Diritti interna

Doveri interna

Briciole di pane

Elementi Navigazione

ricerca avanzata

 

(pagina informativa in costante aggiornamento)

 

COVID-19: FAQs developed by the Italian data protection authority

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

__________________________________________________________________________

 

 

 

 

 

 

 

FAQ - Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria


 ENGLISH VERSION

 

1. I dentisti possono raccogliere informazioni sullo stato di salute del paziente in relazione al COVID 19?

 

Tutti i professionisti sanitari possono raccogliere le informazioni che ritengono necessarie nell’ambito delle attività di cura dei loro pazienti, ivi comprese quelle legate alla presenza di sintomi da COVID-19. Come ogni altro operatore sanitario, i dentisti sono inoltre tenuti a osservare le disposizioni emergenziali, in continua evoluzione, in merito alle misure di profilassi volte a prevenire e a limitare il contagio da COVID-19.

 

Resta fermo che l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano invece agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

 

2. L’azienda sanitaria può inviare via e-mail, ai soggetti in isolamento domiciliare, informazioni sulle regole da rispettare durante la quarantena?

 

L’azienda può indicare le regole che i soggetti in isolamento devono seguire durante il periodo di quarantena con le modalità che ritiene più efficaci, nel rispetto della riservatezza degli interessati. Nel caso in cui utilizzi la posta elettronica per comunicare contemporaneamente a tutti i soggetti le disposizioni che sono tenuti a osservare, dovrà avere cura di inserire l’indirizzo dei destinatari dell’e-mail nel campo denominato “copia conoscenza nascosta” (ccn), al fine di evitare che tutti i destinatari della predetta comunicazione vengano a conoscenza dell’indirizzo e-mail degli altri soggetti posti in isolamento.

 

3. É lecito che l’operatore sanitario, durante l’esecuzione di un tampone per COVID 19, chieda al paziente l’identità della persona positiva con cui ha avuto un contatto stretto?

 

Si, in quanto l'operatore di sanità pubblica, al fine di determinare le misure di contenimento di contagio più opportune, è chiamato a ricostruire la filiera dei contati stretti del soggetto risultato positivo al COVID 19.

 

4. Le strutture sanitarie possono creare un servizio di call center per dare informazioni ai familiari sullo stato di salute dei pazienti COVID 19 che non sono in grado di comunicare con loro?

 

Le strutture sanitarie, in conformità al principio di accountability, possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni sullo stato di salute ai familiari dei pazienti COVID 19 che non sono in grado di comunicare in via autonoma. In tale contesto, nulla osta che la struttura di ricovero dedichi un numero verde per fornire tali informazioni, prevedendo adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

 

5. Nel caso di decesso di un paziente COVID 19 positivo, le strutture sanitarie possono comunicare ai servizi funebri la causa del decesso?

 

Le disposizioni adottate nel corso dell’emergenza epidemiologica da COVID 19, hanno previsto che nei casi di sospetto o accertato decesso da Covid 19, gli operatori del servizio funebre debbano adottare particolari precauzioni, analoghe a quelle già previste per il decesso di persone con malattie infettive e diffusive, al fine di evitare l’ulteriore contagio. Nulla osta, pertanto, che, a tal fine, la struttura sanitaria ove è avvenuto il decesso comunichi all’impresa funebre lo stato di positività al COVID 19 del defunto.

 

6. Durante l’emergenza da COVID 19, il medico può inviare all’assistito la ricetta relativa alle prescrizioni dei farmaci evitando che l’interessato debba ritirala in studio?

 

Al fine di evitare che i cittadini si rechino presso gli studi dei medici di base per ritirare le ricette, l’ordinanza della protezione civile del 19 marzo 2020 ha previsto che il medico possa trasmettere all’assistito la ricetta per posta elettronica, via SMS o telefonicamente.

 

Nel caso di invio tramite e-mail, il promemoria della ricetta sarà allegato al messaggio e non inserito come testo nel corpo del messaggio stesso.

 

Nel caso di comunicazione telefonica o tramite sms, sarà invece sufficiente comunicare all’assistito il solo Numero della Ricetta Elettronica prescritta.

 

7.  Durante l’emergenza da COVID 19, è possibile inviare direttamente al farmacista la ricetta per l’acquisto di un farmaco?

 

Si, con decreto del Ministero dell’economia e delle finanze, sentito il Garante, è stato previsto che l’assistito che abbia ricevuto dal medico gli estremi della ricetta per posta elettronica, via sms o telefonicamente, possa comunicarla, con le stesse modalità, alla farmacia.

 

Le disposizioni adottate nel periodo emergenziale prevedono anche che l’assistito possa delegare il medico a inviare la ricetta direttamente alla farmacia, tramite posta elettronica o attraverso lo stesso sistema che genera la ricetta.

 

8.  È possibile diffondere i dati identificativi delle persone positive al COVID 19 o che sono state poste in isolamento domiciliare?

 

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.

 

Pertanto, le aziende sanitarie e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.

 

9. Nel periodo emergenziale, può essere rilevata la temperatura corporea dei passeggeri negli aeroporti?

 

Si, le disposizioni adottate per l’emergenza sanitaria da COVID 19, hanno previsto la possibilità di effettuare controlli della temperatura corporea a tutti i passeggeri di voli europei e internazionali in arrivo negli aeroporti italiani, al fine di individuare le eventuali misure necessarie ai fini del contenimento dell’Epidemia da Coronavirus.

 

10.  Quali aspetti bisogna considerare nel promuovere screening sierologici per il Covid-19 nei confronti di lavoratori appartenenti a categorie a rischio come, ad esempio, gli operatori sanitari e le forze dell’ordine? (VEDI ANCHE: FAQ - Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria - in particolare n. 7)

 

Gli screening sierologici per il Covid-19 possono essere promossi dai Dipartimenti di prevenzione della regione nei confronti delle categorie di soggetti considerati a maggior rischio di contagio e diffusione del Covid-19. Tra tali categorie di soggetti vi sono gli operatori sanitarie e le forze dell’ordine. La partecipazione di tali soggetti ai test può avvenire solo su base volontaria.

 

I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare), nonché per finalità di sanità pubblica da parte del dipartimento di prevenzione regionale.

 

Tali trattamenti di dati devono essere tenuti distinti da quelli effettuati nell’ambito dell’effettuazione di test sierologici per Covid-19 per finalità di sicurezza e salute sul luogo di lavoro.


 

 

________________________________________

 

 

 

FAQ - Trattamento dati da parte degli enti locali nell’ambito dell’emergenza sanitaria

 

1. Come devono essere trattati i dati dei soggetti destinatari dei servizi comunali di supporto alla popolazione attivati per l’emergenza Covid-19?

 

I servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando, con i canali ritenuti più efficaci, le modalità di attivazione del servizio (ad es. numero verde), senza raccogliere, dunque, gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti.

 

In primo luogo, infatti, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi, poiché tali esigenze potrebbero, ad esempio, essere assolte dalla famiglia o da altre reti sociali scelte dall’interessato.

 

In secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio o non possono usufruire di reti familiari o sociali (anziani, invalidi, malati cronici).

 

2. Come devono essere trattati i dati dei soggetti destinatari dei contributi economici comunali?

 

Ai fini dell’attribuzione delle risorse economiche ai soggetti che versano in condizioni di difficoltà economiche nel contesto dell’emergenza Covid-19, i Comuni hanno predisposto dei moduli con cui autocertificare il possesso dei requisiti previsti per ottenere le misure di sostegno. Tali moduli devono prevedere la raccolta dei soli dati indispensabili alla verifica dei presupposti (es. reddito, fruizione di altri aiuti, composizione nucleo familiare, etc.) e non anche informazioni non necessarie o non pertinenti per ottenere il beneficio richiesto.

 

Con specifico riferimento ai cd. buoni spesa, alcuni bandi rivolti agli esercizi commerciali prevedono il rimborso del valore nominale dei buoni a fronte della presentazione, da parte degli esercenti, di adeguata documentazione giustificativa (es. buoni spesa in originale e/o gli scontrini fiscali per cui il rimborso è richiesto).

 

In tale ipotesi, piuttosto che presentare direttamente gli scontrini con i dettagli di spesa, si ritiene preferibile che l’esercizio commerciale presenti un’autodichiarazione sulla conformità dell’utilizzo dei buoni di cui chiede il rimborso, con contestuale impegno a conservare gli scontrini per gli eventuali controlli che il Comune riterrà di effettuare. In tal modo si evita la produzione sistematica di documentazione di dettaglio che, associata all’identità del beneficiario del buono, comporterebbe la comunicazione di dati personali, anche di natura particolare (ad es. acquisti di prodotti alimentari specifici, etc.).

 

3. Possono essere pubblicati i dati relativi ai destinatari di contributi di natura economica o di altri benefici (es. buoni spesa)?

 

La normativa sulla trasparenza stabilisce l’obbligo di pubblicazione, fra l’altro, dei nominativi dei soggetti destinatari in generale di benefici economici superiori a mille euro nel corso dell’anno solare (quali sovvenzioni, contributi, sussidi o altri vantaggi economici), fermo restando il divieto di diffusione di nel caso in cui da tali dati “sia possibile ricavare informazioni relative allo stato di salute [o] alla situazione di disagio economico-sociale degli interessati" (art. 26, comma 4, d. lgs. n. 33/2013).

 

Si tratta di un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali degli interessati, al fine di evitare che soggetti in condizioni disagiate – economiche o sociali – soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi della particolare situazione personale.

 

Nel caso di benefici economici superiori a mille euro nell’anno solare, spetta all’ente locale, titolare del trattamento, valutare quando le informazioni di contesto rivelino dati sulla salute ovvero l’esistenza di un disagio economico o sociale dell’interessato e non procedere, di conseguenza, alla pubblicazione di dati o altre informazioni idonee ad identificarlo. In ogni caso, nel rispetto del principio di minimizzazione dei dati rispetto alla finalità perseguita, non risulta giustificato pubblicare dati quali, l’indirizzo di abitazione o la residenza, il codice fiscale, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell’equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc.

 

4. È possibile diffondere i dati identificativi delle persone positive al Covid-19 o che sono state poste in isolamento?

 

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.

 

Pertanto, le aziende sanitarie, le prefetture, i comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia o per il contrasto di “fake news”.

 

5. Chi può trattare i dati dei soggetti in isolamento per verificare il rispetto di tale misura?

 

L’attività di sorveglianza sanitaria dei soggetti posti in isolamento domiciliare consiste in un intervento di sanità pubblica, che deve essere realizzato da operatori sanitari in grado di valutare, in relazione alle condizioni di salute del soggetto, gli interventi sanitari più opportuni. Le disposizioni d’urgenza adottate pongono infatti in capo a “l'operatore di sanità pubblica” l’obbligo di provvedere “a contattare, quotidianamente, per avere notizie sulle condizioni di salute, la persona in sorveglianza” (art. 3, comma 6, d.p.c.m. 8 marzo 2020; art. 2, comma 6, d.p.c.m. 4 marzo u.s.).

 

Le prefetture, che hanno il compito di controllare che la misura dell’isolamento domiciliare sia effettivamente rispettata, possono avvalersi delle forze di polizia, deputate -eventualmente- anche ad adottare i provvedimenti sanzionatori connessi al mancato rispetto delle predette misure di isolamento.

 

Le forze di polizia locale possono venire a conoscenza dei dati identificativi dei soggetti posti in isolamento, qualora la Prefettura deleghi loro la predetta attività di controllo. In tal caso, la Prefettura potrà comunicare alla polizia locale insistente sul territorio comunale, i dati dei soggetti nei cui confronti ha delegato l’attività di controllo sul rispetto della misura di isolamento domiciliare.

 

6. Quali dati personali possono essere trattati dalla polizia locale nell’ambito dei controlli su strada?

 

La verifica sull’attuazione delle misure emergenziali è assicurata dalle Prefetture avvalendosi delle Forze di polizia, tra le quali la polizia locale (artt. 3 e 5 l. n. 65/1986).

 

Il personale di polizia locale preposto ai controlli su strada deve anche assicurare il rispetto delle restrizioni dei movimenti delle persone sul territorio, effettuando il controllo delle autodichiarazioni, rese dai cittadini, provvedendo anche all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative o, nei casi più gravi, alla trasmissione delle notizie di reato alle autorità competenti.

 

Gli accertamenti sulla veridicità delle dichiarazioni - rese ai sensi degli artt. 46 e 47 del d.P.R. 445/2000 sul modello ministeriale - riguardano anche la dichiarazione di “non essere sottoposto alla misura della quarantena ovvero di non essere risultato positivo al COVID-19” e devono poter essere effettuati, da tutte le forze di polizia, sui dati aggiornati tenuti dalle Aziende sanitarie competenti.

 

In ragione della gravità delle conseguenze che possono derivare agli interessati dall’esito di tali verifiche, della temporaneità delle misure di isolamento e della variabilità delle stesse (per es. a seguito di tampone negativo), tali controlli devono essere necessariamente effettuati con modalità che garantiscano l’esattezza dei dati e il loro aggiornamento. Devono, pertanto, essere implementate soluzioni che consentano a tutte le Forze di polizia la possibilità di interrogare puntualmente i predetti elenchi con riferimento alla presenza della misura dell’isolamento domiciliare nei confronti del soggetto controllato. Nulla osta che tale interrogazione sia fatta presso ciascuna delle strutture sanitarie dislocate sul territorio ovvero, in modo coordinato, presso un ufficio a ciò deputato della Prefettura.

 

7. Quali dati personali possono essere trattati per la gestione del servizio di raccolta domiciliare dei rifiuti?

 

Qualora i Comuni intendano istituire un servizio di raccolta domiciliare dei rifiuti prodotti dai soggetti posti in isolamento domiciliare, come suggerito dall’Istituto Superiore della Sanità (rapporto n. 3/2020), tale servizio può essere attivato a richiesta degli interessati.

 

Tale modalità consentirebbe di raggiungere la finalità di raccolta domiciliare, limitando i rischi connessi alla circolazione degli elenchi contenenti dati sulla salute degli interessati, oltre che all’interno degli enti locali, anche tra i soggetti privati che erogano i servizi comunali, nonché quelli relativi al loro mancato aggiornamento.

 

Tale soluzione lascia, tra l’altro, agli interessati la facoltà di decidere se usufruire di tale servizio, oppure continuare a provvedere personalmente al conferimento dei rifiuti (per il tramite delle reti familiari), nel rispetto delle raccomandazioni fornite dall’Istituto Superiore di Sanità.

 

 

 

__________________________________________________

 

 

 

 

FAQ -Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria

 

 ENGLISH VERSION

 

1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

 

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020.(1)

 

In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).

 

Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.

 

In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

 

Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

 

2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

 

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.

 

Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).

 

In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

 

3. È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

 

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.

 

Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

 

4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

 

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

 

Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)(1).

 

Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo).

 

Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

 

In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

 

5. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

 

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.

 

In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

 

Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

 

Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l'individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).

 

Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

 

6. Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

 

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

 

Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).

 

La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).

 

Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).


7. Il datore di lavoro può richiedere l’effettuazione di test sierologici ai propri dipendenti?

 

Si, ma solo se disposta dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.

 

Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici  e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020).

 

Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro. 

 

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

 

Resta fermo che i lavoratori possono liberamente aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19, di cui siano venuti a conoscenza anche per il tramite del datore di lavoro, coinvolto dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti (cfr. FAQ n. 10 - Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria).

 

I datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame.

 

 

(1) Come aggiornato in data 24 aprile 2020

 

 

_____________________________________________

 

 

 

FAQ - Trattamento dati nel contesto scolastico nell’ambito dell’emergenza sanitaria

 

 ENGLISH VERSION

 

1) Le scuole sono tenute ad acquisire il consenso di alunni, genitori e insegnanti per attivare la didattica a distanza?

 

No. Gli istituti scolastici possono trattare i dati, anche relativi a categorie particolari(1) di insegnanti, alunni (anche minorenni), e genitori nell’ambito delle proprie finalità istituzionali e non devono chiedere agli interessati di prestare il consenso al trattamento dei propri dati, neanche in relazione alla didattica a distanza, attivata a seguito della sospensione delle attività formative delle scuole di ogni ordine e grado. Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro.

 

2) Gli Istituti scolastici devono informare gli interessati in merito ai trattamenti dei dati personali effettuati nelle attività di didattica a distanza?

 

Sì. Gli istituti scolastici sono tenuti ad assicurare la trasparenza del trattamento informando, con un linguaggio facilmente comprensibile anche dai minori, gli interessati (alunni, studenti, genitori e docenti) in merito, in particolare, ai tipi di dati e alle modalità di trattamento degli stessi, ai tempi di conservazione e alle altre operazioni di trattamento, specificando che le finalità perseguite sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

 

3) La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al COVID 19?

 

Spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. L’istituto scolastico è tenuto a fornire alle istituzioni competenti, le informazioni necessarie, affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

 

4) Le scuole possono svolgere riunioni dei docenti in video conferenza?

 

Per effetto della sospensione dell’attività didattica e delle riunioni degli organi collegiali in presenza, sono state attivate modalità di didattica a distanza e il ricorso al lavoro agile con riguardo ai servizi amministrativi. Per le medesime ragioni legate all’emergenza, anche alla luce delle indicazioni del Ministro per la pubblica amministrazione e del Ministero dell’Istruzione, ogni forma di riunione nell’ambito delle attività indifferibili deve essere svolta con modalità telematiche.

 

Il Garante ha già fornito alcune indicazioni alle scuole per orientare scelte consapevoli riguardo alle piattaforme da impiegare, sulla base delle garanzie offerte dai fornitori, in considerazione degli specifici rischi anche per i dati personali dei docenti.

 

(1) Vale a dire i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale.

 

 

_________________________________________

 

 

 

 

FAQ - Trattamento dati nel contesto delle sperimentazioni cliniche e delle ricerche mediche nell’ambito dell’emergenza sanitaria da covid-19

 

 ENGLISH VERSION

 

1. Qual è la base giuridica per il trattamento dei dati personali anche relativi alla salute nell’ambito delle sperimentazioni cliniche dei medicinali per l’emergenza epidemiologica da COVID-19?

 

I promotori e i centri di sperimentazione possono trattare dati personali, anche relativi alla salute dei pazienti affetti da Covid-19, per lo svolgimento di sperimentazioni cliniche dei medicinali (quali ad esempio gli studi clinici sperimentali sui medicinali di fase I, II, III e IV, gli studi osservazionali sui farmaci e i programmi di uso terapeutico compassionevole), strettamente necessari per contrastare e studiare la pandemia in corso, sulla base del consenso degli interessati, ovvero di un altro presupposto giuridico, ai sensi dell’art. 9, par. 2 del Regolamento, in conformità al diritto dell’Unione o nazionale per motivi di interesse pubblico rilevante, per motivi di interesse pubblico nel settore della sanità pubblica e per fini di ricerca scientifica (art. 9, par. 2, lett. a), g), i) e j) del Regolamento).

 

2.  Quali adempimenti devono svolgere i promotori e i centri di sperimentazione laddove non sia possibile informare gli interessati?

 

Quando, a causa di particolari e comprovate ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato oppure rischia di pregiudicare gravemente il conseguimento delle finalità della ricerca e non è quindi possibile acquisire il consenso degli interessati al trattamento dei dati personali, i titolari del trattamento sono tenuti, laddove possibile, a raccogliere tale consenso, previa idonea informativa, presso chi esercita legalmente la potestà di questi ultimi, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato (in analogia con quanto previsto dal punto 4.11.2 delle prescrizioni relative al trattamento dei dati genetici, allegato 4 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, doc. web n. 9124510).

 

Qualora, per specifiche e comprovate ragioni, non sia possibile acquisire il consenso informato al trattamento dei dati personali, neanche presso terzi, ovvero ciò rischi di pregiudicare gravemente il buon esito della ricerca (si pensi al trattamento di dati riferiti a pazienti defunti o ricoverati in reparti di terapia intensiva), i titolari che intendano svolgere trattamenti di dati personali che riguardano esclusivamente studi sperimentali e gli usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19, non sono obbligati, in forza della normativa relativa alla presente fase emergenziale, alla preventiva sottoposizione del progetto di ricerca, nonché della relativa valutazione di impatto, alla consultazione preventiva del Garante di cui all’art. 110 del Codice in materia di protezione dei dati personali.

 

3. Gli Istituti di ricovero e cura a carattere scientifico (IRCSS) devono acquisire il consenso degli interessati per il trattamento dei dati personali anche relativi alla salute nell’ambito delle ricerche mediche relative al Covid-19 finanziate dal Ministero della salute?

 

Il Ministero della salute, sulla base della normativa emanata in fase emergenziale, il 1° aprile 2020, ha adottato un bando per invitare gli Istituti di ricovero e cura a carattere scientifico (IRCCS) a presentare progetti di ricerca medica, finanziati attraverso i fondi per la ricerca corrente degli IRCCS, finalizzati a migliorare la comprensione dell’epidemia Covid-19, contribuire a una gestione clinica più efficiente dei pazienti infetti e migliorare le possibilità e l’efficacia dei trattamenti terapeutici a disposizione delle strutture del Servizio Sanitario Nazionale.

 

I trattamenti di dati personali anche relativi alla salute svolti dagli IRCCS beneficiari dei predetti fondi, nell’ambito delle ricerche finalizzate al contrasto della pandemia, possono essere svolti senza il consenso degli interessati, in quanto ineriscono alle funzioni di rilevante interesse pubblico attribuite, tra gli altri, anche ai soggetti del Servizio sanitario nazionale. I predetti IRCSS che trattano dati personali nell’ambito delle ricerche mediche finanziate dal Ministero non devono, pertanto, effettuare gli adempimenti previsti dall’art. 110 del Codice.

 

 

 

 

 

__________________________________________________________________________________

 

 

 

 

 

COVID-19: FAQs developed by the Italian data protection authority

 

 

 

 

 

 

FAQs - Data processing in health care in the context of the health emergency

 

1.  May dentists collect information on the patient’s state of health in relation to COVID-19?

 

All health professionals may collect the information they consider necessary as part of the care of their patients, including information linked to the presence of symptoms due to COVID-19. Like any other healthcare provider, dentists are also required to comply with the constantly evolving emergency provisions concerning measures to prevent and limit contagion from COVID-19.

 

This is without prejudice to the detection and collection of information on Coronavirus symptoms and of the information on the recent movements of each individual, which rest with healthcare professionals and the civil protection system, respectively, being the bodies responsible for ensuring compliance with the public health rules that were recently adopted.

 

2.  May a healthcare body e-mail information to persons under home confinement on the rules to be respected during the quarantine?

 

A healthcare body may indicate the rules to be followed by quarantined persons in the manner they consider most effective, while respecting the confidentiality of the data subjects. If emails are used to inform simultaneously all parties about the provisions they are required to comply with, the recipients’ addresses will have to be entered in the ‘Ccn’ field in order to avoid that all the recipients become aware of the e-mail addresses of the other quarantined persons.

 

3. Is it legitimate for a healthcare professional, when performing a test for COVID-19, to ask the patient about the identity of the virus-positive person with whom that patient has been in close contact?

 

Yes, as the public healthcare professional is required to trace back the close contacts of an individual tested positive to COVID-19 in order to determine the most appropriate containment measures.

 

4. May healthcare facilities create a call centre service to provide information to family members on the health of COVID-19 patients who are not able to communicate with their families?

 

Healthcare facilities may identify the arrangements they consider most appropriate and effective in accordance with the principle of accountability to provide health status information to family members of COVID-19 patients who are unable to communicate independently. In that context, the hospitalization facility may certainly provide a toll-free number in order to convey that information by also implementing appropriate measures to identify the persons who are in fact entitled to know the health status of a hospitalized family member.

 

5. In the event of the death of a COVID-19 positive patient, may healthcare facilities inform funeral services providers of the cause of death?

 

The provisions adopted in the course of the COVID-19 epidemiological emergency envisage that in cases of suspicion or evidence of death from COVID-19, funeral service operators must take special precautions - similar to those already in place for the death of persons with infectious and contagious diseases - in order to prevent further infection. Accordingly, the healthcare facility may well inform a funeral services provider about the COVID-19 positivity of an individual who deceased at that facility.

 

6. During the COVID-19 emergency, may the doctor send a prescription to the patient in order to avoid the need for that patient to collect the prescription at the clinic?

 

In order to avoid that citizens should collect prescriptions at the clinics of their doctors, the Civil Protection Order of 19 March 2020 provided that doctors would email or text prescriptions to their patients, or else communicate them by telephone.

 

If sent by e-mail, the prescription must be attached to the message and not included as a text in the body of the message itself.

 

In the case of communications by telephone or SMS-texting, it will be sufficient to provide the patient with the Electronic Prescription number.

 

7.  Can the prescription for the purchase of a medicine be sent directly to the pharmacist during the COVID-19 emergency?

 

Yes. A decree by the Ministry of Economic Affairs and Finance, issued after consulting with the Garante, provides that the patient who has received a prescription from his or her doctor by email, by SMS or by telephone may communicate it to the pharmacy in the same way.

 

The provisions adopted in the emergency period also enable the patient to delegate it to his/her doctor to send the prescription directly to the pharmacy, either by e-mail or through the system used to create the prescription.

 

8.  Is it permitted to disseminate the identification data of persons who tested positive to COVID-19 or were placed under home confinement?

 

The current rules prohibit the dissemination of data concerning health. This prohibition was not lifted by the emergency legislation related to the COVID-19 epidemiological emergency.

Therefore, healthcare bodies and any other public or private entity may not disseminate, via websites or other channels, the names of individuals found to be affected by COVID-19 or placed under home confinement for the purpose of containing the spread of the epidemics.

 

9. In the emergency period, may the body temperature of passengers at airports be taken?

 

Yes. The provisions adopted for the COVID-19 health emergency envisage the possibility of carrying out body temperature checks on all passengers of European and international flights arriving at Italian airports in order to identify the measures possibly required for the containment of the Coronavirus epidemics.

 

10. What aspects should be considered in promoting COVID-19 serological screening for workers belonging to risk groups such as healthcare professionals and law enforcement agencies?

 

COVID-19 serological screening may be promoted by the Preventive Medicine departments of each Region with regard to the categories considered to be at greater risk of contagion and spread of COVID-19. These include health care professionals and law enforcement agencies. The participation of these entities in the tests can only take place on a voluntary basis.

 

The results may be used by the healthcare facility that has carried out the test for the purpose of diagnosis and treatment of the data subject and to provide for the epidemiological containment measures laid down in the existing emergency legislation (e.g. home confinement), as well as for public health purposes by the regional Preventive Medicine department.

 

Such data processing operations should be kept separate from those carried out in connection with COVID-19 serological tests for the purposes of health and safety at work.

 

 

 

__________________________________________________

 

 

 


 

 FAQs - Data processing by public and private employers in the context of the health emergency

 

1.  May an employer take the body temperature of employees, users, suppliers, visitors and customers at the entrance of their premises?

 

In the current situation linked to the epidemiological emergency, a number of regulatory measures and subsequent guidance documents were adopted at a fast pace by the competent authorities in order to set out urgent measures for the containment and management of the epidemiological emergency. Accordingly, it was determined that an employer whose activities were not suspended was required to comply with the measures for the containment and management of the epidemiological emergency laid down in the MoU  to combat and control the spread of COVID-19 in working environments that was adopted jointly by the Government and workers’ representatives on 14 March 2020. (1)

 

In particular, the said MoU envisages the taking of the body temperature of employees for access to the premises of the organisation as part of the measures to combat the spread of the virus, which also apply to users, visitors and customers as well as to suppliers - where a separate access mode has not been envisaged for the latter.

 

Similar security protocols applying to non-deferrable public activities or to essential public services were  concluded by the Minister for Public Administration with the most representative trade unions in the public administration (such as the MoU on Preventive Measures and for the Safety of Public Employees in connection with the COVID-19 Health Emergency of 3 and 8 April 2020), on the grounds that the safety  measures laid down for the private sector were deemed to be consistent with the guidance already provided by the Minister.

 

Since the taking of the body temperature in real time, when associated with the data subject’s identity, is an instance of processing of personal data (Article 4(1), No (2), of Regulation (EU) 2016/679), it is not permitted to record the data relating to the body temperature found; conversely, it is permitted to record the fact that the threshold set out in the law is exceeded, and recording is also permitted whenever it is necessary to document the reasons for refusing access to the workplace - in compliance with the principle of ‘data minimisation’ (Article 5(1)(c) of the Regulation).

 

By contrast, where the body temperature is checked in customers (for example, in large department stores) or occasional visitors, it is not, as a rule, necessary to record the information on the reason for refusing  access even if the temperature is above the threshold indicated in the emergency legislation.

 

2. May an administrative body or a company require their employees to provide information, including through a self-declaration, on their possible exposure to the contagion from COVID-19 as a condition for access to the workplace?

 

Under the legislation on the protection of health and safety at work, the employee has a specific obligation to inform the employer of any situation of danger to health and safety at the workplace (Section 20 of Legislative Decree No 81 of 9 April 2008). In this connection, Directive No 1/2020 of the Minister for the Public Administration specifies that a civil servant and persons who work in whatever capacity in the public administration are bound to report that they come from or have been in contact with persons coming from a risk area. Within this framework, the employer may invite employees to do so, where necessary, through dedicated channels.

 

Among the measures to prevent and contain contagion employers are required to take based on the existing regulatory framework, there is the prohibition to access the workplace applying to those who have been in contact with COVID-19-positive individuals over the past 14 days or come from risk areas according to WHO indications. To this end, also in the light of the provisions adopted subsequently for the  containment of contagion (see the MoU referred to above as concluded on 14 March 2020 between the Government and workers’ representatives), a declaration regarding the above circumstances may also be requested from third parties such as visitors and users.

 

In any case, only the necessary, adequate and relevant data will have to be collected in relation to the prevention of the contagion from COVID-19 without requesting additional information about the COVID-19-positive person, the specific places visited or other details relating to that person’s private sphere.

 

3.  Is it possible to publish, on the official website, the contact details of the competent officials in order to enable the public to book services or visits at the given administrative body in the current epidemiological emergency?

 

The regulatory provisions for the containment and management of the epidemiological emergency and the operational guidelines provided by the competent bodies require that the presence of staff in the offices be limited, mainly through smart working arrangements. As regards the tasks which require attendance at the workplace, administrative bodies are to carry out activities that are strictly functional to the management of the emergency and those that are ‘non-deferrable’, also with regard to ‘external users’. Therefore, the reception of visitors or the direct provision of services to the public should take place by electronic means or in any case in such a way as to exclude or limit physical presence in the offices (e.g. via telephone or virtual assistance), or else by arranging timed accesses including by way of the booking of visits.

 

In compliance with data protection principles (Article 5 of Regulation (EU) 2016/679), the purpose of providing users with contact details for assistance or for reception at the offices can be pursued by publishing only the contact details of the relevant organisational units (telephone number and certified email address), and not those of the individual officials in charge. This is also in line with the publication requirements concerning the organisation of public administrations.

 

4. What processing of personal data in the workplace involves the appointed doctor?

 

The appointed doctor continues to be prohibited from informing the employer about the specific diseases affecting employees, including under emergency circumstances.

 

In the context of the emergency, the tasks related to the health surveillance of workers by the appointed  doctor, including the possibility of subjecting workers to special visits on account of the increased exposure to the risk of infection, are considered to be a general preventive measure and must be discharged in compliance with data protection principles and by respecting the hygiene measures set out in the guidance by the Ministry of Health (see also the MoU of 14 March 2020) (1).

 

In the context of the emergency, the appointed doctor cooperates with the employer and the workers’ representatives in order to propose COVID-19 governance measures and alerts the employer to ‘situations of particular fragility and current or past medical conditions of the employees’ as part of the relevant health surveillance tasks (see paragraph 12 of the said MoU).

 

In compliance with the provisions in the field of health surveillance and on personal data protection, the appointed doctor notifies the employer of those specific cases where an employee’s particular condition of fragility as also related to that employee’s health makes it advisable to assign him or her to tasks in areas less exposed to the risk of infection. To that end, it is not, however, necessary to inform the employer of the specific pathology affecting that employee.

 

In this context, the employer may, in compliance with data protection principles (see Article 5 of Regulation (EU) 2016/679), process the employees’ personal data only if it is legally prescribed or ordered by the competent bodies or else on specific notification by the appointed doctor in the performance of his or her health surveillance tasks.

 

5.  May an employer inform the workers’ representative for safety on the identity of the affected employees?

 

Employers may not, in the context of the adoption of protective measures and of their duties relating to the safety of workplaces, communicate the name(s) of the employee(s) infected by the virus, unless national law so permits.

 

Under the national legal framework, the employer has to inform the competent health authorities of the names of the personnel infected and to cooperate with them in identifying ‘close contacts’ in order to allow timely implementation of disease prevention measures.

 

On the other hand, such an information requirement is not provided for with regard to the workers’ representative for safety, nor do the tasks described above fall within that representative’s specific remit based on sector-specific legislation.

 

In the current epidemiological emergency, the workers’ representative for safety will have to continue to carry out his/her consultative, control and coordination tasks and cooperate with the appointed doctor and the employer - for example, by helping in the identification of the most appropriate prevention measures to protect workers’ health in the specific working environment; updating the risk assessment document; and verifying compliance with internal protocols.

 

Where the workers’ representative for safety becomes aware of information in discharging the relevant  duties — which information the representative usually processes in aggregate form, e.g., the information included in the risk assessment document — , he or she complies with data protection provisions if it is possible, even indirectly, to identify certain data subjects.

 

6. May an employer disclose the identity of an employee affected by COVID-19 to other workers?

 

No. With a view to the protection of the health of other workers, it is for the competent health authorities to inform the ‘close contacts’ of the diseased employee in order to implement the required prevention measures.

 

Conversely, the employer is required to provide the competent institutions and health authorities with the necessary information so that they can carry out the tasks and duties set out also in the emergency legislation adopted in connection with the current outbreak (see paragraph 12 of the MoU mentioned above).

 

Data concerning health may only be disclosed, whether externally or within the organization an employee or collaborator pertains to, if this is provided for in the law or ordered by the competent authorities on the basis of statutory powers - for example, solely for the prevention of contagion from COVID-19 and upon a request by the health authority for tracing back the ‘close contacts’ of a worker who tested positive for COVID-19.

 

In all cases the employer must take specific measures if persons affected by COVID-19 are present within the premises of the organization, relating to the cleaning and sanitising of the premises in accordance with the instructions given by the Ministry of Health (see point 4 of the MoU mentioned above).

 

(1)  As updated on 24 April 2020.

 

 

_____________________________________________

 

 

 

 

 

FAQs - Data processing by schools in the context of the health emergency

 

1.  Are schools required to obtain the consent of pupils/students, parents and teachers in order to implement distance learning?

 

No. Schools may process data, including special categories of data (1), relating to teachers, pupils/students (including minors), and parents as part of their institutional tasks and do not have to request the data subjects’ consent to the processing of such data, including in relation to distance learning as implemented following the suspension of face-to-face teaching in all schools. Moreover, consent as a rule is not an appropriate legal basis for the processing of data in the public domain and in the employment context.

 

2.  Do schools have to inform data subjects about the processing of personal data in distance learning?

 

Yes. Schools are required to ensure the transparency of processing by informing data subjects (pupils, students, parents and teachers), in a language easily understood by minors, in particular about the types of data and the way in which they are processed, the storage periods and any other processing operations. They must also specify that the objectives pursued are limited exclusively to the provision of distance learning, on the basis of the same conditions as and with guarantees similar to those in place for traditional teaching.

 

3.  May a school disclose to pupils' families the identities of relatives of pupils who tested positive to COVID-19?

 

It is the responsibility of the competent health authorities to inform the close contacts of the infected individuals in order to implement the required preventive measures. A school is required to provide the competent institutions with the necessary information, so that they can trace back the chain of contacts for the infected individuals; in other respects, schools are expected to implement the sanitation measures that were recently provided for.

 

4. May schools hold meetings of teaching staff via video conference?

 

As a result of the suspension of face-to-face teaching activities and meetings of collegiate bodies, arrangements have been made for distance learning and smart working with regard to administrative services. For the same reasons linked to the emergency situation, and taking account of the guidance provided by the Minister for Public Administration and the Ministry of Education, any meeting within the scope of non-deferrable activities must take place by using electronic means.

 

The Garante has already provided some guidance to schools to make informed choices about the platforms to be used, on the basis of the safeguards offered by the providers, in view of the specific risks also to  teachers’ personal data.

 

(1) I.e., data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, genetic or biometric data, data concerning health or a person’s sex life or sexual orientation.

 

 

 

_________________________________________

 

 

 

 

 

FAQs - Data processing in clinical trials and medical research in the context of the COVID-19 health emergency

 

1.  What is the legal basis for the processing of personal data also concerning health in the field of clinical trials of medicinal products for the epidemiological emergency from COVID-19?

 

Sponsors and testing centres may process personal data, also concerning the health of COVID-19 patients, to carry out clinical trials of medicinal products (such as investigational clinical studies on medicinal products, phase I, II, III and IV, observational studies on medicinal products and compassionate therapeutic use programmes), insofar as they are strictly necessary to combat and study the ongoing pandemic, on the basis of the data subjects’ consent or by relying on another legal basis pursuant to Article 9 (2) of the Regulation, in accordance with Union or national law, for reasons of significant public interest, for reasons of public interest in the area of public health and for the purposes of scientific research (Article 9 (2), letters  (a), (g), (i) and (j) of the Regulation).

 

2. What should be done by sponsors and testing centres if it is impossible to inform data subjects?

 

When, on account of particular and substantiated reasons, informing the data subjects proves impossible or involves a disproportionate effort or is likely to seriously impair the achievement of the objectives of the research, and it is therefore not possible to acquire the data subjects’ consent for the processing of their  personal data, the controllers are required, where possible, to obtain such consent, after providing the appropriate information, from the persons who have legal authority over those data subjects, or from a close relative, a member of their family, a cohabitee or, in the absence thereof, the manager of the facility where the data subject is staying. This is based on an analogy with the provisions of point 4.11.2 of the requirements relating to the processing of genetic data as contained in Annex 4 to the Garante’s order laying down the requirements for the processing of special categories of data, Web Doc  No 9124510.

 

Where, for specific and substantiated reasons, it is not possible to obtain informed consent for the processing of personal data, also from third parties, or where doing so risks seriously undermining the successful outcome of the research – e.g. when processing data relating to deceased patients or patients in intensive care units -, the data controllers intending to process personal data exclusively in connection with clinical trials and the compassionate use of medicinal products for human use with a view to the treatment and prevention of COVID-19 are not required, under the legislation relating to the current  emergency situation, to submit their research project and the associated impact assessment for the prior consultation of the Garante as referred to in Section 110 of the Italian data protection Code.

 

3. Should IRCCS (i.e., hospitalization and research institutes) obtain the data subjects’ consent for the processing of personal data also concerning health within the framework of their medical research relating to COVID-19 that is funded by the Ministry of Health?

 

On the basis of the legislation enacted in the emergency situation, the Ministry of Health issued a call for tenders, on 1 April 2020, addressed to IRCCS regarding medical research projects aimed at better  understanding the COVID-19 epidemics, contributing to more efficient clinical management of infected patients, and improving the capabilities and effectiveness of the treatments available to the National Health Service.

 

Personal data also concerning health may be processed by the IRCCS that are awarded the funds of the above call, in the context of research aimed at combating the pandemics, without the data subjects’ consent as they are inherent in the significant public interest functions committed, inter alia, to the entities belonging to  the National Health Service. Accordingly, those IRCSS that process personal data in the context of medical research funded by the Ministry do not have to comply with the requirements laid down in Section 110 of the Italian data protection Code.