPD; c. 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01; provv. del Garante del 17 dicembre 2020 – doc. web n. 9524175.

Il RPD, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del RGPD) e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei menzionati compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento (art. 38, par. 3 del RGPD).

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti (art. 38, par. 2 del RGPD).

Parole chiave: attestazione, albo, indipendenza, autonomia, istruzioni, risorse.

Riferimenti normativi: art. 37, par. 5 e art. 38, paragrafi 2 e 3, RGPD; c. 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, paragrafi 2.5, 3.2 e 3.3.

Sono tenuti alla designazione del RPD il titolare o il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lettere b) e c), del RGPD. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di core business) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. Gruppo ex art. 29, “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243 rev. 01 , paragrafi 2.1.3 e 2.1.4). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del RPD (art. 37, par. 4 del RGPD; cfr., in tal senso, ad esempio, art. 2-sexiesdecies del D. lgs. 196/2003).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.), istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Parole chiave: designazione, attività principale, larga scala, monitoraggio.

Riferimenti normativi: art. 37, par. 1, lettere b) e c) e art. 37, par. 4, RGPD; c. 97, RGPD; art. 2-sexiesdecies, D. lgs. 196/2003.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, paragrafi 2.1 e 2.2.

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lettere b) e c), del RGPD, la designazione del RPD non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale o comunque che non effettuano trattamenti su larga scala; amministratori di condominio; agenti, rappresentanti e mediatori non operanti su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti - a tale ultimo riguardo, cfr. anche considerando 97 del RGPD, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il RGPD, la designazione di tale figura (v., in proposito, WP 243, cit., par. 1), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

Parole chiave: designazione, piccole e medie imprese, attività accessoria.

Riferimenti normativi: art. 37, par. 1, RGPD; c. 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, paragrafi 1, 2.1, 2.1.2 e 2.1.3.

Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni. In entrambi i casi, i soggetti designati devono essere in grado di garantire l'effettivo assolvimento dei compiti che il RGPD assegna a tale figura. Il RPD scelto all'interno andrà nominato mediante specifico atto di designazione (ad es. lettera d’incarico), mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto (cfr. art. 37, par. 6 del RGPD, ove si fa riferimento al “contratto di servizi”). Tali atti, da redigere in forma scritta, dovranno contenere la designazione del RPD e indicare espressamente i compiti ad esso attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell'esecuzione dei propri compiti, il RPD (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento mantengono comunque la piena responsabilità in ordine all’osservanza della normativa in materia di protezione dei dati.

Parole chiave: dipendente, soggetto esterno, contratto, atto, designazione.

Riferimenti normativi: artt. 37 e 38, RGPD; c. 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, paragrafi 2.5, 3.2 e 3.3.

Tutti i professionisti sanitari possono raccogliere le informazioni che ritengono necessarie nell’ambito delle attività di cura dei loro pazienti, ivi comprese quelle legate alla presenza di sintomi da COVID-19. Come ogni altro operatore sanitario, i dentisti sono inoltre tenuti a osservare le disposizioni emergenziali, in continua evoluzione, in merito alle misure di profilassi volte a prevenire e a limitare il contagio da COVID-19.

Resta fermo che l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano invece agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

No. Il RPD, in ragione dell’autonomia d’azione specificatamente attribuita al medesimo dalla normativa (artt. 38 e 39 del RGPD), non può essere nominato responsabile del trattamento, figura quest’ultima distinta ed espressamente disciplinata dall’art. 28 del RGPD.

Parole chiave: responsabile del trattamento, nomina.

Riferimenti normativi: artt. 28, 38 e 39, RGPD; c. 81 e 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01; EDPB, “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, del 2 settembre 2020.

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020^.(1)

In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).

Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.

In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

(1) Come aggiornato in data 24 aprile 2020

Il titolare o il responsabile del trattamento è tenuto a pubblicare i dati di contatto del RPD designato e a comunicarli al Garante (art. 37, par. 7 del RGPD).

Non è necessario pubblicare il nominativo del RPD, purché i relativi dati di contatto consentano che lo stesso sia direttamente e agevolmente raggiungibile (ad es. per il tramite di un indirizzo e-mail a ciò dedicato).

Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo tramite una procedura telematica ad hoc (https://servizi.gpdp.it/comunicazionerpd/s/), provvedendo, con le medesime modalità, al loro tempestivo aggiornamento in caso di modifica dei predetti dati o di sostituzione del soggetto designato.

Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine; maggiori informazioni in merito sono reperibili alla pagina https://www.gpdp.it/regolamentoue/rpd#PROCEDURA, ove sono riportate le apposite istruzioni e le relative FAQ.

Parole chiave: dati di contatto, nominativo, comunicazione.

Riferimenti normativi: art. 37, par. 7, RGPD; art. 39, par. 1, lett. e), RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, par. 2.6; modulo di comunicazione predisposto dal Garante, reperibile al seguente link https://servizi.gpdp.it/comunicazionerpd/s/; FAQ inerenti alla procedura telematica per la comunicazione dei dati del RPD, reperibili al seguente link https://www.gpdp.it/regolamentoue/rpd/faq-relative-alla-procedura-telematica-per-la-comunicazione-dei-dati

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)⁽¹⁾.

Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo).

Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

(1) Come aggiornato in data 24 aprile 2020

Si, a condizione che non sia in conflitto di interessi.

In tale prospettiva, ove il RPD sia individuato in un soggetto interno all’organizzazione, appare incompatibile l’assegnazione del ruolo di RPD a soggetti con incarichi di alta direzione o aventi specifiche funzioni (es. amministratore delegato; membro del consiglio di amministrazione; direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, direzione marketing, direzione finanziaria, ecc.). Pertanto, potrebbe essere valutata l’assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale), previa verifica, in base al contesto di riferimento, circa l’assenza di conflitto di interessi.

Laddove il RPD sia una figura esterna all’organizzazione, non appare compatibile con i requisiti di indipendenza previsti dall’art. 38 del RGPD, l’assegnazione di tale incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi (es. fornitore di servizi IT, software-house, ecc.).

Parole chiave: conflitto d’interessi, funzioni, mansioni, soggetto esterno, incarico.

Riferimenti normativi: art. 38, paragrafi 3 e 6, RGPD; c. 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, par. 3.5.

Il RGPD prevede espressamente che il RPD possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento) in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Il RPD, inoltre, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

Qualora il RPD sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. WP 243, par. 2.5), purché sia indicata la persona fisica atta a fungere da punto di contatto con gli interessati e con l’Autorità di controllo.

Al fine di agevolare il soggetto esterno che opera come RPD, sarebbe altresì opportuno individuare all’interno dell’organizzazione del titolare o del responsabile, una figura, che funga da referente per il RPD.

Parole chiave: dipendente, soggetto esterno, persona fisica, persona giuridica.

Riferimenti normativi: art. 37, par. 6 e art. 38, par. 2, RGPD; c. 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, par. 2.5.

Il RGPD prevede che un gruppo imprenditoriale (v. definizione di cui all'art. 4, n. 19 del RGPD) possa designare un unico RPD, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di "raggiungibilità", v. WP 243, par. 2.3). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le Autorità di controllo.

A tal fine, potrebbe essere buona prassi nei gruppi di impresa, quella di prevedere che il RPD di gruppo sia assistito da specifici referenti locali individuati presso ciascuna entità (anche, se del caso, operando quali componenti del suo gruppo di lavoro), in grado di fornire adeguato supporto allo stesso e di fungere da punto di contatto nei confronti dei soggetti interessati e dell’Autorità di controllo competente; ciò, ad esempio, al fine di coadiuvare a livello locale la gestione dei reclami degli interessati e l’attività di formazione del personale; veicolare le principali questioni emerse in materia di protezione dei dati personali nelle singole entità del gruppo, ecc.

Viceversa, ove non si opti per un unico RPD ma, all’interno del gruppo imprenditoriale, vengano nominati singoli RPD per ciascuna entità, al fine di assicurare un efficace coordinamento dei compiti loro assegnati, potrebbe essere valutata l’opportunità di costituire un network dei medesimi, individuando, se del caso, anche una figura di riferimento (ad es. il RPD della società capogruppo) con funzioni volte a garantire un adeguato raccordo tra gli stessi (ad es. per il tramite di riunioni periodiche; scambio di informazioni ecc.).

Resta in tutti i casi fermo, come già evidenziato in termini generali nella faq n. 7, l’obbligo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente.

Parole chiave: gruppo di imprese, referente, network.

Riferimenti normativi: art. 4, n. 19, RGPD; art. 37, par. 2, RGPD; c. 97, RGPD.

Approfondimenti: Gruppo ex art. 29, Linee guida sui responsabili della protezione dei dati, del 5 aprile 2017 – WP 243 rev. 01, par. 2.3; Gruppo ex art. 29, “Documento di lavoro che istituisce una tabella degli elementi e dei principi che devono figurare nelle norme vincolanti d'impresa”, WP 256 rev.01, del 6 febbraio 2018, par. 2.4; Gruppo ex art. 29, WP 257 rev. 01, “Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules”, del 6 febbraio 2018, par. 2.4.

Il RGPD consente l'assegnazione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi (art. 38, par. 6e che consentano al RPD di avere a disposizione il tempo sufficiente per l'espletamento dei compiti previsti dal RGPD (art. 38, par. 2).

A seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al RPD non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità.

In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al RPD ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l'attribuzione delle funzioni di RPD  al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull'effettività dello svolgimento dei compiti  che il RGPD attribuisce al RPD.

Rispetto all'assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell'Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Riguardo agli ulteriori compiti e funzioni in capo al RPD, particolare attenzione andrebbe infine prestata nei casi di unico RPD tra molteplici autorità pubbliche e organismi pubblici, nonché nei casi di RPD esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell'atto di designazione o nel contratto di servizio il RPD dovrà fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

Come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del RGPD) sono rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall'art. 39 del RGPD(3).

NOTE

(3) Sul tema della certificazione inoltre si richiama l'attenzione sul comunicato congiunto, pubblicato sul sito dell'Autorità il 18 luglio 2017 (doc. web n. 6621723), con il quale il Garante e ACCREDIA (l'Ente unico nazionale di accreditamento designato dal Governo italiano) hanno ritenuto necessario sottolineare - al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito - che «al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi "conformi agli artt. 42 e 43 del regolamento 2016/679", poiché devono ancora essere determinati i "requisiti aggiuntivi" ai fini dell'accreditamento degli organismi di certificazione e i criteri specifici di certificazione».

Il RGPD prevede all'art. 37, par. 1, che il titolare e il responsabile del trattamento designino il RPD; da ciò deriva, quindi, che l'atto di designazione è parte costitutiva dell'adempimento.

Nel caso in cui la scelta del RPD ricada su una professionalità interna all'ente, occorre formalizzare un apposito atto di designazione a "Responsabile per la protezione dei dati". In caso, invece, di ricorso a soggetti esterni all'ente, la designazione costituirà parte integrante dell'apposito contratto di servizi redatto in base a quanto previsto dall'art. 37 del RGPD(4) (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione).

Indipendentemente dalla natura e dalla forma dell'atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità(5), i compiti (eventualmente anche ulteriori a quelli previsti dall'art. 39 del RGPD(6)) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

L'eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell'atto di designazione, dovrà comportare la modifica e/o l'integrazione dello stesso o delle clausole contrattuali.

Nell'atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l'ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall'art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall'ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell'informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione "amministrazione trasparente", oltre che nella sezione "privacy" eventualmente già presente.

Come chiarito nelle Linee guida, in base all'art. 37, par. 7, non è necessario -anche se potrebbe costituire una buona prassi, in ambito pubblico- pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l'Autorità. Resta invece fermo l'obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b)(7).

NOTE

(4) Al riguardo, si ricorda che la funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna al titolare/responsabile del trattamento. In tal caso, come indicato nelle citate Linee guida, è indispensabile che ciascun soggetto appartenente alla persona giuridica operante quale RPD soddisfi tutti i requisiti richiesti dal RGPD. Cfr. sul punto le indicazioni del Gruppo Art. 29 riportate nel paragrafo 2.5., pag. 12, e nella domanda n. 7, pag. 24, delle Linee guida.

(5) Secondo quanto precisato nelle Linee guida, se la funzione di RPD è svolta da un fornitore esterno di servizi, i compiti stabiliti per il RPD potranno essere assolti efficacemente da un team operante sotto l'autorità di un contatto principale designato e "responsabile" per il singolo cliente. In particolare, «per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse a carico dei componenti il team RPD, si raccomanda di procedere a una chiara ripartizione dei compiti all'interno del team RPD e di prevedere che sia un solo soggetto a fungere da contatto principale e "incaricato" per ciascun cliente. Sarà utile, in via generale, inserire specifiche disposizioni in merito nel contratto di servizi» (cfr. par. 2.5., pag. 12).

(6) Cfr. la Faq n. 7 in relazione alla preliminare valutazione sulla compatibilità di ulteriori compiti e funzioni da assegnare al RPD.

(7) Cfr. al riguardo il paragrafo 2.6. delle Linee guida.

Il RGPD prevede, all'art. 38, par. 2, che «il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica».

Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell'organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD. Come riportato anche nelle Linee guida, «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione "protezione dati" deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto».(8)

All'esito di questa analisi si potrà valutare quindi l'opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Ad ogni modo, ove sia costituito un apposito ufficio, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di RPD (mediante l'atto di designazione di cui sopra).(9)

NOTE

(8) Vedi sul punto Linee guida, paragrafo 3.2., pag. 15.

(9) Cfr., in proposito, la nota n. 4.

Alcune organizzazioni complesse hanno richiesto all'Autorità di valutare la possibilità di designare più RPD.

Al riguardo, si rileva che l'unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all'ambito interno all'ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.

Nulla osta, invece, all'individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell'amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un RPD interno, sia che questa ricada su un RPD esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all'effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell'ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici "referenti" del RPD che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del RPD, anche, se del caso, operando quali componenti del suo gruppo di lavoro.(10)

NOTE

(10) In caso di RPD esterno, cfr. le note nn. 4 e 5.

La disciplina legislativa sull’HIV (l. n. 135/90) prevede che la comunicazione dei risultati di accertamenti diagnostici diretti o indiretti per l’infezione da HIV può essere data esclusivamente alla persona cui tali esami sono riferiti.

Spetta pertanto alla struttura sanitaria individuare le modalità più corrette per assicurare la prevista intermediazione tra medico e paziente in merito al significato diagnostico di questi referti, così come richiesta dalla disciplina di settore. Una volta soddisfatta tale intermediazione, il referto sull’HIV, al pari di ogni altro referto, può essere reso disponibile all’interessato tramite il FSE.

Resta fermo, inoltre, che il risultato del test HIV può essere reso accessibile al personale che ha in cura l’interessato solo previo consenso informato dello stesso interessato.

No, il RPD non è responsabile personalmente in caso di inosservanza degli obblighi in materia di protezione dei dati. Spetta al titolare del trattamento o al responsabile del trattamento garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento.

La responsabilità di garantire l’osservanza della normativa in materia di protezione dei dati ricade sul titolare del trattamento o sul responsabile del trattamento.

Le istruzioni vengono inviate, mediante una PEC, alla casella di posta indicata nella sezione A del modulo. Si consiglia, inoltre, di verificare che il messaggio non sia stato spostato automaticamente o per errore nella cartella "spam" o "posta indesiderata".

Il provvedimento del Garante intende fornire indicazioni su modalità e tempi di conservazione delle password, rivolgendosi in primo luogo a tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici. Nell’osservanza delle linee guida, titolari e responsabili possono orientare le proprie scelte tecnologiche, oppure progettare e realizzare i propri sistemi informatici e servizi online, in conformità ai principi di limitazione della conservazione e di integrità e riservatezza, nonché agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. e) e f), e 32 del Regolamento (UE) 2016/679).

Allo stesso tempo, il provvedimento invita i produttori di prodotti, servizi e applicazioni a tener conto delle indicazioni fornite dal Garante nelle fasi di progettazione e sviluppo, al fine di consentire a titolari e responsabili del trattamento di utilizzare sistemi e tecnologie che integrino i principî di protezione dei dati.

L’adozione delle misure tecniche raccomandate nelle linee guida in materia di funzioni crittografiche per la conservazione delle password, o di misure che garantiscono un analogo livello di sicurezza, risulta necessaria qualora sia soddisfatta una o più delle seguenti condizioni:

- il trattamento riguarda le password di un numero significativo di utenti (es. un numero elevato di soggetti in termini assoluti oppure espressi in percentuale della popolazione di riferimento a livello locale, regionale e nazionale);

- il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni o grandi imprese od organizzazioni);

- il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679 (es. professionisti sanitari, avvocati, magistrati).

Ricorrendo una o più delle predette condizioni, sono tenuti all’adozione di adeguate misure tecniche di protezione delle password, a titolo esemplificativo e non esaustivo, i seguenti soggetti: gestori delle identità digitali SPID e CieID; gestori di posta elettronica certificata; prestatori di servizi fiduciari a norma del regolamento (UE) n. 910/2014; soggetti, pubblici e privati, che erogano servizi di conservazione dei documenti informatici a favore di terzi; società che offrono servizi di fatturazione elettronica; Presidenza del consiglio dei ministri e Ministeri; Agenzie fiscali; Enti e istituti di ricerca pubblici di rilievo nazionale; Enti pubblici non economici di rilievo nazionale; Autorità amministrative indipendenti; Forze di Polizia; Regioni e Province autonome; Province e Città metropolitane; Comuni con popolazione maggiore o uguale a diecimila abitanti; Federazioni nazionali, Ordini, Collegi e Consigli professionali; Camere di commercio, industria, artigianato e agricoltura; Università e Istituti di istruzione universitaria; strutture sanitarie pubbliche e private; società e aziende che forniscono servizi ICT; concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici, accertamento e riscossione dei tributi locali, ecc.); fornitori di servizi di comunicazione elettronica accessibili al pubblico; gestori di servizi di posta elettronica; società operanti nel settore della distribuzione di energia elettrica o del gas; istituti di credito; società finanziarie; imprese assicurative; società di informazioni creditizie; società di informazioni commerciali; società che svolgono attività di commercio elettronico;  partiti e movimenti politici; sindacati; CAF e patronati; imprese di somministrazione di lavoro e ricerca del personale; società che offrono servizi di prenotazione di strutture ricettive; società che offrono servizi di biglietteria per trasporti (es. aerei, ferroviari e marittimi); società che offrono servizi di biglietteria per eventi teatrali, sportivi ed altri eventi ricreativi e d'intrattenimento; società che erogano servizi di streaming.

Sì, le linee guida in materia di funzioni crittografiche per la conservazione delle password si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori (c.d. strong authentication) basata, ad esempio, sul contestuale utilizzo di una password e di uno o più elementi appartenenti alle categorie del possesso (qualcosa che solo l'utente possiede, come una OTP – One Time Password – consegnata via SMS o generata su un dispositivo fisico o un’app, oppure una smart card con certificato digitale) o dell’inerenza (qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento facciale).

Anche in questi casi è necessario proteggere adeguatamente le password degli utenti, in considerazione del fatto che questi ultimi potrebbero utilizzare la stessa password, o una simile, per l’accesso ad altri sistemi informatici o servizi online che non necessariamente prevedono procedure di autenticazione informatica a più fattori.

Sì, le linee guida si applicano anche alla cronologia delle password (c.d. password history). Anche in questi casi è necessario proteggere adeguatamente le password degli utenti, in considerazione del fatto che questi ultimi potrebbero utilizzare la stessa password, o una simile, anche a distanza di tempo, per l’accesso al medesimo o ad altri sistemi informatici o servizi online.

La conservazione delle password per un arco di tempo superiore a quello necessario per consentire la verifica dell’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online presenta rischi per i diritti e le libertà delle persone fisiche. Infatti, il progresso tecnologico, con il passare del tempo, può rendere obsolete le misure adottate per proteggere le password o comprometterne l’efficacia.

Nel rispetto delle politiche di sicurezza adottate dal titolare o dal responsabile del trattamento, le password possono essere conservate anche per garantire la sicurezza delle procedure di autenticazione informatica, ad esempio per impedire il riuso da parte dell’utente delle precedenti password (c.d. password history) o per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente (copie di backup).

Per tali ragioni, le password degli utenti devono essere tempestivamente cancellate, anche in modo automatico, nei seguenti casi:

cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;

disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.

L’adozione delle misure tecniche raccomandate nelle linee guida, o di misure che garantiscono un analogo livello di sicurezza, consente di mitigare in modo significativo i rischi per gli interessati in caso di violazione dei dati personali avente ad oggetto le password medesime.

Come indicato anche nelle “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” (spec. caso n. 6), adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021, tenuto conto di quanto previsto dall’art. 34, par. 3, lett. a), del Regolamento (UE) 2016/679, se sono state adottate tecniche crittografiche allo stato dell’arte per proteggere le password degli utenti e non sono state coinvolte anche altre tipologie di dati personali, la violazione può non presentare rischi per i diritti e le libertà degli interessati e quindi può non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).

Sì. È possibile accedere agli atti e ai documenti amministrativi detenuti dalla scuola ai sensi dalla legge n. 241 del 1990 (artt. 22 ss.) 

Sì. Le informazioni sul rendimento scolastico sono soggette ad un regime di conoscibilità stabilito dal MIUR. Nel pubblicare i voti degli scrutini e degli esami nei tabelloni, l’istituto scolastico deve evitare, però, di fornire informazioni sulle condizioni di salute degli studenti o altri dati personali non pertinenti. Il riferimento alle “prove differenziate” sostenute, ad esempio, dagli studenti con disturbi specifici di apprendimento (DSA) non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente.

La conoscenza di tali dati è limitata ai soli soggetti a ciò legittimati dalla normativa scolastica e da quella specifica di settore, come ad esempio i docenti, i genitori e gli operatori sanitari che congiuntamente devono predisporre il piano educativo individualizzato (L. n. 104/92, L. n. 328/2000 e D.Lgs. n. 66/2017).

Spetta alle istituzioni scolastiche disciplinare l’utilizzo degli smartphone all’interno delle aule o nelle scuole stesse. In ogni caso, laddove gli smartphone siano utilizzati per riprendere immagini o registrare conversazioni, l’utilizzo dovrà avvenire esclusivamente per fini personali e nel rispetto dei diritti delle persone coinvolte.

Sì. È lecito registrare la lezione per scopi personali, ad esempio per motivi di studio individuale, compatibilmente con le specifiche disposizioni scolastiche al riguardo. Per ogni altro utilizzo o eventuale diffusione, anche su Internet, è necessario prima informare le persone coinvolte nella registrazione (professori, studenti…) e ottenere il loro consenso.

Sì. La specifica normativa di settore (L. n. 170/2010) prevede che gli studenti che presentano tali disturbi hanno il diritto di utilizzare strumenti di ausilio per una maggiore flessibilità didattica. In particolare, viene stabilito che gli studenti con diagnosi DSA possono utilizzare gli strumenti di volta in volta previsti dalla scuola nei piani didattici personalizzati che li riguardano (ivi compreso il registratore o il pc). In questi casi non è necessario richiedere il consenso delle persone coinvolte nella registrazione.

Sì. Questo consente a chi ambisce a incarichi e supplenze di conoscere la propria posizione e il proprio punteggio. Tali liste devono però contenere solo il nome, il cognome, il punteggio e la posizione in graduatoria. È invece eccedente la pubblicazione dei numeri di telefono e degli indirizzi privati dei candidati.

Sì, ma soltanto se i ragazzi e, nel caso di minori, chi esercita la responsabilità genitoriale, siano stati preventivamente informati sulle modalità di trattamento e sulle misure di sicurezza adottate per proteggere i dati personali degli alunni e, ove previsto, abbiano acconsentito al trattamento dei dati. Ragazzi e genitori devono, comunque, avere sempre la facoltà di non aderire all’iniziativa.

Le scuole possono trattare le categorie particolari di dati personali (es. dati sulle convinzioni religiose, dati sulla salute) solo se espressamente previsto da norme di legge o regolamentari. In ogni caso non possono essere diffusi i dati relativi alla salute: non è consentito, ad esempio, pubblicare online una circolare contenente i nomi degli studenti con disabilità oppure quegli degli alunni che seguono un regime alimentare differenziato per motivi di salute.

Quando, a causa di particolari e comprovate ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato oppure rischia di pregiudicare gravemente il conseguimento delle finalità della ricerca e non è quindi possibile acquisire il consenso degli interessati al trattamento dei dati personali, i titolari del trattamento sono tenuti, laddove possibile, a raccogliere tale consenso, previa idonea informativa, presso chi esercita legalmente la potestà di questi ultimi, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato (in analogia con quanto previsto dal punto 4.11.2 delle prescrizioni relative al trattamento dei dati genetici, allegato 4 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, doc. web n. 9124510).

Qualora, per specifiche e comprovate ragioni, non sia possibile acquisire il consenso informato al trattamento dei dati personali, neanche presso terzi, ovvero ciò rischi di pregiudicare gravemente il buon esito della ricerca (si pensi al trattamento di dati riferiti a pazienti defunti o ricoverati in reparti di terapia intensiva), i titolari che intendano svolgere trattamenti di dati personali che riguardano esclusivamente studi sperimentali e gli usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19, non sono obbligati, in forza della normativa relativa alla presente fase emergenziale, alla preventiva sottoposizione del progetto di ricerca, nonché della relativa valutazione di impatto, alla consultazione preventiva del Garante di cui all’art. 110 del Codice in materia di protezione dei dati personali.

Premesso che le App di tracciamento devono avere una adeguata base normativa e rispettare i criteri già definiti a livello nazionale, le App, volte a fornire servizi diversi dalla telemedicina o comunque non strettamente necessari alla cura (App divulgative; App per la raccolta di informazioni sullo stato di salute della popolazione di un dato territorio), che comportino il trattamento di dati personali, possono essere utilizzate, in linea generale, solo previo consenso libero, specifico, esplicito e informato dell’interessato (cfr. provvedimento del 7 marzo 2019 - doc. web n. 9091942).

L’informativa può essere fornita utilizzando un modello semplificato (anche un semplice cartello, come quello realizzato dall’EDPB e disponibile qui), che deve contenere, tra le altre informazioni, le indicazioni sul titolare del trattamento e sulla finalità perseguita. Il modello può essere adattato a varie circostanze (presenza di più telecamere, vastità dell’area oggetto di rilevamento o modalità delle riprese). L’informativa va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario. L’informativa deve rinviare a un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento, indicando come e dove trovarlo (ad es. sul sito Internet del titolare del trattamento o affisso in bacheche o locali dello stesso).

Vedi l'immagine del modello semplificato del cartello videosorveglianza.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD).

Con riferimento ai contenuti si rappresenta quanto segue: 

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

Allo scopo di ricondurre il fenomeno entro limiti di tollerabilità e indurre tutti i soggetti coinvolti all´adozione di comportamenti e pratiche commerciali meno invasive, il Garante ha stabilito (cfr. provvedimento del 20 febbraio 2014) che:

• non possono effettuarsi più di 3 telefonate "mute" ogni 100 andate "a buon fine";

• la chiamata "muta" deve interrompersi trascorsi 3 secondi dalla risposta dell´utente;

• a seguito di una chiamata "muta" deve essere preclusa la possibilità di richiamare quella stessa utenza per almeno cinque giorni;

• l´eventuale successivo riuso di quel numero deve avvenire in modo da assicurare la presenza di un operatore.

L´insieme di questi accorgimenti rende residuale la possibilità di ricevere una chiamata muta.

Sì. Con l´adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per assicurare l´osservanza della disciplina in materia di protezione dei dati personali nell´adempimento degli obblighi di pubblicazione sul web di atti e documenti. Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell´azione amministrativa.

Sì. Il Garante con le linee guida sul dossier del 2015 ha previsto che l´interessato possa chiedere di conoscere gli accessi eseguiti sul proprio dossier con l´indicazione della struttura/reparto che ha effettuato l´accesso, nonché della data e dell´ora dello stesso.

Al fine di evitare che i cittadini si rechino presso gli studi dei medici di base per ritirare le ricette, l’ordinanza della protezione civile del 19 marzo 2020 ha previsto che il medico possa trasmettere all’assistito la ricetta per posta elettronica, via SMS o telefonicamente.

Nel caso di invio tramite e-mail, il promemoria della ricetta sarà allegato al messaggio e non inserito come testo nel corpo del messaggio stesso.

Nel caso di comunicazione telefonica o tramite sms, sarà invece sufficiente comunicare all’assistito il solo Numero della Ricetta Elettronica prescritta.

Il Garante ha espresso parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze secondo cui l’assistito che abbia ricevuto dal medico gli estremi della ricetta per posta elettronica, via sms o telefonicamente, può comunicarla, con le stesse modalità, alla farmacia.

Lo schema di decreto prevede inoltre che, nel periodo emergenziale, l’assistito possa delegare il medico a inviare la ricetta direttamente alla farmacia, tramite posta elettronica o attraverso lo stesso sistema che genera la ricetta.

Allo stato lo schema di decreto sottoposto al parere del Garante non è stato ancora adottato dal Mef.

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.

Pertanto, le aziende sanitarie e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.

Gli screening sierologici per il Covid-19 possono essere promossi dai Dipartimenti di prevenzione della regione nei confronti delle categorie di soggetti considerati a maggior rischio di contagio e diffusione del Covid-19. Tra tali categorie di soggetti vi sono gli operatori sanitarie e le forze dell’ordine. La partecipazione di tali soggetti ai test può avvenire solo su base volontaria.

I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare), nonché per finalità di sanità pubblica da parte del dipartimento di prevenzione regionale.

Tali trattamenti di dati devono essere tenuti distinti da quelli effettuati nell’ambito dell’effettuazione di test sierologici per Covid-19 per finalità di sicurezza e salute sul luogo di lavoro.

I servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando, con i canali ritenuti più efficaci, le modalità di attivazione del servizio (ad es. numero verde), senza raccogliere, dunque, gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti.

In primo luogo, infatti, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi, poiché tali esigenze potrebbero, ad esempio, essere assolte dalla famiglia o da altre reti sociali scelte dall’interessato.

In secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio o non possono usufruire di reti familiari o sociali (anziani, invalidi, malati cronici)

Ai fini dell’attribuzione delle risorse economiche ai soggetti che versano in condizioni di difficoltà economiche nel contesto dell’emergenza Covid-19, i Comuni hanno predisposto dei moduli con cui autocertificare il possesso dei requisiti previsti per ottenere le misure di sostegno. Tali moduli devono prevedere la raccolta dei soli dati indispensabili alla verifica dei presupposti (es. reddito, fruizione di altri aiuti, composizione nucleo familiare, etc.) e non anche informazioni non necessarie o non pertinenti per ottenere il beneficio richiesto.

Con specifico riferimento ai cd. buoni spesa, alcuni bandi rivolti agli esercizi commerciali prevedono il rimborso del valore nominale dei buoni a fronte della presentazione, da parte degli esercenti, di adeguata documentazione giustificativa (es. buoni spesa in originale e/o gli scontrini fiscali per cui il rimborso è richiesto).

In tale ipotesi, piuttosto che presentare direttamente gli scontrini con i dettagli di spesa, si ritiene preferibile che l’esercizio commerciale presenti un’autodichiarazione sulla conformità dell’utilizzo dei buoni di cui chiede il rimborso, con contestuale impegno a conservare gli scontrini per gli eventuali controlli che il Comune riterrà di effettuare. In tal modo si evita la produzione sistematica di documentazione di dettaglio che, associata all’identità del beneficiario del buono, comporterebbe la comunicazione di dati personali, anche di natura particolare (ad es. acquisti di prodotti alimentari specifici, etc.)

La normativa sulla trasparenza stabilisce l’obbligo di pubblicazione, fra l’altro, dei nominativi dei soggetti destinatari in generale di benefici economici superiori a mille euro nel corso dell’anno solare (quali sovvenzioni, contributi, sussidi o altri vantaggi economici), fermo restando il divieto di diffusione di nel caso in cui da tali dati “sia possibile ricavare informazioni relative allo stato di salute [o] alla situazione di disagio economico-sociale degli interessati" (art. 26, comma 4, d. lgs. n. 33/2013).

Si tratta di un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali degli interessati, al fine di evitare che soggetti in condizioni disagiate – economiche o sociali – soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi della particolare situazione personale.

Nel caso di benefici economici superiori a mille euro nell’anno solare, spetta all’ente locale, titolare del trattamento, valutare quando le informazioni di contesto rivelino dati sulla salute ovvero l’esistenza di un disagio economico o sociale dell’interessato e non procedere, di conseguenza, alla pubblicazione di dati o altre informazioni idonee ad identificarlo. In ogni caso, nel rispetto del principio di minimizzazione dei dati rispetto alla finalità perseguita, non risulta giustificato pubblicare dati quali, l’indirizzo di abitazione o la residenza, il codice fiscale, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell’equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.

Pertanto, le aziende sanitarie, le prefetture, i comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia o per il contrasto di “fake news”.

L’attività di sorveglianza sanitaria dei soggetti posti in isolamento domiciliare consiste in un intervento di sanità pubblica, che deve essere realizzato da operatori sanitari in grado di valutare, in relazione alle condizioni di salute del soggetto, gli interventi sanitari più opportuni. Le disposizioni d’urgenza adottate pongono infatti in capo a “l'operatore di sanità pubblica” l’obbligo di provvedere “a contattare, quotidianamente, per avere notizie sulle condizioni di salute, la persona in sorveglianza” (art. 3, comma 6, d.p.c.m. 8 marzo 2020; art. 2, comma 6, d.p.c.m. 4 marzo u.s.).

Le prefetture, che hanno il compito di controllare che la misura dell’isolamento domiciliare sia effettivamente rispettata, possono avvalersi delle forze di polizia, deputate -eventualmente- anche ad adottare i provvedimenti sanzionatori connessi al mancato rispetto delle predette misure di isolamento.

Le forze di polizia locale possono venire a conoscenza dei dati identificativi dei soggetti posti in isolamento, qualora la Prefettura deleghi loro la predetta attività di controllo. In tal caso, la Prefettura potrà comunicare alla polizia locale insistente sul territorio comunale, i dati dei soggetti nei cui confronti ha delegato l’attività di controllo sul rispetto della misura di isolamento domiciliare

La verifica sull’attuazione delle misure emergenziali è assicurata dalle Prefetture avvalendosi delle Forze di polizia, tra le quali la polizia locale (artt. 3 e 5 l. n. 65/1986).

Il personale di polizia locale preposto ai controlli su strada deve anche assicurare il rispetto delle restrizioni dei movimenti delle persone sul territorio, effettuando il controllo delle autodichiarazioni, rese dai cittadini, provvedendo anche all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative o, nei casi più gravi, alla trasmissione delle notizie di reato alle autorità competenti.

Gli accertamenti sulla veridicità delle dichiarazioni - rese ai sensi degli artt. 46 e 47 del d.P.R. 445/2000 sul modello ministeriale - riguardano anche la dichiarazione di “non essere sottoposto alla misura della quarantena ovvero di non essere risultato positivo al COVID-19” e devono poter essere effettuati, da tutte le forze di polizia, sui dati aggiornati tenuti dalle Aziende sanitarie competenti.

In ragione della gravità delle conseguenze che possono derivare agli interessati dall’esito di tali verifiche, della temporaneità delle misure di isolamento e della variabilità delle stesse (per es. a seguito di tampone negativo), tali controlli devono essere necessariamente effettuati con modalità che garantiscano l’esattezza dei dati e il loro aggiornamento. Devono, pertanto, essere implementate soluzioni che consentano a tutte le Forze di polizia la possibilità di interrogare puntualmente i predetti elenchi con riferimento alla presenza della misura dell’isolamento domiciliare nei confronti del soggetto controllato. Nulla osta che tale interrogazione sia fatta presso ciascuna delle strutture sanitarie dislocate sul territorio ovvero, in modo coordinato, presso un ufficio a ciò deputato della Prefettura.

L’Istituto Superiore della Sanità (ISS) ha dettato precise raccomandazioni (rapporto n. 3/2020, REV. 2 del 31 maggio 2020) circa il corretto conferimento e smaltimento dei rifiuti nello stato emergenziale in atto, rivolte non solo ai soggetti positivi o in isolamento ma a tutti gli attori coinvolti nella gestione dei rifiuti (operatori ecologici, volontari) e all’intera popolazione, raccomandando, in particolare, che, nelle abitazioni in cui sono presenti soggetti positivi o in quarantena, sia interrotta la raccolta differenziata, ove in essere, e che tutti i rifiuti domestici siano considerati indifferenziati e, pertanto, raccolti e conferiti insieme.

Nel caso in cui il soggetto positivo, o in isolamento, non possa far ritirare i rifiuti da qualcuno che si faccia carico del loro conferimento o con altre modalità previste sul territorio (ad es. azienda affidataria del servizio di raccolta), l’ISS ha raccomandato anche di istituire un servizio dedicato di ritiro da parte di operatori addestrati (es. Protezione Civile, Esercito, Croce Rossa, ecc.).

I Comuni, nonché le aziende affidatarie del servizio di raccolta, sulla base di segnalazioni delle autorità sanitarie o in conseguenza delle richieste di assistenza degli interessati, possono, pertanto, venire a conoscenza dei dati personali dei soggetti positivi o in isolamento, che dovranno essere necessariamente aggiornati ed esatti.

Al fine di consentire a tutti gli addetti la facile identificazione di tali rifiuti, l’ISS ha, altresì raccomandato, laddove possibile, di utilizzare sacchi e/o contenitori di colore differente da quelli già utilizzati per rifiuti di altro tipo. Ciò al fine di salvaguardare la salute pubblica e la sicurezza dei lavoratori impiegati nel servizio di raccolta e smaltimenti dei rifiuti.

Ciò premesso, per quanto non rientri nella stretta competenza del Garante l’indicazione delle esatte modalità differenziate di raccolta dei rifiuti prodotti da soggetti positivi o in isolamento, si ritiene che i Comuni debbano, in ogni caso, effettuare le proprie scelte organizzative tenendo nella dovuta considerazione l’esigenza di rispettare la riservatezza degli interessati, in un’ottica di proporzionalità e minimizzazione del potenziale impatto sugli stessi.

Conseguentemente, tenuto conto delle dimensioni territoriali, delle risorse disponibili, del numero dei contagi, nonché delle modalità ordinarie di raccolta dei rifiuti (cassonetti stradali o condominiali, porta a porta o sistema misto), tale scelta dovrà adeguatamente bilanciare le esigenze sanitarie con il diritto alla riservatezza. Dovranno essere, pertanto, individuate adeguate soluzioni organizzative tese a evitare l’esposizione a terzi della situazione degli interessati (ad es. preavviso telefonico prima del passaggio degli addetti alla raccolta; previsione di brevi finestre temporali per il ritiro o ritiro in orari notturni, riducendo così il tempo di permanenza del contenitore o del sacco in prossimità dell’abitazione; ove possibile, individuare punti di raccolta isolati).

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.

Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).

In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.

Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.

In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l'individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).

Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).

La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).

Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

Le strutture sanitarie territorialmente competenti possono promuovere campagne di screening sulla positività al Covid-19, in contesti a rischio contagio, come quello scolastico. La partecipazione degli alunni ai test può avvenire solo su base volontaria.

In tal caso, la titolarità del trattamento effettuato nell’ambito delle predette attività di screening resta in capo alla struttura sanitaria (la AUSL e non l’istituto scolastico) che lo promuove e che, pertanto, è l’unica legittimata a raccogliere le adesioni e a comunicare i risultati alla famiglia.

Il ruolo della scuola, anche nell’ambito delle proprie funzioni istituzionali, deve essere quello di promozione, supporto, nonché di intermediazione tra struttura sanitaria e famiglie, senza di regola raccolta di dati personali.

Laddove, in ragione di peculiari esigenze locali legate al contesto emergenziale, le strutture sanitarie ritengano necessario avvalersi degli istituti scolastici per la raccolta delle adesioni ai predetti screening, le scuole potranno trattare, per conto delle strutture sanitarie, in qualità di responsabili del trattamento (art. 28 del Regolamento), unicamente i dati degli alunni necessari ad agevolare l’organizzazione degli screening.

Nei diversi casi in cui, ai fini dello svolgimento delle attività di prevenzione connesse alla gestione dell'emergenza sanitaria in atto, la struttura sanitaria reputi indispensabile acquisire dagli istituti scolastici gli elenchi degli alunni iscritti cui rivolgere l’invito a effettuare i predetti screening, la comunicazione dei nominativi è ammissibile, fino al termine dello stato di emergenza, ai sensi e nei limiti di quanto previsto dall’art. 17-bis, comma 2, del d.l. n. 18/2020.

È inoltre opportuno che le modalità di esecuzione delle predette campagne presso i locali scolastici assicurino il rispetto della libertà di scelta individuale, evitando di suscitare disagio negli alunni o creare disparità tra gli stessi per effetto della partecipazione o meno allo screening prediligendo l’effettuazione delle operazioni in prossimità dell’orario di ingresso o al termine delle lezioni.

Il Ministero della salute, sulla base della normativa emanata in fase emergenziale, il 1° aprile 2020, ha adottato un bando per invitare gli Istituti di ricovero e cura a carattere scientifico (IRCCS) a presentare progetti di ricerca medica, finanziati attraverso i fondi per la ricerca corrente degli IRCCS, finalizzati a migliorare la comprensione dell’epidemia Covid-19, contribuire a una gestione clinica più efficiente dei pazienti infetti e migliorare le possibilità e l’efficacia dei trattamenti terapeutici a disposizione delle strutture del Servizio Sanitario Nazionale.

I trattamenti di dati personali anche relativi alla salute svolti dagli IRCCS beneficiari dei predetti fondi, nell’ambito delle ricerche finalizzate al contrasto della pandemia, possono essere svolti senza il consenso degli interessati, in quanto ineriscono alle funzioni di rilevante interesse pubblico attribuite, tra gli altri, anche ai soggetti del Servizio sanitario nazionale. I predetti IRCSS che trattano dati personali nell’ambito delle ricerche mediche finanziate dal Ministero non devono, pertanto, effettuare gli adempimenti previsti dall’art. 110 del Codice.

L’App per il tracciamento digitale dei contatti dei contagiati da Covid 19 è stata disciplinata dall’art. 6 del decreto legge 30 aprile 2020, n. 28 che ha istituito il Sistema nazionale di allerta Covid uniformando, a livello nazionale, il quadro di garanzie poste a tutela degli interessati.

La norma rappresenta un adeguato presupposto giuridico per introdurre tale misura di sanità pubblica e soddisfa i requisiti previsti dal Regolamento (UE) 2016/679 (articoli6, par.1, lett. e) e 9, par. 2, lett. g) e, in particolare, lett. i)) e dal Codice (articoli 2-ter e 2-sexies).

Il Ministero della Salute, ai sensi del citato art. 6 del d.l. 28/2020, ha condotto la valutazione d’impatto prevista dall’art. 35 del Regolamento e il Garante ha successivamente autorizzato il trattamento effettuato attraverso l’App Immuni (provvedimento adottato il 1° giugno 2020 - doc. web. n. 9356568).

No, la norma prevede che l’App sia installata dagli interessati su base volontaria.

L’adesione al sistema di allerta deve essere infatti frutto di una scelta realmente libera da parte dell’interessato che deve essere adeguatamente informato e deve poter confidare nella trasparenza del trattamento. La volontarietà dell’adesione dell’interessato è assicurata in ogni fase del trattamento effettuato dal Ministero della salute, come ribadito dal Garante sia nel parere sulla norma (cfr. parere del 29 aprile 2020 - doc. web n. 9328050) che nell’autorizzazione dell’App Immuni (cfr. provvedimento del 1° giugno 2020 - doc. web n. 9356568).

La normativa d’urgenza adottata per il Covid 19 ha previsto misure rigorose per lo svolgimento delle visite mediche, al fine di favorire l’adozione di misure di protezione per il paziente e per il personale sanitario, nonché per garantire il distanziamento interpersonale tra gli stessi pazienti.

In tale contesto, le strutture sanitarie che intendono avvalersi di strumenti di telemedicina (App di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) per effettuare diagnosi o terapie a distanza, non devono richiedere uno specifico consenso al trattamento dei dati personali dell’interessato, in quanto si tratta di una diversa modalità di svolgimento del rapporto medico-paziente (cfr. in particolare art. 9, par.2, lett. h) e par. 3 del Regolamento).

Il titolare del trattamento dovrà in ogni caso provvedere a effettuare la valutazione di impatto (art. 35 del Regolamento), fornire all’interessato un’informativa completa con riferimento al trattamento dei dati effettuato attraverso la predetta App, nonché assicurare il rispetto dei principi di integrità, riservatezza ed esattezza dei dati trattati anche attraverso tale specifica modalità di trattamento.

NO. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.

Il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento).

NO. Il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).

Il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008).

Nell’attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad "agenti biologici" durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

In tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008).

L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori. Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento. I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite.

E’ bene ricordare inoltre che il Comitato europeo per la protezione dei dati (EDPB)  ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.

Le immagini registrate non possono essere conservate più a lungo di quanto necessario per le finalità per le quali sono acquisite (art. 5, paragrafo 1, lett. c) ed e), del Regolamento). In base al principio di responsabilizzazione (art. 5, paragrafo 2, del Regolamento), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Ciò salvo che specifiche norme di legge non prevedano espressamente determinati tempi di conservazione dei dati (si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l'uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”).

In via generale, gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Solitamente è possibile individuare eventuali danni entro uno o due giorni. Tenendo conto dei principi di minimizzazione dei dati e limitazione della conservazione, i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici. Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

Ad esempio, normalmente il titolare di un piccolo esercizio commerciale si accorgerebbe di eventuali atti vandalici il giorno stesso in cui si verificassero. Un periodo di conservazione di 24 ore è quindi sufficiente. La chiusura nei fine settimana o in periodi festivi più lunghi potrebbe tuttavia giustificare un periodo di conservazione più prolungato.

I contravventori che abbiano ricevuto, entro la data del 25 maggio 2018, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione immediata di cui all’art. 14 della legge 24 novembre 1981, n. 689, relativamente ai procedimenti sanzionatori riguardanti le violazioni di cui agli artt. 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, 33 e 162, comma 2-bis, del Codice, hanno la facoltà di definire i suddetti procedimenti mediante il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale previsto per la sanzione (cfr. art. 18 del decreto legislativo n. 101 del 10 agosto 2018).

Va precisato inoltre che, poiché il citato articolo 18 del d.lgs. 101/2018 prevede che siano “fatti salvi i restanti atti del procedimento eventualmente già adottati”, la suddetta facoltà di definizione agevolata non è ammessa qualora il procedimento sanzionatorio si sia nel frattempo concluso con l’adozione di un provvedimento di ordinanza-ingiunzione da parte del Garante.

Qualora il contravventore decida di non definire in maniera agevolata, mediante il pagamento dei 2/5 del minimo edittale entro il 18 dicembre 2018, i procedimenti sanzionatori pendenti, ha la facoltà di pagare l’intero importo contenuto nell’atto di contestazione oppure di presentare nuove memorie difensive entro il 16 febbraio 2019. In tal ultimo caso, il Garante, esaminate le nuove memorie presentate nei termini, potrà, in alternativa, disporre l’archiviazione degli atti ove ne ricorrano i presupposti, ovvero adottare specifica ordinanza-ingiunzione con la quale potrà determinare la somma dovuta per la violazione e ingiungerne il pagamento all'autore della violazione ed alle persone che vi sono obbligate solidalmente. 

Il termine per il Garante per disporre l’archiviazione degli atti o per adottare una specifica ordinanza-ingiunzione è di 5 anni ai sensi dell’art. 28 della legge 24 novembre 1981, n. 689; tale termine di prescrizione del diritto a riscuotere le somme dovute è stato espressamente interrotto dall’art. 18, comma 5, del decreto legislativo n. 101 del 10 agosto 2018 e pertanto decorrerà nuovamente a partire dal 19 settembre 2018 (data di entrata in vigore del d.lgs. 101/2018). Il termine ultimo per l’archiviazione degli atti o per l’adozione di un provvedimento di ordinanza-ingiunzione, in tali casi, sarà quindi quello del 19 settembre 2023.

In tale ipotesi occorre distinguere tra due differenti tipologie di situazioni, di seguito evidenziate.

11.a. L’atto di contestazione contiene la determinazione della sanzione

Nel caso in cui l’atto di contestazione contenga la determinazione della sanzione il decreto n. 101 del 10 agosto 2018 prevede che, a seguito della mancata definizione agevolata del procedimento sanzionatorio entro il 18 dicembre 2018, al contravventore sia concesso l’ulteriore termine di 60 giorni per il pagamento spontaneo dell’intero importo, pari a quello contenuto nell’atto di contestazione, in quanto quest’ultimo assume automaticamente il valore dell’ordinanza-ingiunzione di cui all’articolo 18 della legge 689/1981 (art. 18, comma 2, del decreto). Quindi il contravventore, decorso il termine del 18 dicembre 2018 per la definizione agevolata, ha tempo fino al 16 febbraio 2019 per versare l’intero importo determinato nell’atto di contestazione.

Una volta decorso l’ulteriore termine del 16 febbraio 2019 senza che il contravventore abbia spontaneamente provveduto al pagamento dell’intero importo e senza che abbia presentato nuove memorie difensive, l’Ufficio procederà all’iscrizione a ruolo dell’intero importo indicato nell’atto di contestazione, in quanto quest’ultimo, come detto, assume automaticamente il valore di ordinanza-ingiunzione per effetto dell’art. 18, comma 2, del decreto 101/2018, e costituisce pertanto titolo esecutivo, senza che sia necessaria alcuna ulteriore notificazione al contravventore stesso.

11.b. L’atto di contestazione non contiene la determinazione della sanzione

Alcune tipologie di atti di contestazione non contengono la determinazione della sanzione: si tratta di tutti quei casi in cui non è ammesso il pagamento in misura ridotta ai sensi dell’art. 16 della l. 689/1981; tipicamente, le violazioni relative alle misure minime di sicurezza, di cui agli artt. 33 e 162, comma 2-bis, del Codice, e quelle relative a banche dati di particolare rilevanza o dimensioni, di cui all’art. 164-bis, comma 2, del Codice. In tali casi l’atto di contestazione reca solo i minimi e massimi edittali per la violazione rilevata ed è privo dell’importo della sanzione, necessario affinché l’atto stesso assuma il valore di ordinanza-ingiunzione.

Pertanto, relativamente a tali casi, decorso il termine del 16 febbraio 2019, il Garante procederà comunque all’adozione di un provvedimento di ordinanza-ingiunzione (o di archiviazione), al fine della concreta quantificazione della sanzione da applicare.

No, poiché l’art. 18 del decreto n. 101/2018 prevede la facoltà di definizione agevolata della violazioni solo per “i procedimenti sanzionatori […] che, alla data di applicazione del Regolamento [25 maggio 2018], risultino non ancora definiti con l’adozione dell’ordinanza-ingiunzione”. Pertanto, possono avvalersi della definizione agevolata soltanto i contravventori che abbiano ricevuto, entro il 25 maggio 2018, l’atto con il quale sono notificati gli estremi della violazione o l’atto di contestazione immediata di cui all’art. 14 della legge 24 novembre 1981, n. 689.

Di conseguenza, nei casi in cui i suddetti atti di contestazione siano stati notificati contravventori successivamente al 25 maggio 2018 è esclusa la possibilità di definire in via agevolata il procedimento ai sensi del citato art. 18 del d.lgs. n. 101/2018; il Garante concluderà il procedimento sanzionatorio con un provvedimento di ordinanza-ingiunzione o di archiviazione, secondo l’iter ordinario previsto dal Codice e dalla legge 689/1981.

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD). 

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:  

- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

- il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che,  fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

Si invita altresì a consultare il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD). 

In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:

a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD;

b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;

c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD.

Il  d.lgs. 14 marzo 2013, n. 33 e le sue successive modificazioni (cd. decreto trasparenza), che ha riordinato la normativa esistente – anche innovandola – fornendo così una disciplina unitaria della trasparenza amministrativa.

Sì. Il decreto trasparenza pone un termine generale di mantenimento online delle informazioni pari a 5 anni. Le uniche eccezioni riguardano:

• gli atti che producono ancora i loro effetti alla scadenza dei cinque anni, che devono rimanere pubblicati fino a che non cessa la produzione degli effetti (es. le informazioni riferite ai vertici e ai dirigenti della P.A., che vengono aggiornati e possono restare online oltre i cinque anni, fino alla scadenza del loro mandato);

• i dati riguardanti i titolari di incarichi politici, i dirigenti, i consulenti e i collaboratori (che devono rimanere pubblicati per i 3 anni successivi alla scadenza dell´incarico);

•  i dati per i quali è previsto un termine diverso dalla normativa in materia di privacy.

È bene sottolineare che, in ogni caso, una volta raggiunti gli scopi per i quali i dati personali sono stati resi pubblici, gli stessi devono essere oscurati anche prima del termine dei 5 anni.

Sì. Il principio generale del libero riutilizzo dei documenti contenenti dati pubblici va bilanciato con i principi in materia di protezione dei dati personali, primo fra tutti quello di finalità.

Il Garante ha ritenuto opportuno che i soggetti pubblici inseriscano nella sezione "Amministrazione trasparente" un alert generale con cui si informi il pubblico che i dati personali pubblicati sono «riutilizzabili solo alle condizioni previste dalla normativa vigente sul riuso dei dati pubblici (…), in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, e nel rispetto della normativa in materia di protezione dei dati personali».

Il DPCM dell’8 agosto 2013 ha previsto che l’interessato debba esprimere il proprio consenso esplicito, libero, specifico e informato alla refertazione online. Il mancato consenso non deve precludere in alcun modo la possibilità di accedere alla prestazione medica richiesta.

Come indicato dal Garante nel provvedimento del 7 marzo 2019, non è più necessario che il titolare (es. laboratorio di analisi, ospedale) raccolga il consenso dell’interessato per il trattamento dei dati necessario all’erogazione della prestazione sanitaria (art. 9, par. 2, lett. h), del GDPR).

E’ necessario adottare specifiche misure e accorgimenti tecnici al fine di assicurare idonei livelli di protezione dei dati sia in base alle Linee Guida in materia di refertazione online del Garante che al DPCM 08/08/2013.

E’ necessario prevedere idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati a seconda dei ruoli e delle finalità dei trattamenti.

E’ necessario definire differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica anche certificata o supporto elettronico. Chiunque abbia accesso o tratti i dati dei referti online deve essere opportunamente formato.

In un’ottica di accountability è necessario predisporre un’apposita procedura per la gestione dei data breach, che consenta di intervenire tempestivamente in caso di violazione del sistema di refertazione online e di monitorarne costantemente la sicurezza.

La refertazione online, con le sue specifiche caratteristiche e misure di sicurezza, deve essere inserita all’interno del Registro delle attività di trattamento in base all’art. 30 del GDPR.

Qualora il titolare intenda implementare l’uso di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione deve effettuare, prima di procedere al trattamento, la valutazione d’impatto (cd. DPIA) secondo le regole previste dal GDPR.

Il FSE è stato previsto dall´art. 12, del d.l. n. 179/2012 e successivamente disciplinato dal D.P.C.M. n. 178/2015 e dall' art. 11 d.l. 19.05.2020 n. 34. Molte utili informazioni sullo stato di realizzazione del FSE nelle diverse regioni italiane sono disponibili sul portale www.fascicolosanitario.gov.it.

Il FSE persegue tre finalità:

1) finalità di cura (prevenzione, diagnosi, cura e riabilitazione);

2) finalità di ricerca (studio e ricerca scientifica in campo medico, biomedico ed epidemiologico);

3) finalità di governo (programmazione sanitaria, verifica della qualità delle cure e valutazione dell'assistenza sanitaria).

Una volta che l'assistito abbia espresso il proprio consenso alla consultazione del fascicolo, che deve essere reso una tantum e può essere sempre revocato, il personale sanitario che lo ha in cura può accedere al suo FSE. La prestazione sanitaria è comunque garantita anche in caso di mancato consenso.

Con i recenti interventi di semplificazione, il FSE viene automaticamente alimentato in modo che lo stesso assistito possa facilmente consultare i propri documenti socio-sanitari, anche se generati da strutture sanitarie situate al di fuori della Regione di appartenenza, grazie all'interoperabilità assicurata dal Sistema Tessera Sanitaria.

A prescindere dal consenso dell'assistito, gli organi di governo sanitario possono accedere a dati pseudonimizzati presenti nel FSE per svolgere le relative funzioni istituzionali (es. programmazione delle cure, gestione delle emergenze sanitarie).

Se ritiene che il trattamento dei dati che lo riguardano non è conforme alla disposizioni vigenti ovvero se la risposta ad un'istanza con cui esercita uno o più dei diritti  previsti dagli articoli 15-22 del Regolamento (UE) 2016/679 non perviene nei tempi indicati o non è soddisfacente, l'interessato può rivolgersi all'autorità giudiziaria o al Garante per la protezione dei dati personali, in quest'ulimo caso mediante un reclamo ai sensi dell'articolo art. 77 del Regolamento (UE) 2016/679.

Il Regolamento europeo non prevede più l'istituto del ricorso per fare valere i diritti di accesso ai dati personali (che pertanto non è più esperibile davanti al Garante a partire dal 25 maggio 2018).

IL RECLAMO

Il reclamo al Garante è un atto circostanziato con il quale si rappresenta una violazione della disciplina rilevante in materia di protezione dei dati personali (articolo 77 del Regolamento UE 679/2016) e artt. da 140-bis a 143 del Codice. 

Al reclamo segue un'istruttoria preliminare e un eventuale successivo procedimento amministrativo formale che può portare all'adozione dei provvedimenti di cui all'articolo 58 del Regolamento.

Avverso la decisione del Garante è ammesso il ricorso giurisdizionale ai sensi degli articoli 143 e 152 del Codice e dell'articolo 78 del Regolamento. 

La presentazione del reclamo è gratuita.

Per approfondimenti: pagina informativa e modello sul reclamo

LA SEGNALAZIONE

Chiunque può rivolgere, ai sensi dell’art. 144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell'emanazione dei provvedimenti di cui all'art. 58 del Regolamento (indirizzo). 

(Scheda di sintesi redatta dall'Ufficio del Garante a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell'Autorità. Per dubbi e domande si suggerisce di contattare l'Urp del Garante)

L'interessato può presentare un'istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).

Su questo sito è disponibile un modulo che si può utilizzare per esercitare i predetti diritti.

L'istanza può essere riferita, a seconda delle esigenze dell'interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.

All'istanza il titolare, deve fornire idoneo riscontro, ossia: 

- senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento;

- tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all'interessato entro 1 mese dal ricevimento della richiesta.

La firma digitale deve essere apposta dal soggetto che materialmente effettua la comunicazione ed i cui dati (cognome, nome e indirizzo email) sono stati indicati nella sezione A del modulo.

No. È necessario indicare che la comunicazione viene effettuata su delega selezionando la corrispondente voce e indicando il cognome e nome del soggetto delegante.

È necessario selezionare nella sezione C, al punto 1 "esterno" e al punto 2 "persona giuridica".

Occorre seguire le istruzioni ricevute con l'email. Si ricorda che in ogni caso il suddetto file non va inviato via email, ma solo caricato sulla piattaforma seguendo le istruzioni.

Il file scaricato è in formato .xml e può essere aperto soltanto tramite appositi programmi. In ogni caso, come chiarito nelle istruzioni, "la minima modifica al file ricevuto comporterà il rigetto della comunicazione; pertanto, si raccomanda di non aprire il file ricevuto ma esclusivamente di procedere alla sua sottoscrizione digitale, previo salvataggio in locale".

Alcuni sistemi di posta elettronica possono alterare i file allegati, inserendo caratteri speciali: può così succedere che il file su cui è apposta la firma risulti difforme da quello che il sistema è impostato per riconoscere, con il conseguente rigetto della comunicazione. Per evitare questo tipo di problematiche, si consiglia di evitare di trasmettere il file da firmare mediante posta elettronica al soggetto che apporrà la firma digitale. E' invece consigliabile completare la procedura di comunicazione e successiva applicazione della firma digitale dalla stessa postazione di lavoro del soggetto firmatario, che come indicato nelle istruzioni, deve coincidere con il soggetto che effettua la comunicazione (vedi sez. A del modulo).

Se si intende apportare variazioni ad una comunicazione già effettuata in precedenza (es. per correggere eventuali inesattezze o errori) è necessario selezionare nella sezione A1 l’opzione “Variazione di una comunicazione”, indicare il numero di protocollo della comunicazione che si intende variare e inserire nuovamente tutte le informazioni richieste, che qualora accettate, saranno intese come integrale sostituzione di quanto comunicato in precedenza.

In questi casi, è necessario ripetere la procedura partendo dall'inizio, cioè effettuando una nuova compilazione dei dati (a cui seguirà l'attribuzione di un nuovo ID provvisorio di comunicazione, con l'invio di un nuovo file da firmare).

Terminato l'upload, la piattaforma procede alle verifiche indicate nelle istruzioni e quindi all'invio del riscontro o del rigetto, seguendo l'ordine di arrivo delle comunicazioni. Eccezionalmente può avvenire che, a causa dell’invio contestuale di numerose comunicazioni, la procedura potrebbe richiedere più tempo e l'arrivo dell'e-mail di riscontro potrebbe tardare un po'. Eventuali informazioni possono essere richieste inviando una mail all'URP del Garante, indicando l'ID provvisorio di comunicazione

No. Resta comunque invariato l’obbligo per ciascun Titolare/Responsabile del trattamento (società controllante/controllata) di comunicare eventuali variazioni.

No. Qualora il Titolare/Responsabile del trattamento proceda alla designazione di un nuovo RPD (ad esempio: per cessazione o mancato rinnovo del contratto di servizi tra il titolare/responsabile del trattamento ed il soggetto designato quale RPD) NON dovrà effettuare la revoca della comunicazione dei dati di contatto del precedente RPD, ma dovrà effettuare una variazione della comunicazione. I nuovi contenuti sostituiranno quanto comunicato in precedenza.

Per procedere alla variazione di una comunicazione, deve essere indicato il numero di protocollo della comunicazione che si intende variare. Assicurarsi che il numero indicato nella sez. A1 sia il numero di protocollo e non l’identificativo provvisorio di comunicazione.

Inoltre, nella sez. B della comunicazione della variazione il valore del campo CF/P.IVA deve essere uguale a quello inserito nella comunicazione che si intende variare. Infine, nella comunicazione di una variazione non è possibile modificare il campo  CF/P.IVA.

Se i dati di contatto del RPD non sono cambiati, non deve essere effettuata una nuova comunicazione.

No, perché la comunicazione dei dati di contatto è un adempimento a carico del Titolare del trattamento, ossia della struttura (azienda o ente) nel suo complesso e non del suo legale rappresentante.

Il numero di protocollo della comunicazione  (composto da 11 cifre) è indicato nella email  - indirizzata al soggetto che ha effettuato la comunicazione che si intende variare all’indirizzo indicato nella sez. A del modulo -  con la quale è stata comunicata la corretta conclusione della procedura.

Lo stesso riferimento si ottiene altresì indicando le 4 cifre corrispondenti all’anno in cui è stata effettuata la comunicazione seguite dalle 7 cifre riportate in alto a sinistra nel documento pdf inviato a mezzo PEC dal Garante a conclusione della procedura stessa.

Tali comunicazioni PEC, come indicato nelle istruzioni, sono state inviate all’indirizzo PEC del Titolare/Responsabile del trattamento (indicato nella Sez. B del modulo) ed all’indirizzo PEC dei dati di contatto del RPD (indicato nel punto 4 della sez. C del modulo).

La corretta conservazione della documentazione attestante l’avvenuta comunicazione dei dati di contatto del RPD rientra nell’ambito delle adeguate misure tecniche ed organizzative che il Titolare del trattamento è tenuto a mettere in atto per garantire, ed essere in grado di dimostrare, la conformità del trattamento. Inoltre, anche il RPD, all’atto della conclusione della procedura di comunicazione, riceve una PEC inviata all’indirizzo indicato al punto 4 della sez. C, contenente un documento con tutte le informazioni comunicate dal Titolare/Responsabile del trattamento.

Pertanto, esperite tutte le verifiche e le ricerche del caso, qualora un Titolare del trattamento, congiuntamente al RPD designato, abbia perso la disponibilità di tutti gli elementi (cfr. pag. 2 delle istruzioni) relativi alla precedente comunicazione, ne può fare esplicita richiesta inviando un’email all'URP del Garante, indicando tale circostanza e il Codice Fiscale del Titolare/Responsabile del trattamento.

No. La comunicazione dei dati di contatto del RPD al Garante è un obbligo del titolare/responsabile del trattamento, che è quindi tenuto anche ad effettuare tempestivamente, sempre tramite la procedura disponibile online, la variazione o la revoca della precedente comunicazione.

Nessun adempimento al riguardo è previsto per gli RPD uscenti. Eventuali comunicazioni inviate al Garante da parte di questi ultimi soggetti non saranno, quindi, registrate all’interno dei nostri sistemi informatici.

Si consiglia, naturalmente, di conservare la documentazione comprovante l’avvenuta cessazione del rapporto tra RPD e titolare/responsabile del trattamento, da esibire in caso di eventuale richiesta da parte dell’Autorità.

Sì. Tutte le scuole – sia quelle pubbliche, sia quelle private - hanno l’obbligo di far conoscere agli “interessati” (studenti, famiglie, professori, etc.) come vengono trattati i loro dati personali. Devono cioè rendere noto - attraverso un’adeguata informativa con le modalità ritenute più opportune, eventualmente anche online - quali dati raccolgono, come li utilizzano e a quale fine.

Sì. Gli interessati devono sempre essere informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.

In alcuni casi può essere necessario prolungare i tempi di conservazione delle immagini inizialmente fissati dal titolare o previsti dalla legge: ad esempio, nel caso in cui tale prolungamento si renda necessario a dare seguito ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria in relazione ad un’attività investigativa in corso.

Si rinvia al riguardo alle FAQ sulla scuola disponibili al link https://www.garanteprivacy.it/home/faq/scuola-e-privacy.

Sì, esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 della l. 300/1970).

Sì. I cartelli che segnalano tali sistemi sono obbligatori, anche in base alla disciplina di settore. L’utilizzo di tali sistemi è lecito se sono raccolti solo dati pertinenti e non eccedenti per il perseguimento delle finalità istituzionali del titolare, delimitando a tal fine la dislocazione e l’angolo visuale delle riprese. La ripresa del veicolo non deve comprendere (o deve mascherare), per quanto possibile, la parte del video o della fotografia riguardante soggetti non coinvolti nell’accertamento amministrativo (es. eventuali pedoni o altri utenti della strada). Le fotografie o i video che attestano l’infrazione non devono essere inviati al domicilio dell’intestatario del veicolo, ma l’interessato, ossia la persona eventualmente ritratta nelle immagini, può richiederne copia oppure esercitare il diritto di accesso ai propri dati (fermo restando che dovranno essere opportunamente oscurati o resi comunque non riconoscibili i passeggeri presenti a bordo del veicolo).

Sì. La normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso delle riprese ad alta quota (effettuate, ad esempio, mediante l’uso di droni). Non si applica, inoltre, nel caso di fotocamere false o spente perché non c’è nessun trattamento di dati personali (fermo restando che, nel contesto lavorativo, trovano comunque applicazione le garanzie previste dall’art. 4 della l. 300/1970) o nei casi di videocamere integrate in un’automobile per fornire assistenza al parcheggio (se la videocamera è costruita o regolata in modo tale da non raccogliere alcuna informazione relativa a una persona fisica, ad esempio targhe o informazioni che potrebbero identificare i passanti).

Le cosiddette "telefonate mute" sono chiamate effettuate da call center per finalità commerciali, nelle quali la persona contattata, dopo aver sollevato il ricevitore, non viene messa in comunicazione con alcun interlocutore.

Perché i call center, per ottimizzare i tempi, utilizzano sistemi automatizzati che generano più chiamate rispetto al numero degli operatori disponibili a gestirle, i quali, quindi, non possono parlare con l´utente (e la telefonata resta appunto "muta") finché non si liberano dalle chiamate precedenti che il sistema ha instradato automaticamente.

Come è emerso dalle numerosissime segnalazioni arrivate al Garante per la privacy, le chiamate "mute" possono ingenerare nelle persone contattate uno stato di ansia, allarme e preoccupazione circa la loro provenienza. Le persona chiamate sono naturalmente portate ad associare tale evento a comportamenti illeciti (controlli indebiti, molestie, stalking, verifiche di malintenzionati volte alla commissione di eventuali reati, quali furti o aggressioni). All´ansia e al fastidio, inoltre, si associa la frustrazione connessa al senso di impotenza e all´incapacità di reagire all´evento.

Il call center può decidere di programmare il sistema in modo che esso inoltri un numero di telefonate anche di molto superiore alla propria capacità ricettiva e di lavorazione, con il vantaggio così di assicurarsi che i propri operatori, al termine di ciascuna telefonata effettuata, ne abbiano sempre a disposizione una ulteriore, già instradata, da prendere in carico ed evitare, così, che rimangano inattivi o si ingenerino tempi morti.

Si. Il Garante ha prescritto che l´utente non può più essere messo in attesa silenziosa e che il sistema deve generare una sorta di rumore ambientale, il cosiddetto "comfort noise", che potrà consistere, ad esempio, in voci di sottofondo, squilli di telefono, brusio.

Il "comfort noise" serve a rassicurare la persona chiamata. Il rumore di fondo percepito nel momento in cui si solleva il ricevitore deve dare la sensazione che la chiamata provenga da un ambiente lavorativo di modo che l´utente, anche se non ancora in contatto con l´operatore, abbia comunque la sensazione che la telefonata ricevuta provenga da un call center e possa così escludere ogni ipotesi malevola sulle intenzioni dello sconosciuto chiamante.

Il Garante ha disposto che i call center devono conservare i report statistici delle percentuali di telefonate "mute" effettuate per ciascuna campagna per un periodo non inferiore a due anni, in modo tale da consentire eventuali controlli e verifiche ispettive sull´effettivo rispetto delle regole stabilite dallo stesso Garante e di non esporsi quindi a sanzioni amministrative.

La trasparenza consiste nella pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni. Lo scopo è quello di favorire forme diffuse di controllo sull´azione amministrativa, sull´utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi.

Le linee guida del Garante distinguono gli obblighi di pubblicazione in: obblighi di pubblicazione per finalità di trasparenza (quelli previsti dal decreto trasparenza) e obblighi di pubblicazione per altre finalità (contenuti in altre disposizioni di settore non riconducibili a finalità di trasparenza, quali ad es. le pubblicazioni matrimoniali).

Sono quelli, indicati principalmente nel decreto trasparenza, che riguardano l´organizzazione e l´attività delle pubbliche amministrazioni. Comprendono, ad esempio: i dati relativi agli organi di indirizzo politico e di amministrazione e gestione; i dati sull´articolazione degli uffici, sulle competenze e sulle risorse a disposizione di ciascun ufficio, anche di livello dirigenziale non generale; i nomi dei dirigenti responsabili dei singoli uffici; l´illustrazione in forma semplificata dell´organizzazione dell´amministrazione (es. mediante l´organigramma); l´elenco dei numeri di telefono nonché delle caselle di posta elettronica cui il cittadino possa rivolgersi.

Gli obblighi di pubblicazione sono contenuti in specifiche disposizioni di settore e riguardano finalità diverse dalla trasparenza, come quelli che prevedono la pubblicità legale di determinati atti amministrativi. Si pensi, ad esempio, alle pubblicazioni ufficiali dello Stato; alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull´albo pretorio online degli enti locali; alle pubblicazioni matrimoniali; alla pubblicazione degli atti concernenti il cambiamento del nome; alla pubblicazione della comunicazione di avviso di deposito delle cartelle esattoriali a persone irreperibili; ecc. In queste ipotesi non si applicano le specifiche previsioni del decreto trasparenza relative all´accesso civico, all´indicizzazione nei motori di ricerca, al riutilizzo, alla durata dell´obbligo di permanenza sul web di 5 anni e alla trasposizione in archivio.

No. Vale la regola generale per la quale i soggetti pubblici possono diffondere dati personali solo se ciò è ammesso da una specifica disposizione di legge o di regolamento.

Dopo aver verificato la sussistenza dell´obbligo di pubblicazione dell´atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l´origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l´adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.

Prima di procedere alla pubblicazione sul proprio sito web la P.A. deve:

- individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;

- verificare, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni;

- sottrarre all´indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordati al punto precedente.

È vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini.

No, a meno che tali dati non vengano resi effettivamente anonimi e non vi sia più la possibilità di identificare gli interessati, nemmeno indirettamente e in un momento successivo.

Per anonimizzare un documento non basta sostituire il nome e cognome con le iniziali dell´interessato ma occorre oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori.

Sì. Tali obblighi riguardano:

• i curricula professionali (ad esempio, dei titolari di incarichi di indirizzo politico o amministrativi di vertice), nei limiti dei dati pertinenti alle finalità di trasparenza perseguite;

• le dichiarazioni dei redditi dei componenti degli organi di indirizzo politico e dei loro familiari, sempre nel rispetto dei principi di pertinenza e non eccedenza e delle previsioni a tutela dei dati sensibili;

• i compensi di alcuni soggetti (ad esempio, i titolari di incarichi amministrativi di vertice) evitando di pubblicare la versione integrale dei documenti contabili e fiscali o altri dati eccedenti (ad esempio, i recapiti individuali e le coordinate bancarie utilizzate per effettuare i pagamenti);

• i provvedimenti amministrativi (ad esempio, concorsi e prove selettive);

• gli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e l´elenco dei soggetti beneficiari.

No. Non possono essere pubblicati i dati identificativi dei soggetti beneficiari di importi inferiori a mille euro nell´anno solare; le informazioni idonee a rivelare lo stato di salute o la situazione di disagio economico-sociale degli interessati; i dati eccedenti o non pertinenti.

Sì. La normativa di riferimento è quella di settore (d.lgs. n. 267/2000 e altre disposizioni successive) e non il decreto trasparenza. Nelle Linee guida il Garante ha ribadito che:

• la diffusione di dati personali nell´albo pretorio online è lecita solo se prevista da una specifica norma di legge o di regolamento;

• occorre far riferimento in ogni caso al principio di pertinenza e non eccedenza e prestare particolare attenzione ai dati sensibili e giudiziari (con la necessità di agire nel rispetto dei propri regolamenti e il divieto assoluto di pubblicare dati idonei a rivelare lo stato di salute);

• la diffusione dei dati personali è corretta entro i limiti temporali previsti dalla normativa di riferimento o, in mancanza di indicazioni, fino al raggiungimento dello scopo per il quale l´atto è stato adottato e i dati resi pubblici;

• occorre evitare l´indicizzazione nei motori di ricerca generalisti dei dati personali contenuti negli atti pubblicati nell´albo pretorio online.

Sì. Tale obbligo riguarda, però, i soli dati tassativamente individuati dalle disposizioni in materia di trasparenza, con esclusione quindi degli altri dati che si ha l´obbligo di pubblicare per altre finalità di pubblicità (es. pubblicazioni matrimoniali, pubblicazioni sull´albo pretorio degli enti locali). Sono, fra l´altro, espressamente sottratti all´indicizzazione i dati sensibili e giudiziari.

Per "referto medico" si intende la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale.

Per "referto online" si intende la possibilità di accedere al referto tramite modalità digitali (Fascicolo sanitario elettronico, sito Web, posta elettronica anche certificata, supporto elettronico).

La struttura sanitaria deve adottare protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication). Deve inoltre rendere disponibile il referto online sul proprio sito web per un massimo di 45 gg. e garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio. Il file contenente il referto dovrà essere protetto, ad es. con una password.

Si. L’interessato ha comunque il diritto di ottenere anche a domicilio copia cartacea del referto consegnato in modalità digitale.

Il Titolare del trattamento deve fornire agli interessati un’informativa, distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, idonea e specifica che esponga, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online in conformità agli artt. 13-14 del GDPR (v. ad es. i tempi di conservazione dei referti).

Sì. Anche se l’interessato ha scelto di aderire ai servizi di refertazione online, deve essergli concesso, in relazione ai singoli esami clinici a cui si sottoporrà di volta in volta, di manifestare una volontà contraria ovvero che i relativi referti non siano oggetto del servizio di refertazione online precedentemente scelto.

Sì, l’interessato ha la possibilità di indicare un medico al quale consegnare il referto in modalità digitale.

Sì, ma in questo caso nel messaggio inviato deve essere data solo notizia della disponibilità del referto e non anche del dettaglio della tipologia degli accertamenti effettuati, del loro esito o delle credenziali di autenticazione assegnate all’interessato.

Sì, quelle che riguardano accertamenti relativi ad indagini genetiche o all´HIV.

L’azienda può indicare le regole che i soggetti in isolamento devono seguire durante il periodo di quarantena con le modalità che ritiene più efficaci, nel rispetto della riservatezza degli interessati. Nel caso in cui utilizzi la posta elettronica per comunicare contemporaneamente a tutti i soggetti le disposizioni che sono tenuti a osservare, dovrà avere cura di inserire l’indirizzo dei destinatari dell’e-mail nel campo denominato “copia conoscenza nascosta” (ccn), al fine di evitare che tutti i destinatari della predetta comunicazione vengano a conoscenza dell’indirizzo e-mail degli altri soggetti posti in isolamento

Si, in quanto l'operatore di sanità pubblica, al fine di determinare le misure di contenimento di contagio più opportune, è chiamato a ricostruire la filiera dei contati stretti del soggetto risultato positivo al COVID 19.

Le strutture sanitarie, in conformità al principio di accountability, possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni sullo stato di salute ai familiari dei pazienti COVID 19 che non sono in grado di comunicare in via autonoma. In tale contesto, nulla osta che la struttura di ricovero dedichi un numero verde per fornire tali informazioni, prevedendo adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

Le disposizioni adottate nel corso dell’emergenza epidemiologica da COVID 19, hanno previsto che nei casi di sospetto o accertato decesso da Covid 19, gli operatori del servizio funebre debbano adottare particolari precauzioni, analoghe a quelle già previste per il decesso di persone con malattie infettive e diffusive, al fine di evitare l’ulteriore contagio. Nulla osta, pertanto, che, a tal fine, la struttura sanitaria ove è avvenuto il decesso comunichi all’impresa funebre lo stato di positività al COVID 19 del defunto.

Si, le disposizioni adottate per l’emergenza sanitaria da COVID 19, hanno previsto la possibilità di effettuare controlli della temperatura corporea a tutti i passeggeri di voli europei e internazionali in arrivo negli aeroporti italiani, al fine di individuare le eventuali misure necessarie ai fini del contenimento dell’Epidemia da Coronavirus.

I promotori e i centri di sperimentazione possono trattare dati personali, anche relativi alla salute dei pazienti affetti da Covid-19, per lo svolgimento di sperimentazioni cliniche dei medicinali (quali ad esempio gli studi clinici sperimentali sui medicinali di fase I, II, III e IV, gli studi osservazionali sui farmaci e i programmi di uso terapeutico compassionevole), strettamente necessari per contrastare e studiare la pandemia in corso, sulla base del consenso degli interessati, ovvero di un altro presupposto giuridico, ai sensi dell’art. 9, par. 2 del Regolamento, in conformità al diritto dell’Unione o nazionale per motivi di interesse pubblico rilevante, per motivi di interesse pubblico nel settore della sanità pubblica e per fini di ricerca scientifica (art. 9, par. 2, lett. a), g), i) e j) del Regolamento).

La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.

Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.

Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione). In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.

Sì. Gli istituti scolastici sono tenuti ad assicurare la trasparenza del trattamento informando, con un linguaggio facilmente comprensibile anche dai minori, gli interessati (alunni, studenti, genitori e docenti) in merito, in particolare, ai tipi di dati e alle modalità di trattamento degli stessi, ai tempi di conservazione e alle altre operazioni di trattamento, specificando che le finalità perseguite sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

Spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. L’istituto scolastico è tenuto a fornire alle istituzioni competenti, le informazioni necessarie, affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

La mancata installazione dell’App, seppure priva l’interessato della possibilità di ricevere avvisi automatici sugli eventuali contatti a rischio, non determina conseguenze negative, né può rappresentare la condizione per l’esercizio di diritti o per usufruire di determinati servizi o beni.

No, tanto è vero che la norma nazionale che ha introdotto il sistema di Allerta Covid, attraverso il tracciamento digitale dei contatti, ha stabilito che le persone non possono essere obbligate a installare l’App e che la mancata installazione non può comportare alcuna conseguenza pregiudizievole per gli interessati ovvero incidere sull’esercizio dei diritti fondamentali, quale, in particolare, la libertà di circolazione (art. 16 Cost.)

No, il Servizio Sanitario Nazionale deve garantire la prestazione sanitaria anche a coloro che non possano o non intendano installare App di telemedicina. La prestazione in tal caso sarà erogata nel rispetto delle disposizioni e dei protocolli adottati per assicurare il rispetto delle misure di protezione individuale.

Le App devono trattare solamente i dati strettamente necessari a perseguire le finalità del trattamento evitando di raccogliere dati eccedenti (es. quelli relativi all’ubicazione del dispositivo mobile dell’utente) e limitandosi a richiedere permessi per l’accesso a funzionalità o informazioni presenti nel dispositivo, solo se indispensabili. Nell’ambito delle relative valutazioni di impatto sarà, inoltre, necessario valutare attentamente, tra l’altro, la liceità e i rischi derivanti dall’eventuale trasferimento di dati a terze parti (es. social login, notifiche push, ecc.), soprattutto se stabilite al di fuori dell’Unione Europea.

I cookie sono stringhe  di testo che i siti web visitati dagli utenti (cd. Publisher, o “prime parti”) ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utente medesimo, perché siano poi ritrasmessi agli stessi siti alla visita successiva.

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie "tecnici" o di "profilazione".

Per l’installazione dei cookie tecnici e di quelli analytics non è richiesto il consenso degli utenti, mentre è comunque sempre necessario dare l'informativa (art. 13 del Regolamento Ue 2016/679).

I cookie di profilazione o gli altri strumenti di tracciamento, invece, possono essere  utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

È bene rammentare che, soprattutto dopo l’entrata in vigore del GDPR, il titolare deve garantire che, per impostazione predefinita, siano trattati solo i dati necessari al conseguimento di specifiche finalità, limitando cioè il trattamento al minimo indispensabile per consentire agli utenti la navigazione nel sito; di conseguenza, al momento del primo accesso dell’utente, non potrà essere utilizzato nessun cookie o altro strumento di tracciamento.

Potrà invece comparire un  banner, di dimensioni adeguate ai diversi tipi di dispositivo utilizzabili, che pur non impedendo il mantenimento delle impostazioni predefinite, consenta a chi invece lo desidera di esprimere il proprio consenso.

L’utente che non intenderà prestarlo, si limiterà a chiudere il banner selezionando l’apposito comando normalmente utilizzato a questo scopo (di regola, un pulsante con una X posto in alto a destra del banner stesso).

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato.

Resta ferma la possibilità per l’utente di  modificare, in ogni momento e in maniera agevole, le proprie opzioni. Al riguardo, costituisce buona prassi l’adozione di un accorgimento tecnico (ad esempio una icona o un segno grafico) che indichi in ogni momento lo stato dei consensi resi in precedenza dall’utente.

Come stabilito dal Garante nel provvedimento dell’8 maggio 2014 e ribadito nelle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, l’informativa dovrebbe essere impostata su più livelli ed è possibile sia resa anche su più canali, adottando ogni più opportuno accorgimento per renderla fruibile senza discriminazioni anche ai soggetti portatori di disabilità.

Pur nel rispetto dell’accountability del titolare e dunque della sua libertà di scelta delle misure e delle soluzioni che meglio garantiscano la conformità agli obblighi di legge, il Garante tuttavia suggerisce l’adozione di un meccanismo per il quale, nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), compaia immediatamente un banner contenente una prima informativa "breve", la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più "estesa". In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

Il banner deve:

- specificare, se questo è il caso, che il sito utilizza cookie di profilazione, eventualmente anche di "terze parti", che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;

- contenere il link all’informativa estesa e ad una diversa area nella quale sia possibile selezionare in modo analitico solo le funzionalità, i cookie e le terze parti cui si intende prestare il proprio consenso;

- contenere un comando per esprimere il proprio consenso accettando tutti i cookie o altri strumenti di tracciamento;

- precisare che se l’utente sceglie di chiudere il banner utilizzando il pulsante con la X in alto a destra, saranno mantenute le impostazioni predefinite che non consentono l’utilizzo di cookie o altri strumenti di tracciamento diversi dai tecnici.

- Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito, elencare gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione delle informazioni e le indicazioni sulla possibilità e sulle modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.

- Deve contenere i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analytics e da quelli di profilazione.

I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, o per agevolare la fruizione dei contenuti on line, come ad esempio per tenere traccia degli articoli in un carrello degli acquisti o delle informazioni per la compilazione di un modulo informatico ecc.; ma possono essere impiegati anche per profilare l’utente, cioè per "osservarne" i comportamenti, ad esempio al fine di inviare pubblicità mirate, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali. In questo caso si parla di cookie di profilazione.

Lo stesso risultato può essere conseguito anche per mezzo di altri strumenti o tecniche di tracciamento, tra i quali il fingerprinting.

No.

Il Garante (cfr. provvedimento dell’8 maggio 2014 e Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021) ha tuttavia precisato che possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito.

Qualora, invece, l’elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

In via di eccezione, è comunque consentita tanto alla prima parte che vi provveda in proprio quando alla terza parte che agisca su mandato della prima, la produzione di statistiche con dati relativi a più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale

No.

Se l’utente non ha fornito il proprio consenso o lo abbia fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato se non in casi specifici:

quando cambiano significativamente una o più condizioni del trattamento, ad esempio le “terze parti";

quando è impossibile per il provider sapere se un cookie tecnico è già stato posizionato nel dispositivo dell’utente (ad esempio nel caso in cui sia l’utente stesso a cancellare i cookie);

quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner.

No.

I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.

No.

In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

No, il semplice scorrimento del cursore di pagina non è atto in sé idoneo alla manifestazione di un consenso consapevole.

Lo scrolling potrebbe semmai costituire una delle componenti di un processo più articolato che consenta di generare un evento informatico idoneo ad esprimere una scelta registrabile, documentabile e inequivocabile.

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso riguardano le terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

No. Gli istituti scolastici possono trattare i dati, anche relativi a categorie particolari^(1), di insegnanti, alunni (anche minorenni), e genitori nell’ambito delle proprie finalità istituzionali e non devono chiedere agli interessati di prestare il consenso al trattamento dei propri dati, neanche in relazione alla didattica a distanza, attivata a seguito della sospensione delle attività formative delle scuole di ogni ordine e grado. Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro.

(1) Vale a dire i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale.

Per effetto della sospensione dell’attività didattica e delle riunioni degli organi collegiali in presenza, sono state attivate modalità di didattica a distanza e il ricorso al lavoro agile con riguardo ai servizi amministrativi. Per le medesime ragioni legate all’emergenza, anche alla luce delle indicazioni del Ministro per la pubblica amministrazione e del Ministero dell’Istruzione, ogni forma di riunione nell’ambito delle attività indifferibili deve essere svolta con modalità telematiche.

Il Garante ha già fornito alcune indicazioni alle scuole per orientare scelte consapevoli riguardo alle piattaforme da impiegare, sulla base delle garanzie offerte dai fornitori, in considerazione degli specifici rischi anche per i dati personali dei docenti.

Sono pervenute richieste di parere in merito alla possibilità di riscontrare positivamente istanze di accesso formulate da consiglieri comunali, ai sensi dell’art. 43 del t.u.e.l., agli elenchi o a singoli nominativi di cittadini risultati positivi al covid-19, o per i quali è stato ordinato l’isolamento domiciliare.

Al riguardo, si evidenzia preliminarmente che il diritto di accesso riconosciuto ai consiglieri dall’art. 43, cit., è direttamente funzionale non tanto alla soddisfazione di un proprio interesse personale, quanto alla cura di un interesse pubblico connesso all’espletamento del mandato e che la documentazione alla quale si chiede di accedere deve essere strettamente funzionale all’esercizio della funzione «di indirizzo e di controllo politico–amministrativo» propria del consiglio dell’ente locale, e alle prerogative attribuite singolarmente al consigliere stesso.

Nel richiamare le particolari garanzie previste dalla normativa in materia di protezione dei dati personali per il trattamento dei dati relativi alla salute (art. 9 Reg.; artt. 2-sexies e 2-septies del Codice) e le sanzioni previste in caso di illecita comunicazione o diffusione (art. 83, par. 5, del Reg.; artt. 2-septies, comma 8, e 166, comma 2, Codice) si ricorda che una recente pronuncia del Consiglio di Stato ha escluso l’accesso dei consiglieri ai nominativi dei dati relativi ai soggetti beneficiari contributi economici legati all’emergenza da Covid-19. È stato infatti ritenuto che la conoscenza dei nominativi non apportasse un’utilità concreta ed aggiuntiva e non fosse supportata da quel nesso di strumentalità necessaria con le funzioni di indirizzo politico-amministrativo, comportando, quindi, un inutile sacrificio del diritto alla riservatezza degli interessati, con possibile violazione della normativa in materia di protezione dei dati personali (Cons. Stato, Sez. V, 11 febbraio 2021, n. 2089).

Si ritiene, pertanto, che il predetto approccio debba essere seguito – a maggior ragione – per le categorie particolari di dati o per informazioni particolarmente delicate come gli elenchi dei nominativi dei soggetti positivi al covid-19 o in isolamento domiciliare.

Tale orientamento (che conduce a un’esclusione dell’accesso dei consiglieri ai predetti dati personali), oltre che per le motivazioni sopra richiamate, risulta confermato anche dalla particolare tutela di tali informazioni prevista dalla disciplina statale proprio sull’emergenza in corso.

L’art. 17-bis del D.L. 17/03/2020, n. 18, infatti, ha previsto che, fino al termine dello stato di emergenza, solo i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti attuatori, nonché altri soggetti tra cui quelli deputati a monitorare e a garantire l'esecuzione delle misure disposte ai sensi dell'art. 2 del d.l. n. 19/2020, possono effettuare trattamenti, ivi inclusa la comunicazione reciproca, dei dati personali, anche relativi alla salute, che risultino necessari all'espletamento delle funzioni ad essi attribuite nell'ambito dell'emergenza. Tali trattamenti devono essere effettuati adottando misure appropriate a tutela dei diritti e delle libertà degli interessati e nel rispetto dei princìpi di cui all'articolo 5 del Regolamento (UE) 2016/679.

Pertanto, i dati personali dei soggetti positivi al COVID-19 o in isolamento domiciliare - la cui titolarità in capo all’Azienda sanitaria è finalizzata all’adozione delle misure di profilassi, di diagnosi e di assistenza sanitaria dei contagiati nonché per la gestione emergenziale del Servizio sanitario nazionale - sono comunicati o messi a disposizione dei soli Sindaci, nella misura in cui risultino “necessari all’espletamento delle funzioni ad essi attribuite nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”, tra le quali rientra, quella di “monitorare e garantire l'esecuzione delle misure disposte ai sensi dell'articolo 2 del decreto-legge 25 marzo 2020, n. 19” (art. 17- bis cit.), sotto il coordinamento della Prefettura. Spetta poi ai Sindaci e ai Prefetti rendere disponibili tali informazioni – “adottando misure appropriate a tutela dei diritti e delle libertà degli interessati e nel rispetto dei princìpi di cui all'articolo 5 del citato regolamento (UE) 2016/679, tra cui si configura il principio di minimizzazione, secondo cui i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c) del Regolamento)” - soltanto agli operatori, alle strutture comunali di servizi e alle forze di polizia (inclusa la polizia locale) direttamente coinvolte negli interventi, nel rigoroso rispetto delle funzioni e delle competenze loro assegnate per la gestione dell’emergenza.

Ciò premesso, si evidenzia che, attesa la stretta funzionalizzazione dei dati relativi ai soggetti positivi al covid-19 o in isolamento domiciliare trasmessi dalle Asl ai Sindaci unicamente ai fini della gestione di attività legate all’emergenza - cui non sembrano potersi ascrivere le funzioni esercitate dai consiglieri -, il Comune potrebbe eventualmente valutare un riscontro delle richieste ricevute senza comunicare dati identificativi o informazioni che consentano l’identificazione (anche indiretta) dei soggetti interessati, fornendo invece dati aggregati, relativi al periodo di interesse. Ciò, in ogni caso, solo nell’ipotesi in cui la richiesta sia formulata dal consigliere sul presupposto dell’art. 43 del TUEL che evidenzi l’indispensabilità di tali informazioni per l’acquisizione del quadro conoscitivo necessario a permettere allo stesso di valutare, con piena efficacia, l’operato dell’amministrazione nonché per esprimere un voto consapevole sulle questioni del consiglio.

Il Regolamento prevede e incoraggia l'istituzione di meccanismi di certificazione della protezione dei dati personali allo scopo di dimostrare la conformità, al Regolamento Generale per la Protezione dei Dati Personali (GDPR), dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.

La certificazione rappresenta uno strumento utile per i titolari e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati.

Riferimenti normativi: considerando 77, 81 e 100 GDPR - artt. 24 (3), 25(3), 28(5), 32(3), 35(8), 42, 43, 46(2) e 83(2) GDPR

I soggetti di regola coinvolti nel processo di certificazione sono:

• l’azienda/l’ente che richiede la certificazione;

• l’organismo di certificazione (OdC) accreditato che rilascia i certificati sulla base dei risultati di verifiche, e vigila sulla corretta gestione dei certificati;

• l’ente di accreditamento che accredita gli enti di certificazione e controlla periodicamente il mantenimento dei requisiti previsti da parte di tali soggetti, tra cui l’imparzialità, competenza e adeguatezza.

Il Regolamento Generale per la Protezione dei Dati Personali (GDPR) richiede che l’OdC debba essere accreditato dall’autorità di controllo competente o dall’ente nazionale di accreditamento designato in virtù del Regolamento (CE) n. 765/2008 o da entrambi.

Il quadro legislativo vigente prevede che il ruolo di ente di accreditamento sia svolto da Accredia, quale ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, fatto salvo il potere del Garante per la Protezione dei Dati Personali (GPDP) di assumere direttamente l’esercizio di tali funzioni con riferimento a una o più categorie di trattamenti.

La certificazione ai sensi del GDPR deve essere rilasciata in base a schemi di certificazione approvati dall’autorità di controllo competente.

Riferimenti normativi: artt. 43 (1), 42(5) GDPR

In base a quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR), e alla luce delle linee-guida 1/2018 dell’EDPB (European Data Protection Board) in materia, l’oggetto della certificazione è un trattamento di dati personali. Poiché la definizione di “trattamento” di dati personali è molto ampia, anche l’oggetto della certificazione può variare in misura considerevole e può comprendere una sola operazione di trattamento (es. la conservazione di dati personali) ovvero più operazioni di trattamento (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento.

Nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere come oggetto tale servizio o prodotto (es. il servizio di gestione del personale di un’azienda).

Una certificazione ai sensi del GDPR non può, tuttavia, riguardare un singolo prodotto in quanto tale (es. un software per la gestione dei dati dei dipendenti, a prescindere dal suo utilizzo concreto) bensì in quanto parte integrante di un trattamento di dati personali svolto da un titolare o responsabile (es. il trattamento dei dati dei dipendenti svolto dal datore di lavoro in quanto titolare attraverso il suddetto software, che quindi diviene oggetto della certificazione).

È essenziale (vedi linee guida 1/2018 dell’EDPB) che l’oggetto specifico della certificazione richiesta dal singolo titolare o responsabile sia indicato con chiarezza nel certificato rilasciato dall’organismo di certificazione (vedi FAQ n. 5).

Riferimenti normativi: artt. 4(2), 42(1) GDPR

Un sigillo europeo per la protezione dei dati è uno schema di certificazione sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione europea. A tal fine, viene preso in considerazione l'ambito di applicazione dei criteri dello schema di certificazione e, più in generale, l’idoneità dello stesso a fungere da certificazione comune europea.

In particolare, lo schema e i relativi criteri devono essere adattabili così da tenere conto, se del caso, delle diverse regolamentazioni settoriali nazionali, applicabili ai trattamenti di dati oggetto della certificazione.

Riferimenti normativi: art. 42(5) GDPR

I soggetti legittimati al rilascio della certificazione possono essere, oltre agli organismi di certificazione (OdC) accreditati, anche le Autorità di controllo competenti.

Sebbene il Regolamento Generale per la Protezione dei Dati Personali (GDPR) preveda questa possibilità, allo stato, il Garante per la Protezione dei Dati Personali (GPDP) non rilascia certificazioni.  Una volta che Accredia avrà rilasciato l’accreditamento agli OdC −sulla base dei requisiti di accreditamento stabiliti dal GPDP - saranno dunque questi ultimi i soggetti deputati a rilasciare le certificazioni della protezione dati ad aziende, enti o altri soggetti a vario titolo interessati che ne facciano richiesta in qualità di titolari o responsabili del trattamento.

Riferimenti normativi: artt. 42(5), 43 GDPR

La certificazione è una attestazione rilasciata da una parte terza (organismo di certificazione - OdC) relativa a un oggetto (prodotto, processo, servizio, persona o sistema) sottoposto a valutazione della conformità rispetto a requisiti contenuti in una norma tecnica (standard) o in un disciplinare specifico.

La certificazione si dice “accreditata” quando viene data dimostrazione, da parte dell’ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, in Italia Accredia, della terzietà, competenza, imparzialità e adeguatezza dell’OdC.

Riferimenti normativi: ISO/IEC 17000:2020 - punti 7.6 e 7.7

La norma UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza” e la Prassi di riferimento UNI/PdR 66:2019 “Raccomandazioni per la valutazione di conformità ai requisiti definiti dalla UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza” definiscono, rispettivamente, i requisiti di competenza e le regole per la valutazione della conformità di alcune figure professionali che operano nel settore del trattamento e della protezione dei dati personali: Responsabile della protezione dei dati, Manager Privacy, Specialista Privacy e Valutatore Privacy.

In quanto orientata alla certificazione di persone, tale certificazione non rientra tra quelle disciplinate dall’art. 42 del Regolamento Generale per la Protezione dei Dati Personali (GDPR), ma può rappresentare comunque, al pari di altri titoli, un valido strumento ai fini della dimostrazione del possesso, e del mantenimento, delle conoscenze, abilità e competenze da parte dei professionisti.

Inoltre, per alcune figure che svolgono un ruolo importante negli organismi di certificazione (il personale responsabile delle decisioni e il personale responsabile delle valutazioni) il possesso di una certificazione a fronte della norma UNI 11697 è un elemento idoneo a dimostrare i requisiti di competenza ed esperienza in materia.

Riferimenti normativi: Provvedimento n. 148 del 29 luglio 2020 (doc. web n. 9445086)

La certificazione consente all’organizzazione o alla persona che si certifica di dimostrare al mercato, rispettivamente:

a) la capacità di strutturarsi e gestire le proprie risorse e i propri processi produttivi in modo tale da riconoscere e soddisfare i bisogni dei clienti, inclusi quelli relativi al rispetto dei requisiti cogenti, nonché l’impegno a migliorare continuativamente tale capacità (certificazione di sistemi di gestione).

b) la capacità di ottenere e mantenere la conformità dei prodotti realizzati o dei servizi erogati. A tal fine, il marchio della conformità può essere apposto sulla confezione del prodotto o altri supporti afferenti al servizio oggetto della certificazione (certificazione di prodotto, processo o servizio).

c) il possesso, e il mantenimento nel tempo, delle abilità, delle conoscenze e delle competenze (es. autonomia e responsabilità) richieste per lo svolgimento di determinate attività professionali (certificazione di persone). Tale certificazione è uno strumento primario alla base dei processi di costruzione della qualità e motiva il professionista ad acquisire, mantenere e migliorare con continuità, nel tempo, le competenze professionali.

Ottenere la certificazione attraverso un organismo accreditato da Accredia (c.d. certificazione accreditata) permette, inoltre, di:

• esibire sul mercato un’attestazione autorevole, di terza parte, accettata a livello internazionale in virtù degli Accordi di mutuo riconoscimento;

• soddisfare i requisiti di bandi di gara predisposti dalle stazioni appaltanti pubbliche e private;

• svolgere specifiche attività in settori cogenti e regolamentati gestiti dalla PA attraverso autorizzazioni, abilitazioni e notifiche.

Riferimenti normativi: “Expected outcomes for accredited certification to ISO management system standards such as ISO 9001 and ISO 14001”, ISO, 2018 - ISO/IEC 17065:2012-Introduzione - ISO/IEC 17024:2012-Introduzione

Per ottenere una certificazione basata su uno schema di certificazione approvato dall’autorità di controllo italiana, il Garante per la Protezione dei Dati Personali (GPDP), occorre rivolgersi agli organismi di certificazione (OdC) accreditati da Accredia in base alla norma tecnica ISO/IEC 17065:2012 e ai requisiti aggiuntivi stabiliti dal GPDP (vedi FAQ n. 8).

Si ricorda che il quadro legislativo vigente prevede che il ruolo di ente di accreditamento sia svolto da Accredia, quale ente unico nazionale di accreditamento istituito ai sensi del Regolamento (CE) n. 765/2008, fatto salvo il potere del GPDP di assumere direttamente l’esercizio di tali funzioni con riferimento a una o più categorie di trattamenti (vedi FAQ n. 5).

Riferimenti normativi: art. 2-septiesdecies D.Lgs. 196/2003 - artt. 42(5), 43(1)(b), 43(3) GDPR - Provvedimento n. 148 del 29 luglio 2020 (doc. web n. 9445086)

Qualsiasi ente o azienda, o comunque soggetto a vario titolo interessato, che operi in qualità di titolare e/o responsabile del trattamento di dati personali può richiedere una certificazione al fine di dimostrare la conformità dei trattamenti (o di parte di questi, vedi FAQ n. 6) ad alcune disposizioni o ad alcuni principi del Regolamento Generale per la Protezione dei Dati Personali (GDPR), o al GDPR nel suo insieme.

I titolari e/o responsabili del trattamento, infatti, possono aderire a meccanismi di certificazione al fine di dimostrare di aver improntato la propria attività ai principi del GDPR, e tale adesione può costituire un valido elemento di responsabilizzazione (c.d. accountability) (vedi FAQ n. 1).

Riferimenti normativi: artt.  4(1) nn. 7 e 8, 24, 42 GDPR

Qualora si rilevi una non conformità (NC), rispetto ai requisiti di certificazione, come risultato della sorveglianza o per un qualsiasi altro motivo, l’organismo di certificazione (OdC) deve esaminare la NC e decidere le azioni appropriate, che possono consistere nel:

• mantenimento della certificazione sotto condizioni specificate dall’OdC, in primo luogo: la valutazione del rischio relativo alla NC, le azioni appropriate immediate per il contenimento degli effetti, l’analisi della causa radice e la pianificazione e applicazione delle azioni definite. L’OdC può anche prevedere provvedimenti aggiuntivi (per esempio la sorveglianza incrementata);

• sospensione della certificazione in attesa di azioni correttive da parte dell’organizzazione certificata;

• revoca della certificazione o riduzione del campo di applicazione della certificazione, quando l’organizzazione certificata non ottemperi alla pianificazione delle azioni necessarie a ripristinare la conformità dei trattamenti o non sussistano più le conformità dei trattamenti di dati personali ai criteri dello schema di certificazione dei trattamenti stessi e questi siano in essere e non siano previste le azioni necessarie e immediate conseguenti. La certificazione è quindi revocata, se del caso, dallo stesso OdC che l’ha rilasciata, qualora non siano o non siano più soddisfatti i requisiti per la certificazione.

Anche il Garante per la Protezione dei Dati Personali (GPDP) ha il potere di ingiungere a un OdC di revocare o non rilasciare una determinata certificazione, qualora non siano o non siano più soddisfatti i relativi requisiti.

Riferimenti normativi: artt. 42(7), 58(2), lettera (h) GDPR - UNI CEI EN ISO/IEC 17065:2012-punto 7.11.1

L’accreditamento è una forma indipendente e autorevole di attestazione della terzietà, competenza, imparzialità e adeguatezza degli organismi di valutazione della conformità (organismi di certificazione, ispezione e verifica e laboratori di prova e taratura). L’attività di accreditamento è disciplinata a livello europeo e internazionale, rispettivamente, dal Regolamento (CE) n. 765/2008 e dalla norma tecnica ISO/IEC 17011, e in Italia è svolta da Accredia, l’ente unico nazionale designato dal Governo.

Riferimenti normativi: art. 2 Regolamento (CE) n. 765/2008 - ISO/IEC 17000:2020-punto 7.7

- L'assistito, che potrà così consultare i propri documenti sanitari sia clinici che amministrativi, come le ricette o i certificati di malattia.

- Con il consenso dell'assistito, tutti gli esercenti le professioni sanitarie (pubblici e privati) che intervengono nel processo di cura dell'assistito, compreso il medico di base, cui compete anche il compito di redigere il patient summary (profilo sanitario sintetico).

- Le Regioni e il Ministero della salute per finalità di governo e di ricerca (senza i dati identificativi diretti dell'assistito e nel rispetto dei principi di indispensabilità, necessità, pertinenza e non eccedenza).

Quando la creazione di un account personale è necessaria per l’utilizzo di piattaforme per la didattica digitale integrata, il trattamento dei dati personali, riconducibile alle funzioni istituzionalmente assegnate all'istituzione scolastica, è ammesso purché vengano attivati, per impostazione predefinita, i soli servizi strettamente necessari allo svolgimento dell’attività didattica e non deve essere richiesto il consenso dell’utente (studente, genitore o docente) o la sottoscrizione di un contratto. Non è comunque ammessa l’attivazione automatica di servizi o funzionalità ulteriori, non necessari a fini didattici (es. geolocalizzazione o sistemi di social login).

Nella configurazione degli account associati a studenti e/o docenti, occorre, tra l'altro, adottare adeguate procedure di identificazione e di autenticazione informatica degli utenti, utilizzare robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione (es. evitando la pre-impostazione di password facilmente conoscibili), definire password policy adeguate e differenziate in funzione degli specifici rischi del trattamento e attribuire di profili di autorizzazione che assicurino l’accesso selettivo ai dati.

Al fine di evitare l'uso scorretto e accrescere la consapevolezza nell'utilizzo dei servizi online per la didattica, è opportuno che le scuole effettuino campagne di sensibilizzazione rivolte a studenti e loro familiari, nonché forniscano istruzioni a docenti, e altro personale, sulle corrette modalità di fruizione dei predetti servizi nel rispetto dei diritti altrui.

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

Si.

La facoltà prevista dall’art. 37, par. 2 impatta esclusivamente in relazione alla nomina, o designazione, del RPD mentre l’obbligo di comunicazione, così come previsto dall’art. 37, par. 7 del Regolamento, incombe su ciascun titolare del trattamento indipendentemente dalla sua particolare natura organizzativa.

Tra le misure di prevenzione e contenimento del contagio che le istituzioni scolastiche devono adottare in base al quadro normativo vigente (cfr. Protocollo d’intesa del Ministero dell’Istruzione n. 87 del 6 agosto 2020) vi è, in particolare, quella di informare studenti e famiglie in merito al divieto di fare ingresso nei locali scolastici:

a. in presenza di temperatura superiore ai 37.5°

b. se provenienti da zone a rischio

c. se si è stati a contatto con persone positive al virus nei 14 giorni precedenti.

Le scuole non possono, nell'ambito dei cosiddetti "Patti di corresponsabilità" o attraverso altra modulistica, imporre invece alle famiglie e agli alunni di dichiarare periodicamente l’assenza di tali impedimenti all’accesso ai locali scolastici, ma, come indicato dall’Istituto Superiore di Sanità nel Rapporto n. 58/2020, possono invece richiedere alle famiglie di collaborare, informando il dirigente scolastico o il referente scolastico per COVID-19, circa:

a. eventuali assenze per motivi sanitari al fine di individuare eventuali focolai;

b. il caso in cui un alunno risulti contatto stretto di un caso confermato COVID-19.

Resta salvo quanto previsto dalla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro del personale scolastico (art. 20 del d.lgs. 9 aprile 2008, n. 81; v. FAQ del Garante - Trattamento dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria).

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

Come già chiarito dal Ministero dell'istruzione (https://www.istruzione.it/rientriamoascuola/domandeerisposte.html; v. FAQ n. 7 della sezione n.7 "Gestione di casi sospetti e focolai"), misurare a casa la temperatura corporea prima di recarsi a scuola è una regola importante per tutelare la propria salute e quella degli altri. Consente infatti di prevenire la possibile diffusione del contagio nel tragitto casa-scuola, sui mezzi di trasporto utilizzati, quando si attende di entrare a scuola, o in classe (cfr. Protocollo del 6 agosto 2020 cit.).

Il "Protocollo di sicurezza per la ripresa dei servizi educativi e delle scuole dell'infanzia", stabilisce poi che “qualora le Regioni e i singoli enti locali lo dispongano, nei servizi educativi, va favorita la misurazione della temperatura corporea in entrata dei bambini, di tutto il personale docente e ausiliario presente nella struttura e dei c.d. “fornitori” (cfr. par. 2 Protocollo cit.).

In ogni caso, la misurazione della temperatura corporea va effettuata nella gestione di casi di alunni sintomatici durante l’orario scolastico all’interno dell’istituto scolastico.

Considerato che la rilevazione della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) ai sensi del Regolamento (UE) 2016/679), non è invece ammessa la registrazione della temperatura rilevata associata al singolo alunno.

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

Nell’ambito della didattica digitale integrata il docente può mettere a disposizione degli studenti, anche per il tramite delle piattaforme utilizzate a tali fini, materiali didattici consistenti anche in proprie video lezioni, su specifici argomenti, per la consultazione e i necessari approfondimenti da parte degli alunni.

Diversamente non è invece ammessa la video registrazione della lezione a distanza in cui si manifestano le dinamiche di classe. Ciò in quanto l’utilizzo delle piattaforme deve essere funzionale a ricreare lo “spazio virtuale” in cui si esplica la relazione e l’interazione tra il docente e gli studenti, non diversamente da quanto accade nelle lezioni in presenza (cfr. FAQ del Garante “Scuola e privacy” in www.gpdp.it; vedi anche la sezione dedicata a “L'utilizzo degli strumenti e la tutela dei dati” delle richiamate “Linee guida in materia di didattica digitale integrata e tutela della privacy: indicazioni generali”).

Si raccomanda, inoltre, di adottare accorgimenti al fine di minimizzare i rischi derivanti da un uso improprio o dalla perdita di controllo dei materiali e delle videolezioni resi disponibili dai docenti sulla piattaforma, con possibile pregiudizio della protezione dei dati e di altri diritti (ad es. il diritto d’autore). In particolare, è opportuno regolamentare la funzionalità di registrazione audio-video e di download dei relativi documenti e fornire specifiche istruzioni ai soggetti autorizzati all’accesso (studenti, altri docenti, altro personale scolastico) per evitare che i materiali siano oggetto di comunicazione o diffusione impropri (ad esempio mediante la loro pubblicazione anche su blog o su social network, nei casi in cui siano accessibili sia da soggetti determinati che da chiunque).

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

No, la diffusione dei dati relativi alla composizione delle classi sul sito web istituzionale non è consentita in quanto, secondo l’art.2-ter del Codice in materia di protezione dei dati personali, la diffusione dei dati personali è lecita solo se disposta espressamente dalla norma di legge o, nei casi previsti dalla legge, di regolamento.

Pertanto, le istituzioni scolastiche che intendano garantire in via preventiva la conoscibilità di tali dati dovranno utilizzare modalità idonee ad assicurare la tutela dei dati personali e i diritti degli interessati.

A tal fine i nominativi degli studenti distinti per classe potranno essere resi noti per le classi prime delle scuole di ogni ordine e grado, tramite apposita comunicazione all'indirizzo e-mail fornito dalla famiglia in fase di iscrizione all'a.s. 2020-2021, mentre per le classi successive, ove ritenuto necessario, l’elenco degli alunni potrà essere reso disponibile nell'area documentale riservata del registro elettronico a cui accedono tutti gli studenti della classe di riferimento.

In caso di comunicazione tramite e-mail, dovrà essere prestata particolare attenzione a inviare la stessa a ciascun destinatario con un messaggio personalizzato oppure a inviarla utilizzando il campo denominato “copia conoscenza nascosta” (ccn) al fine di non divulgare gli indirizzi e-mail forniti dalle famiglie.

Inoltre, si raccomanda di predisporre uno specifico “disclaimer” con cui si evidenzia che i predetti dati personali non possono essere oggetto di comunicazione o diffusione (ad esempio mediante la loro pubblicazione su blog o su social network).

Comunque, secondo una prassi ormai consolidata è consentita la pubblicazione al tabellone esposto nella bacheca scolastica dei nominativi degli studenti distinti per classe. In relazione all'avvio del prossimo anno scolastico, al fine di evitare assembramenti e garantire le necessarie misure di sicurezza e distanziamento, il dirigente scolastico predispone una calendarizzazione degli accessi ai tabelloni dell’istituzione scolastica e ne dà preventiva comunicazione alle famiglie degli alunni.

Tale modalità di pubblicazione del tabellone in relazione al prossimo anno scolastico dovrebbe essere adottata in via residuale solo qualora l’istituzione scolastica sia sprovvista di registro elettronico o sia impossibilitata ad utilizzare strumenti di comunicazione telematica dei dati.

In tutti i casi gli elenchi relativi alla composizione delle classi, resi disponibili con le modalità sopra indicate, devono contenere i soli nominativi degli alunni e non devono riportare informazioni relative allo stato di salute degli studenti o altri dati personali non pertinenti (es. luogo e data di nascita, ecc.).

Sia in caso di pubblicazione nel registro elettronico sia nel caso di pubblicazione attraverso i tabelloni esposti nella bacheca scolastica, il dirigente scolastico definisce il tempo massimo di pubblicazione che comunque non deve eccedere 15 giorni.

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

No, attraverso le dichiarazioni sostitutive non è possibile autocertificare il proprio o l’altrui stato di salute. L’art. 49 del DPR 445/2000 prevede infatti la non sostituibilità dei certificati medici e sanitari.

Pertanto, le istituzioni scolastiche, per il contrasto e il contenimento della diffusione del virus Covid-19, sono tenute ad attuare le misure già previste nel Protocollo d’intesa del Ministero dell’Istruzione n. 87 del 6 agosto 2020. In particolare, tale Protocollo prevede che i dirigenti scolastici, per prevenire la diffusione del virus, siano tenuti a rendere edotti, attraverso un’apposita comunicazione, il personale, gli studenti e le famiglie degli alunni circa le regole fondamentali di igiene che devono essere adottate in tutti gli ambienti della scuola.

Nello specifico, le informazioni da rendere riguardano: l’obbligo di rimanere al proprio domicilio in presenza di temperatura oltre i 37.5°, il divieto di fare ingresso nei locali scolastici se provenienti da zone a rischio o se si è stati a contatto con persone positive al virus nei 14 giorni precedenti, mantenere il distanziamento fisico di un metro, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene, etc.

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

Sì. In generale, il Garante per la protezione dei dati personali ha già chiarito che risulta giustificata la richiesta da parte dell'́amministrazione di appartenenza di documentazione relativa all'́effettuazione di visite mediche, prestazioni specialistiche o accertamenti clinici, quando il dipendente richiede di usufruire di permessi per le assenze correlate a tali esigenze(cfr. "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, punto 8.2, ultimo capoverso). Pertanto il dirigente scolastico, in qualità di datore di lavoro, ai fini della giustificazione dell’assenza dal servizio, è legittimato all’acquisizione del documento che attesta la sottoposizione a una prestazione sanitaria specialistica, che il dipendente, in base alla legge e nei casi previsti dalla contrattazione collettiva di settore, è tenuto a produrre. Resta salvo che ove dalla attestazione prodotta dal dipendente sia possibile risalire al tipo di prestazione sanitaria da questo ricevuta, l’amministrazione scolastica, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità, nel rispetto dei principi di protezione dei dati(v. tra gli altri, il principio di limitazione della finalità di cui all’art. 5, par.1, lett. b), del Regolamento UE 2016/679) e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione (si veda FAQ del Garante Privacy n. 1 sezione "Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo").

Appare opportuno ribadire che il giustificativo per l'assenza dal lavoro per malattia dovuta a prestazioni sanitarie specialistiche o per altro permesso previsto dalla contrattazione collettiva di settore non deve recare informazioni sulla tipologia della prestazione specialistica effettuata dal dipendente.

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

In base al quadro normativo vigente il lavoratore può chiedere, nell'ambito della sorveglianza sanitaria, l'effettuazione di una visita con il medico competente (art.41 d.lgs 81/2008) il quale potrà in quella sede trattare anche le informazioni relative alla vaccinazione effettuata. Lo stesso valuterà, nel rispetto dei protocolli applicabili per il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro (v. par. 12 Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 24 aprile 2020) e delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, se tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

In tal caso il medico competente si limiterà a trasmettere al datore di lavoro la sola informazione relativa al giudizio di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in esso riportato (si vedano le FAQ del Garante Privacy sul "Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo").

*FAQ elaborate in collaborazione con il MIUR e disponibili anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

No. Non è prevista alcuna autorizzazione da parte del Garante per installare tali sistemi.

In base al principio di responsabilizzazione (art. 5, par. 2, del Regolamento), spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento (cfr. FAQ n. 7).

È necessario in primo luogo che l’istallazione avvenga previa assemblea condominiale, con il consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.). È indispensabile inoltre che le telecamere siano segnalate con appositi cartelli e che le registrazioni vengano conservate per un periodo limitato. Valgono al riguardo le osservazioni di cui alla FAQ n. 5. In ambito condominiale è comunque congruo ipotizzare un termine di conservazione delle immagini che non oltrepassi i 7 giorni.

Sì, ma solo se non risulta possibile, o si riveli non efficace, il ricorso a strumenti e sistemi di controllo alternativi e comunque nel rispetto del principio di minimizzazione dei dati. In tal caso, l’informativa agli interessati può essere fornita mediante affissione di cartelli informativi nei punti e nelle aree in cui si svolge la videosorveglianza, che contengano anche indicazioni su come e dove reperire un testo completo contenente tutti gli elementi di cui all´art. 13 del Regolamento (cfr. precedente FAQ n. 4). Non è invece previsto o consentito che tale monitoraggio sia posto in essere da soggetti privati.

Se le riprese video sono trattate per ricavare categorie particolari di dati, il trattamento è consentito soltanto se risulta applicabile una delle eccezioni di cui all’art. 9 del Regolamento (ad esempio, un ospedale che installa una videocamera per monitorare le condizioni di salute di un paziente effettua un trattamento di categorie particolari di dati personali).

In via generale, ogniqualvolta si installa un sistema di videosorveglianza si dovrebbe prestare particolare attenzione al principio di minimizzazione dei dati. Pertanto, il titolare del trattamento deve in ogni caso sempre cercare di ridurre al minimo il rischio di acquisire filmati che rivelino altri dati a carattere sensibile, indipendentemente dalla finalità.

Il trattamento di categorie particolari di dati richiede una vigilanza rafforzata e continua su taluni obblighi, ad esempio un elevato livello di sicurezza e una valutazione d’impatto sulla protezione dei dati, ove necessario (cfr. FAQ n. 7).

A tali soggetti sono resi disponibili esclusivamente i dati fattura (v. FAQ n. 4) - fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento.

Sì. Ogni persona ha diritto di conoscere se sono conservate informazioni che la riguardano, di farle rettificare se erronee o non aggiornate. Per esercitare questi diritti è possibile rivolgersi direttamente al “titolare del trattamento” (in genere l’istituto scolastico di riferimento). Se la scuola non risponde o il riscontro non è adeguato, è possibile rivolgersi al Garante o alla magistratura ordinaria.

Sulla base del principio generale di accountability, è facoltà delle istituzioni scolastiche regolare e modulare tale modalità, assicurando al tempo stesso le cautele necessarie a garantire l’identificabilità dei soggetti coinvolti e che i dati eventualmente raccolti siano protetti (da accessi abusivi, rischi di perdita o manomissione) con adeguate misure di sicurezza.

No, nelle circolari, nelle delibere o in altre comunicazioni non rivolte a specifici destinatari non possono essere inseriti dati personali che rendano identificabili gli alunni (ad esempio, quelli coinvolti in casi di bullismo o quelli cui siano state comminate sanzioni disciplinari o interessati da altre vicende delicate).

Sì, ma l’eventuale installazione di sistemi di videosorveglianza presso le scuole deve garantire il diritto dello studente alla riservatezza. Può risultare ammissibile l’utilizzo di tali sistemi in casi di stretta indispensabilità, al fine di tutelare l’edificio e i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate. È inoltre necessario segnalare la presenza degli impianti con cartelli. Le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato. [Progetti di revisione della disciplina sull’utilizzo degli strumenti di videosorveglianza negli istituti scolastici sono attualmente all’attenzione del Parlamento.]

In tali casi, sulla base del testo del decreto n. 101/2018, deve considerarsi come importo utile ai fini della definizione agevolata del procedimento sanzionatorio solo quello pari ai 2/5 del minimo edittale previsto per la sanzione applicata, indipendentemente dal fatto che la sanzione base (prima del raddoppio operato ai sensi del citato art. 16 l. 689/1981), quantificata con l’atto di contestazione, sia stata determinata in misura ridotta ai 2/5 per effetto della contemporanea applicazione dell’art. 164-bis, comma 1, del Codice. Occorre, quindi, fare riferimento esclusivamente alla tabella di cui al punto 2.

In tali casi, sulla base del testo del decreto n. 101/2018, deve considerarsi come importo utile ai fini della definizione agevolata del procedimento sanzionatorio solo quello pari ai 2/5 del minimo edittale previsto per la sanzione applicata, indipendentemente dal fatto che la sanzione base (prima del raddoppio operato ai sensi del citato art. 16 l. 689/1981), quantificata con l’atto di contestazione, sia stata determinata in misura doppia per effetto della contemporanea applicazione dell’art. 164-bis, comma 3, del Codice. Occorre, quindi, fare riferimento esclusivamente alla tabella di cui al punto 2.

In tali casi, concernenti le violazioni relative alle misure minime di sicurezza (artt. 33 e 162, comma 2-bis, del Codice) e quelle inerenti le “banche dati di particolare rilevanza o dimensione” (art. 164-bis, comma 2, del Codice), sulla base del testo del decreto, deve considerarsi come importo utile ai fini della definizione agevolata del procedimento sanzionatorio solo quello pari ai 2/5 del minimo edittale previsto per la sanzione applicata. Difatti, ancorché per tali fattispecie gli atti di contestazione notificati al contravventore non prevedessero la possibilità di definire il procedimento mediante il pagamento in misura ridotta (art. 16 l. 689/1981) e quindi non quantificassero il relativo importo, il rinvio, stabilito dal decreto, al minimo edittale previsto per la specifica sanzione consente la quantificazione degli importi ai fini della definizione agevolata. Anche in questo caso, quindi, occorre fare riferimento esclusivamente alla tabella di cui al punto 2.

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. 

E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, il punto 6). 

Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. 

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Si, ma solo se disposta dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.

Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici  e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020).

Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro. 

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Resta fermo che i lavoratori possono liberamente aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19, di cui siano venuti a conoscenza anche per il tramite del datore di lavoro, coinvolto dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti (cfr. FAQ n. 10 - Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria).

I datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame.

Sebbene, di regola, i dati personali relativi alle specifiche patologie di cui sono affetti i lavoratori possano essere trattati solo da professionisti sanitari (es. medici di base, specialisti, medico competente) e non anche dal datore di lavoro, quest’ultimo, in taluni casi, nel contesto dell’attuale emergenza epidemiologica, può lecitamente venire a conoscenza dell’identità del dipendente affetto da Covid-19 o che presenta sintomi compatibili con il virus.

Ciò, in particolare, può verificarsi quando ne venga informato direttamente dal dipendente, sul quale grava l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Coerentemente il Protocollo condiviso tra il Governo e Parti sociali aggiornato il 24 aprile 2020, la cui osservanza è prescritta dalla normativa dell’emergenza, prevede specifici obblighi informativi del lavoratore in favore del datore di lavoro laddove sussistano condizioni di pericolo, come i sintomi influenzali (si vedano anche gli analoghi protocolli stilati in ambito pubblico e quelli relativi a specifici settori, quali cantieri, trasporti e logistica); ciò anche quando tali sintomi si manifestino all’ingresso della sede di lavoro o durante la prestazione lavorativa (cfr. Protocollo condiviso, es. parr. 1, 2 e 11). A tal fine, il datore di lavoro può quindi invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati, tenendo conto del proprio generale obbligo di tutelare l'integrità fisica dei prestatori di lavoro, ai sensi dell’art. 2087 c.c. e del d.lgs. 81/2008 (cfr., anche FAQ n. 2).

Il datore di lavoro potrebbe, inoltre, venire a conoscenza dello stato di positività al Covid-19 accertato dalle autorità sanitarie a seguito dell’effettuazione di un tampone oro/nasofaringeo, nell’ambito della collaborazione che è tenuto a prestare a tali autorità, anche con il coinvolgimento del medico competente, per la ricostruzione degli eventuali contatti stretti con altre persone nel contesto lavorativo (cfr. par. 11 del Protocollo del 24 aprile 2020).

Il datore di lavoro può, altresì, conoscere lo stato di avvenuta negativizzazione del tampone oro/nasofaringeo, ai fini della riammissione sul luogo di lavoro dei lavoratori già risultati positivi all’infezione da Covid-19, secondo le modalità previste e la documentazione rilasciata dal dipartimento di prevenzione territoriale di competenza (cfr. par. 2 e 12 del Protocollo del 24 aprile 2020).⁽¹⁾

In questi casi, dunque, il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore per la finalità di salute e sicurezza dei luoghi di lavoro o per adempire agli obblighi di collaborazione con gli operatori di sanità pubblica.

Al di fuori dei casi normativamente previsti, il datore di lavoro non può, invece, trattare dati sulla salute del lavoratore e comunicare gli stessi a soggetti terzi (cfr. FAQ nn. 5, 6).

In base alle norme in materia di sorveglianza sanitaria, non derogate da quelle dell’emergenza, il datore di lavoro non può, inoltre, conoscere l’esito degli esami diagnostici disposti dal medico competente, tra i quali anche i test sierologici, che non consentono, peraltro, di diagnosticare l’infezione (cfr. FAQ n. 7).

Resta fermo che, ove all’esito del test sierologico sia disposta l’effettuazione di un tampone che attesti la positività al virus, il datore di lavoro potrà conoscere, oltre alla valutazione del medico competente in merito all’inidoneità al servizio, anche l’identità del dipendente nei casi sopra esplicitati (cfr. Protocollo condiviso, parr. 1, 2, 11 e 12), di seguito riepilogati.

Alla luce del quadro normativo vigente, il datore di lavoro può quindi trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi e può conoscere la condizione di positività al Covid-19:

- quando ne venga informato direttamente dal lavoratore; o

- nei limiti in cui sia necessario al fine di prestare la collaborazione all’autorità sanitaria; o

- ai fini della riammissione sul luogo di lavoro del lavoratore già risultato positivo all’infezione da Covid-19.

La valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del Regolamento) (per approfondimenti si vedano le “Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per  stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679” - WP248rev.01 del 4 ottobre 2017). Può essere il caso, ad esempio, dei sistemi integrati - sia pubblici che privati - che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d'impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

No. Le immagini, in questi casi, sono raccolte per fini personali e destinate a un ambito familiare o amicale. Va però prestata particolare attenzione alla eventuale pubblicazione delle medesime immagini su Internet e sui social network. In caso di diffusione di immagini dei minori diventa infatti indispensabile ottenere il consenso da parte degli esercenti la responsabilità genitoriale.

Le scuole secondarie di I e II grado e gli istituti di istruzione e formazione professionale (IeFP), nell’ipotesi in cui in una classe si siano verificati due casi positivi, in qualità di titolari del trattamento, possono trattare i dati presenti nella documentazione fornita dagli alunni per dimostrare la sussistenza dei requisiti per lo svolgimento in presenza dell’attività didattica (conclusione del ciclo vaccinale primario e guarigione da meno di centoventi giorni, effettuazione della dose di richiamo) assicurando che le verifiche dei suddetti requisiti siano effettuate quotidianamente:

- per il periodo previsto dalla legge (10 giorni) e nei confronti dei soli studenti che fruiscano della didattica in presenza;

- esclusivamente per assicurare lo svolgimento della didattica in presenza nei suddetti casi, con esclusione di ogni altra finalità;

- secondo modalità che assicurino la sicurezza e l’integrità dei dati;

- senza acquisizione preventiva della relativa documentazione (certificato vaccinale o di guarigione, green pass) che deve essere esclusivamente esibita dall’alunno all’atto del controllo;

- nel caso di esibizione del green pass, utilizzando esclusivamente l’App di verifica C-19 (modalità rafforzata);

- da personale autorizzato e istruito.

Il titolare deve astenersi dal raccogliere e conservare la predetta documentazione (certificato vaccinale o di guarigione, green pass) nonché dall’intraprendere iniziative che comportino la diffusione dell’elenco degli alunni che svolgono la didattica in presenza o da remoto.

In base al quadro normativo vigente l’esecuzione gratuita di test antigenici rapidi è prevista per gli alunni delle scuole secondarie di primo e secondo grado, sottoposti ad autosorveglianza, dietro prescrizione del medico di medicina generale o del pediatra di libera scelta, nonché per i soggetti che non possono ricevere o completare la vaccinazione anti SARS-CoV-2, sulla base di idonea certificazione medica. In relazione alla fascia di età dell’interessato è inoltre prevista l’esecuzione di test a prezzi calmierati.

In tali casi, le strutture abilitate a eseguire i suddetti test sono autorizzate a trattare i dati personali necessari a comprovare la sussistenza dei requisiti di legge (es. certificato di esenzione, fascia di età, alunni in autosorveglianza), presenti nella documentazione fornita dagli interessati, senza richiedere ulteriori informazioni (es. stato vaccinale).

Sì. Il trattamento dei dati personali mediante l’uso di telecamere installate nella propria abitazione per finalità esclusivamente personali di controllo e sicurezza, rientra tra quelli esclusi dall’ambito di applicazione del Regolamento. In questi casi, i dipendenti o collaboratori eventualmente presenti (babysitter, colf, ecc.) devono essere comunque informati dal datore di lavoro. Sarà comunque necessario evitare il monitoraggio di ambienti che ledano la dignità della persona (come bagni), proteggere adeguatamente i dati acquisiti (o acquisibili) tramite le smart cam con idonee misure di sicurezza, in particolare quando le telecamere sono connesse a Internet, e non diffondere i dati raccolti.

Sul tema si raccomanda la consultazione della scheda informativa che illustra le principali indicazioni per le persone fisiche che intendono installare, in ambito personale o domestico, sistemi di videosorveglianza a tutela della sicurezza di persone o beni.

Sì. Nel caso di videosorveglianza privata, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di propria esclusiva pertinenza, escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, parti comuni delle autorimesse) ovvero a zone di pertinenza di soggetti terzi. È vietato altresì riprendere aree pubbliche o di pubblico passaggio.”

Sul tema si raccomanda la consultazione della scheda informativa che illustra le principali indicazioni per le persone fisiche che intendono installare, in ambito personale o domestico, sistemi di videosorveglianza a tutela della sicurezza di persone o beni.

No, salva l’ipotesi, da verificarsi caso per caso, nella quale il titolare del sito, agendo nel rispetto del principio di correttezza, offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso.