Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

covid 2

 

 

(pagina informativa in costante aggiornamento)

 

COVID-19: FAQs developed by the Italian data protection authority

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

__________________________________________________________________________

 

 

 

 

 

 

 

 

FAQ - Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria


 ENGLISH VERSION

 

1. I dentisti possono raccogliere informazioni sullo stato di salute del paziente in relazione al COVID 19?

 

Tutti i professionisti sanitari possono raccogliere le informazioni che ritengono necessarie nell’ambito delle attività di cura dei loro pazienti, ivi comprese quelle legate alla presenza di sintomi da COVID-19. Come ogni altro operatore sanitario, i dentisti sono inoltre tenuti a osservare le disposizioni emergenziali, in continua evoluzione, in merito alle misure di profilassi volte a prevenire e a limitare il contagio da COVID-19.

 

Resta fermo che l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano invece agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

 

2. L’azienda sanitaria può inviare via e-mail, ai soggetti in isolamento domiciliare, informazioni sulle regole da rispettare durante la quarantena?

 

L’azienda può indicare le regole che i soggetti in isolamento devono seguire durante il periodo di quarantena con le modalità che ritiene più efficaci, nel rispetto della riservatezza degli interessati. Nel caso in cui utilizzi la posta elettronica per comunicare contemporaneamente a tutti i soggetti le disposizioni che sono tenuti a osservare, dovrà avere cura di inserire l’indirizzo dei destinatari dell’e-mail nel campo denominato “copia conoscenza nascosta” (ccn), al fine di evitare che tutti i destinatari della predetta comunicazione vengano a conoscenza dell’indirizzo e-mail degli altri soggetti posti in isolamento.

 

3. É lecito che l’operatore sanitario, durante l’esecuzione di un tampone per COVID 19, chieda al paziente l’identità della persona positiva con cui ha avuto un contatto stretto?

 

Si, in quanto l'operatore di sanità pubblica, al fine di determinare le misure di contenimento di contagio più opportune, è chiamato a ricostruire la filiera dei contati stretti del soggetto risultato positivo al COVID 19.

 

4. Le strutture sanitarie possono creare un servizio di call center per dare informazioni ai familiari sullo stato di salute dei pazienti COVID 19 che non sono in grado di comunicare con loro?

 

Le strutture sanitarie, in conformità al principio di accountability, possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni sullo stato di salute ai familiari dei pazienti COVID 19 che non sono in grado di comunicare in via autonoma. In tale contesto, nulla osta che la struttura di ricovero dedichi un numero verde per fornire tali informazioni, prevedendo adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

 

5. Nel caso di decesso di un paziente COVID 19 positivo, le strutture sanitarie possono comunicare ai servizi funebri la causa del decesso?

 

Le disposizioni adottate nel corso dell’emergenza epidemiologica da COVID 19, hanno previsto che nei casi di sospetto o accertato decesso da Covid 19, gli operatori del servizio funebre debbano adottare particolari precauzioni, analoghe a quelle già previste per il decesso di persone con malattie infettive e diffusive, al fine di evitare l’ulteriore contagio. Nulla osta, pertanto, che, a tal fine, la struttura sanitaria ove è avvenuto il decesso comunichi all’impresa funebre lo stato di positività al COVID 19 del defunto.

 

6. Durante l’emergenza da COVID 19, il medico può inviare all’assistito la ricetta relativa alle prescrizioni dei farmaci evitando che l’interessato debba ritirala in studio?

 

Al fine di evitare che i cittadini si rechino presso gli studi dei medici di base per ritirare le ricette, l’ordinanza della protezione civile del 19 marzo 2020 ha previsto che il medico possa trasmettere all’assistito la ricetta per posta elettronica, via SMS o telefonicamente.

 

Nel caso di invio tramite e-mail, il promemoria della ricetta sarà allegato al messaggio e non inserito come testo nel corpo del messaggio stesso.

 

Nel caso di comunicazione telefonica o tramite sms, sarà invece sufficiente comunicare all’assistito il solo Numero della Ricetta Elettronica prescritta.

 

7. Durante l’emergenza da COVID 19, è possibile inviare direttamente al farmacista la ricetta per l’acquisto di un farmaco?

 

Il Garante ha espresso parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze secondo cui l’assistito che abbia ricevuto dal medico gli estremi della ricetta per posta elettronica, via sms o telefonicamente, può comunicarla, con le stesse modalità, alla farmacia.

 

Lo schema di decreto prevede inoltre che, nel periodo emergenziale, l’assistito possa delegare il medico a inviare la ricetta direttamente alla farmacia, tramite posta elettronica o attraverso lo stesso sistema che genera la ricetta.

 

Allo stato lo schema di decreto sottoposto al parere del Garante non è stato ancora adottato dal Mef.

 

 

8.  È possibile diffondere i dati identificativi delle persone positive al COVID 19 o che sono state poste in isolamento domiciliare?

 

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.

 

Pertanto, le aziende sanitarie e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.

 

9. Nel periodo emergenziale, può essere rilevata la temperatura corporea dei passeggeri negli aeroporti?

 

Si, le disposizioni adottate per l’emergenza sanitaria da COVID 19, hanno previsto la possibilità di effettuare controlli della temperatura corporea a tutti i passeggeri di voli europei e internazionali in arrivo negli aeroporti italiani, al fine di individuare le eventuali misure necessarie ai fini del contenimento dell’Epidemia da Coronavirus.

 

10.  Quali aspetti bisogna considerare nel promuovere screening sierologici per il Covid-19 nei confronti di lavoratori appartenenti a categorie a rischio come, ad esempio, gli operatori sanitari e le forze dell’ordine? (VEDI ANCHE: FAQ - Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria - in particolare n. 7)

 

Gli screening sierologici per il Covid-19 possono essere promossi dai Dipartimenti di prevenzione della regione nei confronti delle categorie di soggetti considerati a maggior rischio di contagio e diffusione del Covid-19. Tra tali categorie di soggetti vi sono gli operatori sanitarie e le forze dell’ordine. La partecipazione di tali soggetti ai test può avvenire solo su base volontaria.

 

I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare), nonché per finalità di sanità pubblica da parte del dipartimento di prevenzione regionale.

 

Tali trattamenti di dati devono essere tenuti distinti da quelli effettuati nell’ambito dell’effettuazione di test sierologici per Covid-19 per finalità di sicurezza e salute sul luogo di lavoro.


 

 

________________________________________

 

 

 

 

FAQ - Trattamento dati da parte degli enti locali nell’ambito dell’emergenza sanitaria

 

1. Come devono essere trattati i dati dei soggetti destinatari dei servizi comunali di supporto alla popolazione attivati per l’emergenza Covid-19?

 

I servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando, con i canali ritenuti più efficaci, le modalità di attivazione del servizio (ad es. numero verde), senza raccogliere, dunque, gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti.

 

In primo luogo, infatti, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi, poiché tali esigenze potrebbero, ad esempio, essere assolte dalla famiglia o da altre reti sociali scelte dall’interessato.

 

In secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio o non possono usufruire di reti familiari o sociali (anziani, invalidi, malati cronici).

 

2. Come devono essere trattati i dati dei soggetti destinatari dei contributi economici comunali?

 

Ai fini dell’attribuzione delle risorse economiche ai soggetti che versano in condizioni di difficoltà economiche nel contesto dell’emergenza Covid-19, i Comuni hanno predisposto dei moduli con cui autocertificare il possesso dei requisiti previsti per ottenere le misure di sostegno. Tali moduli devono prevedere la raccolta dei soli dati indispensabili alla verifica dei presupposti (es. reddito, fruizione di altri aiuti, composizione nucleo familiare, etc.) e non anche informazioni non necessarie o non pertinenti per ottenere il beneficio richiesto.

 

Con specifico riferimento ai cd. buoni spesa, alcuni bandi rivolti agli esercizi commerciali prevedono il rimborso del valore nominale dei buoni a fronte della presentazione, da parte degli esercenti, di adeguata documentazione giustificativa (es. buoni spesa in originale e/o gli scontrini fiscali per cui il rimborso è richiesto).

 

In tale ipotesi, piuttosto che presentare direttamente gli scontrini con i dettagli di spesa, si ritiene preferibile che l’esercizio commerciale presenti un’autodichiarazione sulla conformità dell’utilizzo dei buoni di cui chiede il rimborso, con contestuale impegno a conservare gli scontrini per gli eventuali controlli che il Comune riterrà di effettuare. In tal modo si evita la produzione sistematica di documentazione di dettaglio che, associata all’identità del beneficiario del buono, comporterebbe la comunicazione di dati personali, anche di natura particolare (ad es. acquisti di prodotti alimentari specifici, etc.).

 

3. Possono essere pubblicati i dati relativi ai destinatari di contributi di natura economica o di altri benefici (es. buoni spesa)?

 

La normativa sulla trasparenza stabilisce l’obbligo di pubblicazione, fra l’altro, dei nominativi dei soggetti destinatari in generale di benefici economici superiori a mille euro nel corso dell’anno solare (quali sovvenzioni, contributi, sussidi o altri vantaggi economici), fermo restando il divieto di diffusione di nel caso in cui da tali dati “sia possibile ricavare informazioni relative allo stato di salute [o] alla situazione di disagio economico-sociale degli interessati" (art. 26, comma 4, d. lgs. n. 33/2013).

 

Si tratta di un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali degli interessati, al fine di evitare che soggetti in condizioni disagiate – economiche o sociali – soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi della particolare situazione personale.

 

Nel caso di benefici economici superiori a mille euro nell’anno solare, spetta all’ente locale, titolare del trattamento, valutare quando le informazioni di contesto rivelino dati sulla salute ovvero l’esistenza di un disagio economico o sociale dell’interessato e non procedere, di conseguenza, alla pubblicazione di dati o altre informazioni idonee ad identificarlo. In ogni caso, nel rispetto del principio di minimizzazione dei dati rispetto alla finalità perseguita, non risulta giustificato pubblicare dati quali, l’indirizzo di abitazione o la residenza, il codice fiscale, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell’equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc.

 

4. È possibile diffondere i dati identificativi delle persone positive al Covid-19 o che sono state poste in isolamento?

 

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.

 

Pertanto, le aziende sanitarie, le prefetture, i comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia o per il contrasto di “fake news”.

 

5. Chi può trattare i dati dei soggetti in isolamento per verificare il rispetto di tale misura?

 

L’attività di sorveglianza sanitaria dei soggetti posti in isolamento domiciliare consiste in un intervento di sanità pubblica, che deve essere realizzato da operatori sanitari in grado di valutare, in relazione alle condizioni di salute del soggetto, gli interventi sanitari più opportuni. Le disposizioni d’urgenza adottate pongono infatti in capo a “l'operatore di sanità pubblica” l’obbligo di provvedere “a contattare, quotidianamente, per avere notizie sulle condizioni di salute, la persona in sorveglianza” (art. 3, comma 6, d.p.c.m. 8 marzo 2020; art. 2, comma 6, d.p.c.m. 4 marzo u.s.).

 

Le prefetture, che hanno il compito di controllare che la misura dell’isolamento domiciliare sia effettivamente rispettata, possono avvalersi delle forze di polizia, deputate -eventualmente- anche ad adottare i provvedimenti sanzionatori connessi al mancato rispetto delle predette misure di isolamento.

 

Le forze di polizia locale possono venire a conoscenza dei dati identificativi dei soggetti posti in isolamento, qualora la Prefettura deleghi loro la predetta attività di controllo. In tal caso, la Prefettura potrà comunicare alla polizia locale insistente sul territorio comunale, i dati dei soggetti nei cui confronti ha delegato l’attività di controllo sul rispetto della misura di isolamento domiciliare.

 

6. Quali dati personali possono essere trattati dalla polizia locale nell’ambito dei controlli su strada?

 

La verifica sull’attuazione delle misure emergenziali è assicurata dalle Prefetture avvalendosi delle Forze di polizia, tra le quali la polizia locale (artt. 3 e 5 l. n. 65/1986).

 

Il personale di polizia locale preposto ai controlli su strada deve anche assicurare il rispetto delle restrizioni dei movimenti delle persone sul territorio, effettuando il controllo delle autodichiarazioni, rese dai cittadini, provvedendo anche all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative o, nei casi più gravi, alla trasmissione delle notizie di reato alle autorità competenti.

 

Gli accertamenti sulla veridicità delle dichiarazioni - rese ai sensi degli artt. 46 e 47 del d.P.R. 445/2000 sul modello ministeriale - riguardano anche la dichiarazione di “non essere sottoposto alla misura della quarantena ovvero di non essere risultato positivo al COVID-19” e devono poter essere effettuati, da tutte le forze di polizia, sui dati aggiornati tenuti dalle Aziende sanitarie competenti.

 

In ragione della gravità delle conseguenze che possono derivare agli interessati dall’esito di tali verifiche, della temporaneità delle misure di isolamento e della variabilità delle stesse (per es. a seguito di tampone negativo), tali controlli devono essere necessariamente effettuati con modalità che garantiscano l’esattezza dei dati e il loro aggiornamento. Devono, pertanto, essere implementate soluzioni che consentano a tutte le Forze di polizia la possibilità di interrogare puntualmente i predetti elenchi con riferimento alla presenza della misura dell’isolamento domiciliare nei confronti del soggetto controllato. Nulla osta che tale interrogazione sia fatta presso ciascuna delle strutture sanitarie dislocate sul territorio ovvero, in modo coordinato, presso un ufficio a ciò deputato della Prefettura.

 

7. Quali dati personali possono essere trattati per la gestione del servizio di raccolta domiciliare dei rifiuti?

 

Qualora i Comuni intendano istituire un servizio di raccolta domiciliare dei rifiuti prodotti dai soggetti posti in isolamento domiciliare, come suggerito dall’Istituto Superiore della Sanità (rapporto n. 3/2020), tale servizio può essere attivato a richiesta degli interessati.

 

Tale modalità consentirebbe di raggiungere la finalità di raccolta domiciliare, limitando i rischi connessi alla circolazione degli elenchi contenenti dati sulla salute degli interessati, oltre che all’interno degli enti locali, anche tra i soggetti privati che erogano i servizi comunali, nonché quelli relativi al loro mancato aggiornamento.

 

Tale soluzione lascia, tra l’altro, agli interessati la facoltà di decidere se usufruire di tale servizio, oppure continuare a provvedere personalmente al conferimento dei rifiuti (per il tramite delle reti familiari), nel rispetto delle raccomandazioni fornite dall’Istituto Superiore di Sanità.

 

 

 

__________________________________________________

 

 

 

 

 

FAQ -Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria

 

 ENGLISH VERSION

 

1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

 

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020.(1)

 

In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).

 

Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.

 

In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

 

Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

 

2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

 

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.

 

Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).

 

In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

 

3. È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

 

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.

 

Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

 

4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

 

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

 

Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)(1).

 

Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo).

 

Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

 

In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

 

5. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

 

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.

 

In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

 

Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

 

Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l'individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).

 

Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

 

6. Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

 

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

 

Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).

 

La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).

 

Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

 


7. Il datore di lavoro può richiedere l’effettuazione di test sierologici ai propri dipendenti?

 

Si, ma solo se disposta dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.

 

Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici  e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020).

 

Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro. 

 

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

 

Resta fermo che i lavoratori possono liberamente aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19, di cui siano venuti a conoscenza anche per il tramite del datore di lavoro, coinvolto dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti (cfr. FAQ n. 10 - Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria).

 

I datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame.

 

 

8. Il datore di lavoro può trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi?

 

Sebbene, di regola, i dati personali relativi alle specifiche patologie di cui sono affetti i lavoratori possano essere trattati solo da professionisti sanitari (es. medici di base, specialisti, medico competente) e non anche dal datore di lavoro, quest’ultimo, in taluni casi, nel contesto dell’attuale emergenza epidemiologica, può lecitamente venire a conoscenza dell’identità del dipendente affetto da Covid-19 o che presenta sintomi compatibili con il virus.

 

Ciò, in particolare, può verificarsi quando ne venga informato direttamente dal dipendente, sul quale grava l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Coerentemente il Protocollo condiviso tra il Governo e Parti sociali aggiornato il 24 aprile 2020, la cui osservanza è prescritta dalla normativa dell’emergenza, prevede specifici obblighi informativi del lavoratore in favore del datore di lavoro laddove sussistano condizioni di pericolo, come i sintomi influenzali (si vedano anche gli analoghi protocolli stilati in ambito pubblico e quelli relativi a specifici settori, quali cantieri, trasporti e logistica); ciò anche quando tali sintomi si manifestino all’ingresso della sede di lavoro o durante la prestazione lavorativa (cfr. Protocollo condiviso, es. parr. 1, 2 e 11). A tal fine, il datore di lavoro può quindi invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati, tenendo conto del proprio generale obbligo di tutelare l'integrità fisica dei prestatori di lavoro, ai sensi dell’art. 2087 c.c. e del d.lgs. 81/2008 (cfr., anche FAQ n. 2).

 

Il datore di lavoro potrebbe, inoltre, venire a conoscenza dello stato di positività al Covid-19 accertato dalle autorità sanitarie a seguito dell’effettuazione di un tampone oro/nasofaringeo, nell’ambito della collaborazione che è tenuto a prestare a tali autorità, anche con il coinvolgimento del medico competente, per la ricostruzione degli eventuali contatti stretti con altre persone nel contesto lavorativo (cfr. par. 11 del Protocollo del 24 aprile 2020).

 

Il datore di lavoro può, altresì, conoscere lo stato di avvenuta negativizzazione del tampone oro/nasofaringeo, ai fini della riammissione sul luogo di lavoro dei lavoratori già risultati positivi all’infezione da Covid-19, secondo le modalità previste e la documentazione rilasciata dal dipartimento di prevenzione territoriale di competenza (cfr. par. 2 e 12 del Protocollo del 24 aprile 2020).(1)

 

In questi casi, dunque, il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore per la finalità di salute e sicurezza dei luoghi di lavoro o per adempire agli obblighi di collaborazione con gli operatori di sanità pubblica.

 

Al di fuori dei casi normativamente previsti, il datore di lavoro non può, invece, trattare dati sulla salute del lavoratore e comunicare gli stessi a soggetti terzi (cfr. FAQ nn. 5 e 6).

 

In base alle norme in materia di sorveglianza sanitaria, non derogate da quelle dell’emergenza, il datore di lavoro non può, inoltre, conoscere l’esito degli esami diagnostici disposti dal medico competente, tra i quali anche i test sierologici, che non consentono, peraltro, di diagnosticare l’infezione (cfr. FAQ n. 7).

 

Resta fermo che, ove all’esito del test sierologico sia disposta l’effettuazione di un tampone che attesti la positività al virus, il datore di lavoro potrà conoscere, oltre alla valutazione del medico competente in merito all’inidoneità al servizio, anche l’identità del dipendente nei casi sopra esplicitati (cfr. Protocollo condiviso, parr. 1, 2, 11 e 12), di seguito riepilogati.

 

Alla luce del quadro normativo vigente, il datore di lavoro può quindi trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi e può conoscere la condizione di positività al Covid-19:

- quando ne venga informato direttamente dal lavoratore; o

- nei limiti in cui sia necessario al fine di prestare la collaborazione all’autorità sanitaria; o

- ai fini della riammissione sul luogo di lavoro del lavoratore già risultato positivo all’infezione da Covid-19.

 

9. Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?

 

La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.

 

 

10.  Al fine di contenere il rischio di contagio sul luogo di lavoro sono disponibili applicativi che non trattano dati personali?

 

Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.

Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione). In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.

 

 

(1) Come aggiornato in data 24 aprile 2020

 

 

_____________________________________________

 

 

 

 

FAQ - Trattamento dati nel contesto scolastico nell’ambito dell’emergenza sanitaria

 

 ENGLISH VERSION

 

1) Le scuole sono tenute ad acquisire il consenso di alunni, genitori e insegnanti per attivare la didattica a distanza?

 

No. Gli istituti scolastici possono trattare i dati, anche relativi a categorie particolari(1) di insegnanti, alunni (anche minorenni), e genitori nell’ambito delle proprie finalità istituzionali e non devono chiedere agli interessati di prestare il consenso al trattamento dei propri dati, neanche in relazione alla didattica a distanza, attivata a seguito della sospensione delle attività formative delle scuole di ogni ordine e grado. Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro.

 

2) Gli Istituti scolastici devono informare gli interessati in merito ai trattamenti dei dati personali effettuati nelle attività di didattica a distanza?

 

Sì. Gli istituti scolastici sono tenuti ad assicurare la trasparenza del trattamento informando, con un linguaggio facilmente comprensibile anche dai minori, gli interessati (alunni, studenti, genitori e docenti) in merito, in particolare, ai tipi di dati e alle modalità di trattamento degli stessi, ai tempi di conservazione e alle altre operazioni di trattamento, specificando che le finalità perseguite sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

 

3) La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al COVID 19?

 

Spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. L’istituto scolastico è tenuto a fornire alle istituzioni competenti, le informazioni necessarie, affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

 

4) Le scuole possono svolgere riunioni dei docenti in video conferenza?

 

Per effetto della sospensione dell’attività didattica e delle riunioni degli organi collegiali in presenza, sono state attivate modalità di didattica a distanza e il ricorso al lavoro agile con riguardo ai servizi amministrativi. Per le medesime ragioni legate all’emergenza, anche alla luce delle indicazioni del Ministro per la pubblica amministrazione e del Ministero dell’Istruzione, ogni forma di riunione nell’ambito delle attività indifferibili deve essere svolta con modalità telematiche.

 

Il Garante ha già fornito alcune indicazioni alle scuole per orientare scelte consapevoli riguardo alle piattaforme da impiegare, sulla base delle garanzie offerte dai fornitori, in considerazione degli specifici rischi anche per i dati personali dei docenti.

 

(1) Vale a dire i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale.

 

 

_________________________________________

 

 

 

 

 

FAQ - Trattamento dati nel contesto delle sperimentazioni cliniche e delle ricerche mediche nell’ambito dell’emergenza sanitaria da covid-19

 

 ENGLISH VERSION

 

1. Qual è la base giuridica per il trattamento dei dati personali anche relativi alla salute nell’ambito delle sperimentazioni cliniche dei medicinali per l’emergenza epidemiologica da COVID-19?

 

I promotori e i centri di sperimentazione possono trattare dati personali, anche relativi alla salute dei pazienti affetti da Covid-19, per lo svolgimento di sperimentazioni cliniche dei medicinali (quali ad esempio gli studi clinici sperimentali sui medicinali di fase I, II, III e IV, gli studi osservazionali sui farmaci e i programmi di uso terapeutico compassionevole), strettamente necessari per contrastare e studiare la pandemia in corso, sulla base del consenso degli interessati, ovvero di un altro presupposto giuridico, ai sensi dell’art. 9, par. 2 del Regolamento, in conformità al diritto dell’Unione o nazionale per motivi di interesse pubblico rilevante, per motivi di interesse pubblico nel settore della sanità pubblica e per fini di ricerca scientifica (art. 9, par. 2, lett. a), g), i) e j) del Regolamento).

 

2.  Quali adempimenti devono svolgere i promotori e i centri di sperimentazione laddove non sia possibile informare gli interessati?

 

Quando, a causa di particolari e comprovate ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato oppure rischia di pregiudicare gravemente il conseguimento delle finalità della ricerca e non è quindi possibile acquisire il consenso degli interessati al trattamento dei dati personali, i titolari del trattamento sono tenuti, laddove possibile, a raccogliere tale consenso, previa idonea informativa, presso chi esercita legalmente la potestà di questi ultimi, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato (in analogia con quanto previsto dal punto 4.11.2 delle prescrizioni relative al trattamento dei dati genetici, allegato 4 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, doc. web n. 9124510).

 

Qualora, per specifiche e comprovate ragioni, non sia possibile acquisire il consenso informato al trattamento dei dati personali, neanche presso terzi, ovvero ciò rischi di pregiudicare gravemente il buon esito della ricerca (si pensi al trattamento di dati riferiti a pazienti defunti o ricoverati in reparti di terapia intensiva), i titolari che intendano svolgere trattamenti di dati personali che riguardano esclusivamente studi sperimentali e gli usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19, non sono obbligati, in forza della normativa relativa alla presente fase emergenziale, alla preventiva sottoposizione del progetto di ricerca, nonché della relativa valutazione di impatto, alla consultazione preventiva del Garante di cui all’art. 110 del Codice in materia di protezione dei dati personali.

 

3. Gli Istituti di ricovero e cura a carattere scientifico (IRCSS) devono acquisire il consenso degli interessati per il trattamento dei dati personali anche relativi alla salute nell’ambito delle ricerche mediche relative al Covid-19 finanziate dal Ministero della salute?

 

Il Ministero della salute, sulla base della normativa emanata in fase emergenziale, il 1° aprile 2020, ha adottato un bando per invitare gli Istituti di ricovero e cura a carattere scientifico (IRCCS) a presentare progetti di ricerca medica, finanziati attraverso i fondi per la ricerca corrente degli IRCCS, finalizzati a migliorare la comprensione dell’epidemia Covid-19, contribuire a una gestione clinica più efficiente dei pazienti infetti e migliorare le possibilità e l’efficacia dei trattamenti terapeutici a disposizione delle strutture del Servizio Sanitario Nazionale.

 

I trattamenti di dati personali anche relativi alla salute svolti dagli IRCCS beneficiari dei predetti fondi, nell’ambito delle ricerche finalizzate al contrasto della pandemia, possono essere svolti senza il consenso degli interessati, in quanto ineriscono alle funzioni di rilevante interesse pubblico attribuite, tra gli altri, anche ai soggetti del Servizio sanitario nazionale. I predetti IRCSS che trattano dati personali nell’ambito delle ricerche mediche finanziate dal Ministero non devono, pertanto, effettuare gli adempimenti previsti dall’art. 110 del Codice.

 

________________________________________

 

 

 

 

 

FAQ - App nazionale di contact tracing e App regionali per Covid-19

 

1) Quale è la base giuridica per il sistema nazionale di tracciamento digitale dei contatti (contact tracing)?

 

L’App per il tracciamento digitale dei contatti dei contagiati da Covid 19 è stata disciplinata dall’art. 6 del decreto legge 30 aprile 2020, n. 28 che ha istituito il Sistema nazionale di allerta Covid uniformando, a livello nazionale, il quadro di garanzie poste a tutela degli interessati.

 

La norma rappresenta un adeguato presupposto giuridico per introdurre tale misura di sanità pubblica e soddisfa i requisiti previsti dal Regolamento (UE) 2016/679 (articoli6, par.1, lett. e) e 9, par. 2, lett. g) e, in particolare, lett. i)) e dal Codice (articoli 2-ter e 2-sexies).

 

Il Ministero della Salute, ai sensi del citato art. 6 del d.l. 28/2020, ha condotto la valutazione d’impatto prevista dall’art. 35 del Regolamento e il Garante ha successivamente autorizzato il trattamento effettuato attraverso l’App Immuni (provvedimento adottato il 1° giugno 2020 - doc. web. n. 9356568).

 

2) È obbligatorio installare l’App Immuni?

 

No, la norma prevede che l’App sia installata dagli interessati su base volontaria.

 

L’adesione al sistema di allerta deve essere infatti frutto di una scelta realmente libera da parte dell’interessato che deve essere adeguatamente informato e deve poter confidare nella trasparenza del trattamento. La volontarietà dell’adesione dell’interessato è assicurata in ogni fase del trattamento effettuato dal Ministero della salute, come ribadito dal Garante sia nel parere sulla norma (cfr. parere del 29 aprile 2020 - doc. web n. 9328050) che nell’autorizzazione dell’App Immuni (cfr. provvedimento del 1° giugno 2020 - doc. web n. 9356568).

 

3) La mancata installazione dell’App Immuni può comportare conseguenze per l’interessato?

 

La mancata installazione dell’App, seppure priva l’interessato della possibilità di ricevere avvisi automatici sugli eventuali contatti a rischio, non determina conseguenze negative, né può rappresentare la condizione per l’esercizio di diritti o per usufruire di determinati servizi o beni.

 

4) Può una Regione consentire l’accesso sul proprio territorio solo a condizione che l’interessato installi e utilizzi un‘ App ?

 

No, tanto è vero che la norma nazionale che ha introdotto il sistema di Allerta Covid, attraverso il tracciamento digitale dei contatti, ha stabilito che le persone non possono essere obbligate a installare l’App e che la mancata installazione non può comportare alcuna conseguenza pregiudizievole per gli interessati ovvero incidere sull’esercizio dei diritti fondamentali, quale, in particolare, la libertà di circolazione (art. 16 Cost.)

 

5) Quale è la base giuridica per l’utilizzo di App di telemedicina per il contrasto al Covid 19 da parte delle strutture sanitarie?

 

La normativa d’urgenza adottata per il Covid 19 ha previsto misure rigorose per lo svolgimento delle visite mediche, al fine di favorire l’adozione di misure di protezione per il paziente e per il personale sanitario, nonché per garantire il distanziamento interpersonale tra gli stessi pazienti.

 

In tale contesto, le strutture sanitarie che intendono avvalersi di strumenti di telemedicina (App di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) per effettuare diagnosi o terapie a distanza, non devono richiedere uno specifico consenso al trattamento dei dati personali dell’interessato, in quanto si tratta di una diversa modalità di svolgimento del rapporto medico-paziente (cfr. in particolare art. 9, par.2, lett. h) e par. 3 del Regolamento).

 

Il titolare del trattamento dovrà in ogni caso provvedere a effettuare la valutazione di impatto (art. 35 del Regolamento), fornire all’interessato un’informativa completa con riferimento al trattamento dei dati effettuato attraverso la predetta App, nonché assicurare il rispetto dei principi di integrità, riservatezza ed esattezza dei dati trattati anche attraverso tale specifica modalità di trattamento.

 

6) Può essere imposta l’installazione delle App di telemedicina per il contrasto al Covid 19 utilizzate dalle strutture sanitarie?

 

No, il Servizio Sanitario Nazionale deve garantire la prestazione sanitaria anche a coloro che non possano o non intendano installare App di telemedicina. La prestazione in tal caso sarà erogata nel rispetto delle disposizioni e dei protocolli adottati per assicurare il rispetto delle misure di protezione individuale.

 

7) Quale è la base giuridica delle altre App, diverse da quelle di telemedicina, utilizzate per il contrasto al Covid 19?

 

Premesso che le App di tracciamento devono avere una adeguata base normativa e rispettare i criteri già definiti a livello nazionale, le App, volte a fornire servizi diversi dalla telemedicina o comunque non strettamente necessari alla cura (App divulgative; App per la raccolta di informazioni sullo stato di salute della popolazione di un dato territorio), che comportino il trattamento di dati personali, possono essere utilizzate, in linea generale, solo previo consenso libero, specifico, esplicito e informato dell’interessato (cfr. provvedimento del 7 marzo 2019 - doc. web n. 9091942).

 

8) Come devono essere configurate le App per assicurare il rispetto dei principi di privacy by design e privacy by default?

 

Le App devono trattare solamente i dati strettamente necessari a perseguire le finalità del trattamento evitando di raccogliere dati eccedenti (es. quelli relativi all’ubicazione del dispositivo mobile dell’utente) e limitandosi a richiedere permessi per l’accesso a funzionalità o informazioni presenti nel dispositivo, solo se indispensabili. Nell’ambito delle relative valutazioni di impatto sarà, inoltre, necessario valutare attentamente, tra l’altro, la liceità e i rischi derivanti dall’eventuale trasferimento di dati a terze parti (es. social login, notifiche push, ecc.), soprattutto se stabilite al di fuori dell’Unione Europea.

 

 

 

 

 

__________________________________________________________________________________

 

 

 

 

 

COVID-19: FAQs developed by the Italian data protection authority

 

 

 

 

 

 

FAQs - Data processing in health care in the context of the health emergency

 

1.  May dentists collect information on the patient’s state of health in relation to COVID-19?

 

All health professionals may collect the information they consider necessary as part of the care of their patients, including information linked to the presence of symptoms due to COVID-19. Like any other healthcare provider, dentists are also required to comply with the constantly evolving emergency provisions concerning measures to prevent and limit contagion from COVID-19.

 

This is without prejudice to the detection and collection of information on Coronavirus symptoms and of the information on the recent movements of each individual, which rest with healthcare professionals and the civil protection system, respectively, being the bodies responsible for ensuring compliance with the public health rules that were recently adopted.

 

2.  May a healthcare body e-mail information to persons under home confinement on the rules to be respected during the quarantine?

 

A healthcare body may indicate the rules to be followed by quarantined persons in the manner they consider most effective, while respecting the confidentiality of the data subjects. If emails are used to inform simultaneously all parties about the provisions they are required to comply with, the recipients’ addresses will have to be entered in the ‘Ccn’ field in order to avoid that all the recipients become aware of the e-mail addresses of the other quarantined persons.

 

3. Is it legitimate for a healthcare professional, when performing a test for COVID-19, to ask the patient about the identity of the virus-positive person with whom that patient has been in close contact?

 

Yes, as the public healthcare professional is required to trace back the close contacts of an individual tested positive to COVID-19 in order to determine the most appropriate containment measures.

 

4. May healthcare facilities create a call centre service to provide information to family members on the health of COVID-19 patients who are not able to communicate with their families?

 

Healthcare facilities may identify the arrangements they consider most appropriate and effective in accordance with the principle of accountability to provide health status information to family members of COVID-19 patients who are unable to communicate independently. In that context, the hospitalization facility may certainly provide a toll-free number in order to convey that information by also implementing appropriate measures to identify the persons who are in fact entitled to know the health status of a hospitalized family member.

 

5. In the event of the death of a COVID-19 positive patient, may healthcare facilities inform funeral services providers of the cause of death?

 

The provisions adopted in the course of the COVID-19 epidemiological emergency envisage that in cases of suspicion or evidence of death from COVID-19, funeral service operators must take special precautions - similar to those already in place for the death of persons with infectious and contagious diseases - in order to prevent further infection. Accordingly, the healthcare facility may well inform a funeral services provider about the COVID-19 positivity of an individual who deceased at that facility.

 

6. During the COVID-19 emergency, may the doctor send a prescription to the patient in order to avoid the need for that patient to collect the prescription at the clinic?

 

In order to avoid that citizens should collect prescriptions at the clinics of their doctors, the Civil Protection Order of 19 March 2020 provided that doctors would email or text prescriptions to their patients, or else communicate them by telephone.

 

If sent by e-mail, the prescription must be attached to the message and not included as a text in the body of the message itself.

 

In the case of communications by telephone or SMS-texting, it will be sufficient to provide the patient with the Electronic Prescription number.

 

7.  Can the prescription for the purchase of a medicine be sent directly to the pharmacist during the COVID-19 emergency?

 

Yes. A decree by the Ministry of Economic Affairs and Finance, issued after consulting with the Garante, provides that the patient who has received a prescription from his or her doctor by email, by SMS or by telephone may communicate it to the pharmacy in the same way.

 

The provisions adopted in the emergency period also enable the patient to delegate it to his/her doctor to send the prescription directly to the pharmacy, either by e-mail or through the system used to create the prescription.

 

8.  Is it permitted to disseminate the identification data of persons who tested positive to COVID-19 or were placed under home confinement?

 

The current rules prohibit the dissemination of data concerning health. This prohibition was not lifted by the emergency legislation related to the COVID-19 epidemiological emergency.

Therefore, healthcare bodies and any other public or private entity may not disseminate, via websites or other channels, the names of individuals found to be affected by COVID-19 or placed under home confinement for the purpose of containing the spread of the epidemics.

 

9. In the emergency period, may the body temperature of passengers at airports be taken?

 

Yes. The provisions adopted for the COVID-19 health emergency envisage the possibility of carrying out body temperature checks on all passengers of European and international flights arriving at Italian airports in order to identify the measures possibly required for the containment of the Coronavirus epidemics.

 

10. What aspects should be considered in promoting COVID-19 serological screening for workers belonging to risk groups such as healthcare professionals and law enforcement agencies?

 

COVID-19 serological screening may be promoted by the Preventive Medicine departments of each Region with regard to the categories considered to be at greater risk of contagion and spread of COVID-19. These include health care professionals and law enforcement agencies. The participation of these entities in the tests can only take place on a voluntary basis.

 

The results may be used by the healthcare facility that has carried out the test for the purpose of diagnosis and treatment of the data subject and to provide for the epidemiological containment measures laid down in the existing emergency legislation (e.g. home confinement), as well as for public health purposes by the regional Preventive Medicine department.

 

Such data processing operations should be kept separate from those carried out in connection with COVID-19 serological tests for the purposes of health and safety at work.

 

 

 

__________________________________________________

 

 

 


 

 FAQs - Data processing by public and private employers in the context of the health emergency

 

1.  May an employer take the body temperature of employees, users, suppliers, visitors and customers at the entrance of their premises?

 

In the current situation linked to the epidemiological emergency, a number of regulatory measures and subsequent guidance documents were adopted at a fast pace by the competent authorities in order to set out urgent measures for the containment and management of the epidemiological emergency. Accordingly, it was determined that an employer whose activities were not suspended was required to comply with the measures for the containment and management of the epidemiological emergency laid down in the MoU  to combat and control the spread of COVID-19 in working environments that was adopted jointly by the Government and workers’ representatives on 14 March 2020. (1)

 

In particular, the said MoU envisages the taking of the body temperature of employees for access to the premises of the organisation as part of the measures to combat the spread of the virus, which also apply to users, visitors and customers as well as to suppliers - where a separate access mode has not been envisaged for the latter.

 

Similar security protocols applying to non-deferrable public activities or to essential public services were  concluded by the Minister for Public Administration with the most representative trade unions in the public administration (such as the MoU on Preventive Measures and for the Safety of Public Employees in connection with the COVID-19 Health Emergency of 3 and 8 April 2020), on the grounds that the safety  measures laid down for the private sector were deemed to be consistent with the guidance already provided by the Minister.

 

Since the taking of the body temperature in real time, when associated with the data subject’s identity, is an instance of processing of personal data (Article 4(1), No (2), of Regulation (EU) 2016/679), it is not permitted to record the data relating to the body temperature found; conversely, it is permitted to record the fact that the threshold set out in the law is exceeded, and recording is also permitted whenever it is necessary to document the reasons for refusing access to the workplace - in compliance with the principle of ‘data minimisation’ (Article 5(1)(c) of the Regulation).

 

By contrast, where the body temperature is checked in customers (for example, in large department stores) or occasional visitors, it is not, as a rule, necessary to record the information on the reason for refusing  access even if the temperature is above the threshold indicated in the emergency legislation.

 

2. May an administrative body or a company require their employees to provide information, including through a self-declaration, on their possible exposure to the contagion from COVID-19 as a condition for access to the workplace?

 

Under the legislation on the protection of health and safety at work, the employee has a specific obligation to inform the employer of any situation of danger to health and safety at the workplace (Section 20 of Legislative Decree No 81 of 9 April 2008). In this connection, Directive No 1/2020 of the Minister for the Public Administration specifies that a civil servant and persons who work in whatever capacity in the public administration are bound to report that they come from or have been in contact with persons coming from a risk area. Within this framework, the employer may invite employees to do so, where necessary, through dedicated channels.

 

Among the measures to prevent and contain contagion employers are required to take based on the existing regulatory framework, there is the prohibition to access the workplace applying to those who have been in contact with COVID-19-positive individuals over the past 14 days or come from risk areas according to WHO indications. To this end, also in the light of the provisions adopted subsequently for the  containment of contagion (see the MoU referred to above as concluded on 14 March 2020 between the Government and workers’ representatives), a declaration regarding the above circumstances may also be requested from third parties such as visitors and users.

 

In any case, only the necessary, adequate and relevant data will have to be collected in relation to the prevention of the contagion from COVID-19 without requesting additional information about the COVID-19-positive person, the specific places visited or other details relating to that person’s private sphere.

 

3.  Is it possible to publish, on the official website, the contact details of the competent officials in order to enable the public to book services or visits at the given administrative body in the current epidemiological emergency?

 

The regulatory provisions for the containment and management of the epidemiological emergency and the operational guidelines provided by the competent bodies require that the presence of staff in the offices be limited, mainly through smart working arrangements. As regards the tasks which require attendance at the workplace, administrative bodies are to carry out activities that are strictly functional to the management of the emergency and those that are ‘non-deferrable’, also with regard to ‘external users’. Therefore, the reception of visitors or the direct provision of services to the public should take place by electronic means or in any case in such a way as to exclude or limit physical presence in the offices (e.g. via telephone or virtual assistance), or else by arranging timed accesses including by way of the booking of visits.

 

In compliance with data protection principles (Article 5 of Regulation (EU) 2016/679), the purpose of providing users with contact details for assistance or for reception at the offices can be pursued by publishing only the contact details of the relevant organisational units (telephone number and certified email address), and not those of the individual officials in charge. This is also in line with the publication requirements concerning the organisation of public administrations.

 

4. What processing of personal data in the workplace involves the appointed doctor?

 

The appointed doctor continues to be prohibited from informing the employer about the specific diseases affecting employees, including under emergency circumstances.

 

In the context of the emergency, the tasks related to the health surveillance of workers by the appointed  doctor, including the possibility of subjecting workers to special visits on account of the increased exposure to the risk of infection, are considered to be a general preventive measure and must be discharged in compliance with data protection principles and by respecting the hygiene measures set out in the guidance by the Ministry of Health (see also the MoU of 14 March 2020) (1).

 

In the context of the emergency, the appointed doctor cooperates with the employer and the workers’ representatives in order to propose COVID-19 governance measures and alerts the employer to ‘situations of particular fragility and current or past medical conditions of the employees’ as part of the relevant health surveillance tasks (see paragraph 12 of the said MoU).

 

In compliance with the provisions in the field of health surveillance and on personal data protection, the appointed doctor notifies the employer of those specific cases where an employee’s particular condition of fragility as also related to that employee’s health makes it advisable to assign him or her to tasks in areas less exposed to the risk of infection. To that end, it is not, however, necessary to inform the employer of the specific pathology affecting that employee.

 

In this context, the employer may, in compliance with data protection principles (see Article 5 of Regulation (EU) 2016/679), process the employees’ personal data only if it is legally prescribed or ordered by the competent bodies or else on specific notification by the appointed doctor in the performance of his or her health surveillance tasks.

 

5.  May an employer inform the workers’ representative for safety on the identity of the affected employees?

 

Employers may not, in the context of the adoption of protective measures and of their duties relating to the safety of workplaces, communicate the name(s) of the employee(s) infected by the virus, unless national law so permits.

 

Under the national legal framework, the employer has to inform the competent health authorities of the names of the personnel infected and to cooperate with them in identifying ‘close contacts’ in order to allow timely implementation of disease prevention measures.

 

On the other hand, such an information requirement is not provided for with regard to the workers’ representative for safety, nor do the tasks described above fall within that representative’s specific remit based on sector-specific legislation.

 

In the current epidemiological emergency, the workers’ representative for safety will have to continue to carry out his/her consultative, control and coordination tasks and cooperate with the appointed doctor and the employer - for example, by helping in the identification of the most appropriate prevention measures to protect workers’ health in the specific working environment; updating the risk assessment document; and verifying compliance with internal protocols.

 

Where the workers’ representative for safety becomes aware of information in discharging the relevant  duties — which information the representative usually processes in aggregate form, e.g., the information included in the risk assessment document — , he or she complies with data protection provisions if it is possible, even indirectly, to identify certain data subjects.

 

6. May an employer disclose the identity of an employee affected by COVID-19 to other workers?

 

No. With a view to the protection of the health of other workers, it is for the competent health authorities to inform the ‘close contacts’ of the diseased employee in order to implement the required prevention measures.

 

Conversely, the employer is required to provide the competent institutions and health authorities with the necessary information so that they can carry out the tasks and duties set out also in the emergency legislation adopted in connection with the current outbreak (see paragraph 12 of the MoU mentioned above).

 

Data concerning health may only be disclosed, whether externally or within the organization an employee or collaborator pertains to, if this is provided for in the law or ordered by the competent authorities on the basis of statutory powers - for example, solely for the prevention of contagion from COVID-19 and upon a request by the health authority for tracing back the ‘close contacts’ of a worker who tested positive for COVID-19.

 

In all cases the employer must take specific measures if persons affected by COVID-19 are present within the premises of the organization, relating to the cleaning and sanitising of the premises in accordance with the instructions given by the Ministry of Health (see point 4 of the MoU mentioned above).

 

7. May an employer require serological tests to be carried out by its staff?

 

Yes, but only if ordered by the appointed doctor and in compliance with the information provided by the health authorities, including reliability and appropriateness of those tests.

 

Only the appointed doctor, as a health professional, taking account of the general risk posed by COVID-19 and the specific health conditions of workers subject to health surveillance, may determine the need for particular clinical and biological tests and suggest specific diagnostic methods if this is considered useful to contain the spread of the virus and protect workers’ health (see paragraph 12 of the MoU between the Government and social partners updated on 24 April 2020).

 

The information relating to the worker’s diagnosis or family history may not be processed by the employer (for example, by consulting reports or test results), except in the cases expressly provided for by law. By contrast, the employer may process data relating to the assessment of suitability for the specific task and any requirements or restrictions the appointed doctor may lay down in terms of working conditions.

 

Visits and inspections, including for the purposes of assessing the employee’s return to work, must be carried out by the appointed doctor or other health personnel; in any case, the overarching prohibition against the employer’s carrying out diagnostic tests on employees will have to be complied with.

 

Workers are free to participate in the screening campaigns launched by the competent regional health authorities for COVID-19 serological tests, of which they may happen to be informed by their employer as involved by the local preventive medicine department in conveying, to its own employees, the invitation to join the campaign (see FAQ 10 - Data processing in health care in the context of the health emergency).

 

Employers may offer serological tests in public and private health facilities to their employees and also cover the relevant costs in whole or in part – for instance, through ad-hoc or expanded health insurance policies or through ad-hoc agreements with those facilities; however, they are not permitted to know the outcome of such tests.

 

8. May the employer process the personal data of an employee affected by or presenting symptoms from COVID-19?

 

Although, as a general rule, personal data relating to the specific conditions affecting workers may only be processed by health professionals (e.g. family doctors, specialists, appointed doctors) and not by the employer, the latter may, in some cases and in the context of the current epidemiological emergency, lawfully become aware of the identity of an employee affected by or presenting symptoms compatible with COVID-19.

 

This may be the case, in particular, when an employer is notified directly by the employee, who is obliged to inform the employer of any situation of danger to health and safety at the workplace. By the same token, the MoU between the Government and social partners updated on 24 April 2020 – to be complied with as required by the emergency legislation - lays down specific obligations for the employee to inform the employer when there are any conditions of danger such as signs of influenza (see also similar MoUs drawn up in the public domain and those relating to specific sectors, such as construction sites, transport and logistics). This also applies if the symptoms are detected upon entering the workplace or during the course of work (see MoU, e.g. paragraphs 1, 2 and 11). To that end, the employer may call on its employees to make such communications by facilitating the way they are conveyed, including through dedicated channels, taking account of its general obligation to protect workers’ bodily integrity in accordance with Section 2087 of the Civil Code and Legislative Decree No 81/2008 (see also FAQ No 2).

 

Additionally, an employer might become aware of a COVID-19 positivity situation that is established by the health authorities on the basis of a buccal/nasopharyngeal swab, as part of the cooperation the employer is required to provide to those authorities - also with the involvement of the appointed doctor - in order to track down any close contacts with other individuals in the employment context (see paragraph 11 of the MoU of 24 April 2020).

 

The employer may also be informed of a negative buccal/nasopharyngeal swab with a view to readmission to the workplace of any employee previously found to be COVID-19 positive - in accordance with the procedures laid down and the documentation issued by the competent preventive medicine department (see paragraphs 2 and 12 of the MoU of 24 April 2020). (1)

 

In the above cases the employer may accordingly process data relating to an employee’s COVID-19 symptoms or positivity for the purposes of ensuring health and safety at the workplace or fulfilling the obligations of cooperation with public health workers.

 

Conversely, an employer may not process data on a worker’s health and communicate the data to third parties in cases other than those set out in the law (see FAQs 5 and 6).

 

Pursuant to the legislation on health surveillance, which is not derogated from by the emergency legislation, an employer may not be informed of the outcome of the diagnostic tests ordered by the appointed doctor  including serological tests, which anyhow do not allow diagnosing the infection (see FAQ No 7).

 

When a swab test is ordered following the serological test in order to establish virus positivity, the employer will still be able to know the identity of the employee concerned in addition to the assessment by the appointed doctor regarding that employee’s unsuitability for work (see the MoU, paragraphs 1, 2, 11 and 12) in the aforementioned cases, of which a summary is provided below.

 

In the light of the current legal framework, an employer may accordingly process the personal data of an employee affected by or presenting symptoms from COVID-19 and may be informed of a COVID-19 positivity situation in the following cases:

 

- if the employer is informed directly by the employee;

 

- in so far as it is necessary in order to cooperate with health authorities; or

 

- with a view to readmission to the workplace of an employee who had been found to be COVID-19 positive.

 

 

 

(1)  As updated on 24 April 2020.

 

 

_____________________________________________

 

 

 

 

 

FAQs - Data processing by schools in the context of the health emergency

 

1.  Are schools required to obtain the consent of pupils/students, parents and teachers in order to implement distance learning?

 

No. Schools may process data, including special categories of data (1), relating to teachers, pupils/students (including minors), and parents as part of their institutional tasks and do not have to request the data subjects’ consent to the processing of such data, including in relation to distance learning as implemented following the suspension of face-to-face teaching in all schools. Moreover, consent as a rule is not an appropriate legal basis for the processing of data in the public domain and in the employment context.

 

2.  Do schools have to inform data subjects about the processing of personal data in distance learning?

 

Yes. Schools are required to ensure the transparency of processing by informing data subjects (pupils, students, parents and teachers), in a language easily understood by minors, in particular about the types of data and the way in which they are processed, the storage periods and any other processing operations. They must also specify that the objectives pursued are limited exclusively to the provision of distance learning, on the basis of the same conditions as and with guarantees similar to those in place for traditional teaching.

 

3.  May a school disclose to pupils' families the identities of relatives of pupils who tested positive to COVID-19?

 

It is the responsibility of the competent health authorities to inform the close contacts of the infected individuals in order to implement the required preventive measures. A school is required to provide the competent institutions with the necessary information, so that they can trace back the chain of contacts for the infected individuals; in other respects, schools are expected to implement the sanitation measures that were recently provided for.

 

4. May schools hold meetings of teaching staff via video conference?

 

As a result of the suspension of face-to-face teaching activities and meetings of collegiate bodies, arrangements have been made for distance learning and smart working with regard to administrative services. For the same reasons linked to the emergency situation, and taking account of the guidance provided by the Minister for Public Administration and the Ministry of Education, any meeting within the scope of non-deferrable activities must take place by using electronic means.

 

The Garante has already provided some guidance to schools to make informed choices about the platforms to be used, on the basis of the safeguards offered by the providers, in view of the specific risks also to  teachers’ personal data.

 

(1) I.e., data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, genetic or biometric data, data concerning health or a person’s sex life or sexual orientation.

 

 

 

_________________________________________

 

 

 

 

 

FAQs - Data processing in clinical trials and medical research in the context of the COVID-19 health emergency

 

1.  What is the legal basis for the processing of personal data also concerning health in the field of clinical trials of medicinal products for the epidemiological emergency from COVID-19?

 

Sponsors and testing centres may process personal data, also concerning the health of COVID-19 patients, to carry out clinical trials of medicinal products (such as investigational clinical studies on medicinal products, phase I, II, III and IV, observational studies on medicinal products and compassionate therapeutic use programmes), insofar as they are strictly necessary to combat and study the ongoing pandemic, on the basis of the data subjects’ consent or by relying on another legal basis pursuant to Article 9 (2) of the Regulation, in accordance with Union or national law, for reasons of significant public interest, for reasons of public interest in the area of public health and for the purposes of scientific research (Article 9 (2), letters  (a), (g), (i) and (j) of the Regulation).

 

2. What should be done by sponsors and testing centres if it is impossible to inform data subjects?

 

When, on account of particular and substantiated reasons, informing the data subjects proves impossible or involves a disproportionate effort or is likely to seriously impair the achievement of the objectives of the research, and it is therefore not possible to acquire the data subjects’ consent for the processing of their  personal data, the controllers are required, where possible, to obtain such consent, after providing the appropriate information, from the persons who have legal authority over those data subjects, or from a close relative, a member of their family, a cohabitee or, in the absence thereof, the manager of the facility where the data subject is staying. This is based on an analogy with the provisions of point 4.11.2 of the requirements relating to the processing of genetic data as contained in Annex 4 to the Garante’s order laying down the requirements for the processing of special categories of data, Web Doc  No 9124510.

 

Where, for specific and substantiated reasons, it is not possible to obtain informed consent for the processing of personal data, also from third parties, or where doing so risks seriously undermining the successful outcome of the research – e.g. when processing data relating to deceased patients or patients in intensive care units -, the data controllers intending to process personal data exclusively in connection with clinical trials and the compassionate use of medicinal products for human use with a view to the treatment and prevention of COVID-19 are not required, under the legislation relating to the current  emergency situation, to submit their research project and the associated impact assessment for the prior consultation of the Garante as referred to in Section 110 of the Italian data protection Code.

 

3. Should IRCCS (i.e., hospitalization and research institutes) obtain the data subjects’ consent for the processing of personal data also concerning health within the framework of their medical research relating to COVID-19 that is funded by the Ministry of Health?

 

On the basis of the legislation enacted in the emergency situation, the Ministry of Health issued a call for tenders, on 1 April 2020, addressed to IRCCS regarding medical research projects aimed at better  understanding the COVID-19 epidemics, contributing to more efficient clinical management of infected patients, and improving the capabilities and effectiveness of the treatments available to the National Health Service.

 

Personal data also concerning health may be processed by the IRCCS that are awarded the funds of the above call, in the context of research aimed at combating the pandemics, without the data subjects’ consent as they are inherent in the significant public interest functions committed, inter alia, to the entities belonging to  the National Health Service. Accordingly, those IRCSS that process personal data in the context of medical research funded by the Ministry do not have to comply with the requirements laid down in Section 110 of the Italian data protection Code.

 

g-menu Portlet