Loading...

La privacy ai tempi del Covid: ultime dal Garante

Home - News - Novità - La privacy ai tempi del Covid: ultime dal Garante

La privacy ai tempi del Covid: ultime dal Garante

   

10 marzo 2021

vax

I diritti delle immagini appartengono ai rispettivi proprietari (che saremo lieti di indicare in caso di richiesta).

Il perdurare dell’emergenza epidemiologica da SARS-CoV-2, con le relative e necessarie restrizioni imposte dalle autorità di ogni grado, ripropone la contrapposizione tra diritto alla salute e diritto alla riservatezza. Riecheggia allora anche in questo doveroso, costante, esercizio di bilanciamento di interessi, l’antica e pur sempre attuale locuzione «quis custodiet ipsos custodes?».

I controlli vanno sì eseguiti, ma con modalità rispettosa della privacy. Il Garante ha chiarito, con i suoi ultimi interventi, fino che punto possono spingersi le Autorità e il datore di lavoro in tempi di virus, vaccini e ammortizzatori sociali.

Il caso bonus Covid: le violazioni da parte dell'INPS

È di ieri la notizia che il Garante per la protezione dati personali ha comminato all’Inps una sanzione di 300 mila euro in relazione alle violazioni commesse nell’ambito degli accertamenti antifrode effettuati dall’Istituto riguardo al cd. bonus Covid per le partite iva.

Nello specifico, tra le motivazioni del Garante figurano a carico dell’Inps:

➢ la mancata definizione dei criteri per il trattamento dei dati di determinate categorie di richiedenti;
➢ l’uso di informazioni non necessarie rispetto alle finalità di controllo;
➢ il ricorso a dati non corretti o incompleti;
➢ l’inadeguata valutazione dei rischi privacy.

Gli accertamenti dell'Autorità. L’istruttoria riguardante il trattamento dei dati dei richiedenti che ricoprono cariche politiche (quali, ad esempio, parlamentari o amministratori regionali o locali) era stata avviata a seguito di notizie di stampa dello scorso agosto. Nel corso degli accertamenti l’Autorità ha riscontrato numerose criticità nelle modalità utilizzate dall’Inps nel procedere ai controlli sulla sussistenza dei requisiti previsti dalla legge per l’erogazione del bonus.

L’istruttoria ha rilevato che l’Istituto non ha adeguatamente progettato il trattamento e non è stato in grado di dimostrare di aver svolto i controlli nel rispetto del Regolamento Ue in materia di protezione dei dati personali, così violando i principi di privacy by design, di privacy by default e di accountability.

Nello specifico, l’Inps ha violato i principi di liceità, correttezza e trasparenza stabiliti dal Regolamento in quanto, dopo aver acquisito da fonti aperte i dati di decine di migliaia di persone aventi incarichi politici, ha proceduto a elaborare e incrociare i dati di tutti i richiedenti il bonus con quelli dei titolari dei predetti incarichi. Il tutto senza preliminarmente determinare se ai parlamentari e agli amministratori regionali o locali − anche in virtù delle differenti caratteristiche delle cariche ricoperte − tale beneficio spettasse o meno.

Risulta altresì violato il principio di minimizzazione dei dati, avendo l’Inps avviato i controlli finalizzati al recupero del bonus anche sui soggetti che non lo avevano percepito, vedendosi respinta la propria domanda per ragioni indipendenti dalla carica ricoperta.

Inoltre, in mancanza di valutazione di impatto sui diritti e le libertà degli interessati, l'Istituto non ha adeguatamente valutato i rischi collegati a un trattamento di dati particolarmente delicato quale è quello riguardante i richiedenti un beneficio economico classificato come ammortizzatore sociale.

Per tali ragioni, il Garante ha dichiarato l’illiceità del trattamento dei dati personali effettuato dall’Inps, imponendo non solo la sanzione pecuniaria, ma anche la cancellazione dei dati non necessari fino ad ora trattati e un’adeguata valutazione di impatto privacy.

 

Le FAQ del Garante privacy in tema di vaccinazione dei dipendenti

Altre indicazioni sul tema, per un corretto bilanciamento d’interessi e diritti, si ricavano dalle FAQ del Garante per la privacy pubblicate sul sito www.gpdp.it, volte a delineare i principi generali in tema di vaccinazione dei dipendenti, con specifico riguardo agli operatori sanitari.

Il datore di lavoro può chiedere ai propri dipendenti di vaccinarsi contro il Covid-19 per accedere ai luoghi di lavoro e per svolgere determinate mansioni, ad esempio in ambito sanitario? Può chiedere al medico competente i nominativi dei dipendenti vaccinati? Può chiedere conferma della vaccinazione direttamente ai lavoratori?

L’Autorità ha fornito indicazioni utili a impreseenti e amministrazioni pubbliche per una corretta applicazione della disciplina sulla protezione dei dati personali nel contesto emergenziale, anche al fine di prevenire possibili trattamenti illeciti di dati e di evitare inutili costi di gestione o possibili effetti discriminatori.

Il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali. Ciò non è consentito né dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. Il consenso del dipendente non può costituire, in questi casi, una condizione di liceità del trattamento dei dati. Il datore di lavoro può, invece, acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica redatti dal medico competente.

Il Garante ha chiarito inoltre che - in attesa di un intervento del legislatore nazionale che eventualmente imponga la vaccinazione anti-Covid-19 quale condizione per lo svolgimento di determinate professioni, attività lavorative e mansioni - nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario, si applicano le disposizioni vigenti sulle “misure speciali di protezione” previste per tali ambienti lavorativi (art. 279 del d.lgs. n. 81/2008, cd. Testo unico per la sicurezza sul lavoro).

Anche in questi casi, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario e il contesto lavorativo, può trattare i dati personali relativi alla vaccinazione dei dipendenti.
Il datore di lavoro deve quindi limitarsi ad attuare, sul piano organizzativo, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità.

G.R.A.L.E.

Via Mazzocchi, 68
Palazzo Melzi
81055 Santa Maria Capua Vetere (CE)

C.so Umberto I, 34
80138 Napoli

 

Iscriviti alla Newsletter
Ricevi i nostri aggiornamenti
Iscriviti tramite Facebook
... oppure inserisci i tuoi dati:
L'indirizzo al quale desideri ricevere le newsletter.
Acconsento al trattamento dei miei dati personali (Regolamento 2016/679 - GDPR e d.lgs. n.196 del 30/6/2003)  Privacy