Coronavirus, tutti gli aspetti privacy del DPCM 3 novembre | Agenda Digitale

La guida

Coronavirus, tutti gli aspetti privacy del DPCM 3 novembre

Il DPCM del 3 novembre suddivide l’Italia per zone con restrizioni diverse: vediamo quali sono gli aspetti relativi alla data protection per le attività di smart working, food delivery e didattica a distanza

24 Nov 2020
Chiara Benvenuto

avvocato, Studio Previti

Mentre il Paese viene diviso in aree di rischio con il decreto del 3 novembre, tornano a essere ricorrenti termini come smart working, didattica a distanza, food-delivery e contact tracing.

L’evoluzione della pandemia implica una riflessione sull’evoluzione degli strumenti impiegati per la prevenzione ed il contenimento del contagio e sulle relative discipline normative. In particolare prendiamo in esame gli scenari che potrebbero comportare rischi e criticità in occasione del trattamento di dati personali.

Cosa ha stabilito il DPCM del 3 novembre 2020

Ricordiamolo per chi i (molto) distratti. Nella tarda serata del 3 novembre 2020, il Presidente del Consiglio dei Ministri ha firmato un nuovo decreto emergenziale per la prevenzione ed il contenimento del contagio da Covid-19.

Le misure adottate con tale decreto saranno vigenti dal 6 novembre al 3 dicembre 2020, ferma restando la possibilità per il Ministero della Salute di provvedere, a cadenza settimanale, con ordinanza all’aggiornamento dell’elenco dei territori suddivisi in base al rischio. Il Paese è stato, infatti, suddiviso in aree geografiche classificate in base al rischio: in buona sostanza, alle misure urgenti di contenimento del contagio previste per l’intero territorio nazionale ne sono state previste delle ulteriori per quelle aree caratterizzate da uno scenario di elevata o massima gravità e da un livello di rischio alto.

La regola dello smart working

Le novità hanno certo un impatto anche sul lavoro. Ossia sullo smart working. Con l’avvento della stagione estiva e la contestuale diminuzione del numero di contagi sul territorio nazionale, a fronte dell’allentamento delle misure ad opera della legislazione emergenziale, i luoghi di lavoro sono stati organizzati in modo tale da prevedere il ritorno di dipendenti e collaboratori, nel rispetto del Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro. Il nuovo DPCM se, da un lato, menziona le esigenze lavorative tra i validi motivi per giustificare gli spostamenti durante l’arco della giornata, dall’altro, raccomanda che le attività professionali siano attuate mediante modalità di lavoro agile, ove possano essere svolte al proprio domicilio o in modalità a distanza.

L’invito del governo a prediligere soluzioni di smart working è chiaro e viene rafforzato per le aree con massima gravità (c.d. rosse) per cui viene sancito un esplicito divieto di spostamento anche all’interno dei medesimi territori, derogabile solo in ragione di comprovate esigenze lavorative. Di certo, trattandosi di una seconda ondata, il lavoro agile non costituirà più una prima esperienza per i datori di lavoro ed anzi, per alcune realtà, ha finito per costituire la regola per lo svolgimento in sicurezza delle attività lavorative.

Smart working e cyber security

La ricorrenza dell’utilizzo di tali modalità implica non solo l’adozione di peculiari misure tecniche ed organizzative, ma anche il loro periodico aggiornamento. Il tema della sicurezza del lavoro agile non perde con il passare del tempo la sua attualità, e tanto lo si nota solo alla lettura della percentuale degli attacchi informatici rivolti alle aziende durante il periodo del lockdown. In particolare, l’Osservatorio sulla cyber security di Exprivia ha registrato un picco di crimini informatici in Italia nei primi 4 mesi del 2020, dovuto all’emergenza sanitaria.

WEBINAR
Business Agility: come le linee di business possono essere protagoniste del cambiamento?
Digital Transformation
Risorse Umane/Organizzazione

Di tali attacchi, il 59% degli episodi ha provocato come danno il furto dei dati. Education, Finanza e Sanità sono stati tra i settori più colpiti. Tra le condotte malevole si sono potuti registrare i malware celati da falsi antivirus, ma anche campagne di phishing e mailspam a tema, ed una intensificazione del numero di attacchi DDoS (Distribuited Denial of Service) che è risultato essere raddoppiato rispetto allo stesso periodo del 2019. Per scongiurare episodi di violazione di dati si rende necessario il compimento di alcune attività. È anzitutto doveroso un confronto costante con l’infrastruttura IT aziendale affinché quest’ultima possa approntare tutte le soluzione tecniche necessarie a ridurre il rischio di illecita sottrazione o duplicazione di dati e documenti. Al tempo stesso, è necessario dare luogo alla sensibilizzazione dei soggetti coinvolti per il corretto utilizzo degli strumenti in dotazione, anche mediante l’adozione di policies volte ad impartire regole di condotta con riferimento all’utilizzo degli strumenti informatici che ben potrebbero accompagnarsi alla previsione di specifiche clausole di riservatezza all’interno dei contratti che regolano i rapporti con i collaboratori/dipendenti aziendali, ma anche con le nuove risorse in formazione.

Senz’altro, in occasione della cernita delle più opportune misure di sicurezza, il datore di lavoro potrà tenere in considerazione le linee guida sui principi di privacy by design e by default adottate dal Comitato europeo per la protezione dei dati il 20 ottobre scorso. Non solo. Le misure prescelte dovranno essere oggetto di aggiornamento, anche mediante la previsione di periodici audit interni, stress test ed altri strumenti per l’analisi dei rischi. Con riferimento al tema dello smart working, infine, non possono non essere menzionate le osservazioni rese dal Garante privacy nell’audizione del 13 maggio 2020 sul rischio di monitoraggio sistematico e ubiquitario del lavoratore. Il Garante ha affermato infatti che l’adozione delle misure di sicurezza per la tutela del patrimonio aziendale devono presentare quale minimo comun denominatore delle misure adottate il diritto alla protezione dei dati, presupposto necessario per garantire la libera autodeterminazione del lavoratore.

La didattica a distanza per fasce

Il decreto prevede che, su scala nazionale, le istituzioni scolastiche secondarie di secondo grado siano tenute ad adottare forme flessibili nell’organizzazione dell’attività didattica. Per le zone c.d. rosse, invece, fermo restando lo svolgimento in presenza della scuola dell’infanzia, della scuola primaria, dei servizi educativi per l’infanzia e del primo anno di frequenza della scuola secondaria di primo grado, le attività scolastiche e didattiche si svolgono esclusivamente con modalità a distanza. Sono previste poi modalità a distanza anche per lo svolgimento delle prove preselettive e scritte delle procedure concorsuali pubbliche e private e di quelle di abilitazione all’esercizio delle professioni nei casi in cui la valutazione possa essere esclusivamente condotta in via telematica.

La digitalizzazione delle lezioni, oltre allo scambio di informazioni nella forma del materiale didattico messo a disposizione dai docenti ai propri discenti, comporta il trattamento di dati personali la cui tutela richiede l’osservanza e il rispetto del GDPR e del Codice Privacy. Il Garante per la protezione dei dati personali, con il provvedimento del 26 marzo 2020, ha provveduto ad affrontare le questioni privacy che l’attività didattica a distanza pone, con particolare riguardo ai rischi, per la sicurezza dei dati personali, collegati all’utilizzo di piattaforme on line.

In tale occasione è stato precisato che, in ottemperanza ai principi di privacy by design e by default, l’istituto scolastico o l’ente di riferimento sono tenuti a svolgere una valutazione preventiva del rischio al momento della progettazione delle attività di trattamento, al fine di determinare la probabilità e i rischi per i diritti e le libertà degli interessati. La valutazione dei rischi, chiaramente, non andrà condotta in astratto ma dovrà tenere conto della natura, del contesto e delle finalità del trattamento. All’inizio dell’esperienza della didattica a distanza, il MIUR ha creato una pagina web interamente dedicata al tema, per assicurare a tutte le scuole che ne facciano richiesta la possibilità di avere gratuitamente strumenti e mezzi che garantiscano a tutti il diritto allo studio, ma tra le piattaforme citate appare Microsoft, recentemente destinataria di mirate operazioni delle autorità di controllo.

Il 2 luglio 2020, infatti, il Garante europeo per la protezione dei dati ha presentato le risultanze dell’indagine condotta con riferimento ai contratti intercorsi tra Microsoft e le istituzioni europee: Microsoft, in ragione del suo ruolo di fornitore dovrebbe assoggettarsi agli obblighi di cui all’articolo 28 GDPR ma ciò concretamente non avviene, dal momento che le condizioni contrattuali delle licenze standard dei prodotti e servizi di Microsoft vengono accettate dagli acquirenti senza alcuna possibilità di negoziazione e per di più recano previsioni palesemente in contrasto con la normativa. La circostanza conferma uno scenario già in precedenza rilevato dall’autorità di controllo dell’Alassia, che già nel 2017 aveva vietato l’utilizzo nelle scuole di Microsoft 365. Ci si domanda, quindi, in che termini il Ministero dell’Istruzione intenda gestire la didattica a distanza a fronte degli evidenti rischi privacy connessi all’utilizzo di questa piattaforma.

Data protection e food-delivery

Il nuovo DPCM prevede che, sul territorio nazionale, le attività dei servizi di ristorazione (fra cui bar, pub, ristoranti, gelaterie, pasticcerie) siano consentite dalle ore 5.00 fino alle ore 18.00, ma che sino al “coprifuoco”, previsto a partire dalle 22, venga consentita la ristorazione con consegna a domicilio. Nelle regioni arancioni e rosse, invece, i servizi di ristorazione sono sospesi, essendo consentito l’acquisto solo con consegna a domicilio, sempre sino alle 22. Tali previsioni comporteranno un rapido incremento delle richieste di consegna a domicilio con conseguente nuova implementazione delle piattaforme di food delivery e potenziamento dei player già presenti sul mercato.

A tal riguardo, non può non segnalarsi come il Garante privacy abbia recentemente dichiarato che la propria attività di accertamento, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, riguarderà in particolare i trattamenti effettuati dagli intermediari che operano nell’ambito della fatturazione elettronica, dalle società che gestiscono banche dati reputazionali e dalle società di food delivery. La direzione del Garante segue una vicenda che a maggio 2020 ha interessato la compagnia di consegne di cibo a domicilio Delivery Hero, che ha subito una grossa violazione dei dati, in particolare dei clienti del suo marchio Foodora. La violazione dei dati avrebbe riguardato oltre 727 mila account di clienti sparsi in 14 diversi paesi tra cui l’Italia. Le informazioni violate conterrebbero nomi, indirizzi, numeri di telefono, password e dati di geolocalizzazione. Le piattaforme in questione sono oggi chiamate alla revisione delle proprie misure di sicurezza, con particolare riguardo al trattamento dei dati di localizzazione – utilizzati per proporre i ristoratori in prossimità – ma anche ai dati bancari per il pagamento ed alle procedure di conservazione e cancellazione.

Il tracciamento dei contagi

Il DPCM del 3 novembre conferma l’obbligo del precedente decreto del 18 ottobre sul contact tracing: l’operatore sanitario del Dipartimento di prevenzione della azienda sanitaria locale è obbligato a caricare il codice chiave in presenza di un caso di positività, accedendo al sistema centrale di Immuni. Come noto, il Governo, nella figura del Ministero dell’Innovazione, ha individuato nell’app “Immuni”, gratuitamente sviluppato e messo a disposizione da Bending Spoons, il sistema nazionale di tracciamento digitale dei contatti, finalizzato al contrasto della diffusione del Covid-19 e complementare alle modalità ordinarie di tracciamento dei contatti già in uso nell’ambito del Servizio sanitario nazionale (SSN).

Immuni si basa sull’utilizzo della tecnologia Bluetooth Low Energy (BLE) e sul Framework di Exposure Notification realizzato da Apple e Google (di seguito “Framework A/G”), reso disponibile su dispositivi mobili con sistema iOS e Android, che include interfacce di programmazione delle applicazioni (API – Application Programming Interface) e tecnologie a livello di sistema operativo per consentire il tracciamento dei contatti, senza ricorrere alla geolocalizzazione dei dispositivi degli utenti. Il tracciamento dei contatti del soggetto positivo al Covid-19 si realizza nelle seguenti modalità: l’operatore sanitario contatta telefonicamente il paziente per comunicare l’esito positivo ed in quella occasione, laddove il paziente abbia provveduto al download ed all’attivazione dell’app Immuni, richiede il codice chiave monouso per l’inserimento nella piattaforma nazionale.

Con l’inserimento del codice chiave da parte dell’operatore sanitario nel sistema Immuni, il device viene associato ad una positività e provvede ad inviare avvisi di avvenuta esposizione ai dispositivi che il Bluetooth ha incrociato negli ultimi 14 giorni. Da quel momento, chi riceverà la notifica di avvenuta esposizione dovrà contattare il proprio medico curante e procedere con l’isolamento fiduciario e l’osservazione di eventuali sintomi. Al momento dell’autorizzazione dell’applicazione da parte del Garante privacy, intervenuta con giugno 2020, le regioni che avevano implementato il sistema Immuni risultavano solo sei. Con la previsione inserita, il Governo intende dare un segnale alle regioni rimaste inerti al momento dell’implementazione della piattaforma, tuttavia andando a prevedere un obbligo in capo al singolo operatore. Ci si domanda se la previsione normativa in esame possa essere idonea a far sorgere la responsabilità da inadempimento dell’operatore sanitario a fronte del mancato inserimento del codice chiave per ragioni connesse alla mancata o incompleta implementazione del sistema.

Al tempo stesso, poi, il sistema del tracciamento deve mettere in conto che, anche a fronte dell’adeguamento da parte di tutte le aziende sanitarie locali, comunque permane un ingente numero di cittadini ancora scettico sull’opportunità di effettuare il download dell’applicazione. Di certo, la fiducia nel sistema del tracciamento non può essere facilmente ottenuta a fronte delle recenti notizie sul malfunzionamento di Immuni. Il Garante della privacy ha, difatti, recentemente avviato un’istruttoria sull’Ats (l’agenzia per la tutela della salute, ex Asl) di Milano in seguito alla scoperta che sulla piattaforma Milano Cor, dell’Ats, era possibile per chiunque scoprire se un cittadino fosse risultato positivo al coronavirus, semplicemente inserendo il codice fiscale. Inoltre, in determinati territori, sono state rilevate in più occasioni false notifiche di esposizione da parte di soggetti che, nel giorno indicato come data di avvenuto contatto, non hanno circolato o comunque incontrato altri soggetti, risultando impossibile incrociare altri dispositivi. A ciò si aggiunga l’approssimazione nel calcolo dell’esposizione, che induce in isolamento anche quei soggetti che si sono trovati in prossimità di soggetti positivi ma in contesti in cui è prevista la mascherina obbligatoria e magari per pochi secondi.

WEBINAR
360On TV al centro della notizia. Nuovo Governo, la sfida: ricostruire l’economia italiana

@RIPRODUZIONE RISERVATA

Articolo 1 di 4