Privacy e Covid19: l’IFPDT indica la base legale per il trattamento dei dati personali da parte dei gestori di strutture accessibili al pubblico e degli organizzatori di manifestazioni.
Tra gli strumenti adottati per il contrasto alla diffusione dell’epidemia da Covid19, la Confederazione Elvetica ha adottato un sistema di tracciamento dei contagi, che coinvolga oltre alle autorità pubbliche, soggetti privati.
Tale sistema di tracciamento richiede, a tali soggetti, il trattamento di alcuni dati personali degli individui che entrano nelle loro strutture accessibili al pubblico o che partecipano alle manifestazioni da questi organizzate. Essi si trovano quindi ad agire in qualità di titolari del trattamento ed a gestire i relativi adempimenti previsti dalla LPD in termini di informazione, modalità di raccolta e gestione dei dati personali.
Sul punto, l’Incaricato Federale per la Protezione dei Dati Personali (IFPDP) ha fornito alcuni utili chiarimenti sugli elementi fondamentali del trattamento di dati personali (tra cui la relativa base legale). Cerchiamo di chiarire meglio i concetti espressi dall’IFPDP e di capire quali adempimenti dovrà adottare concretamente il titolare del trattamento.
Cosa si intende per base legale
Il capitolo dedicato alle disposizioni speciali per il trattamento di dati personali da parte di organi federali della legge sulla Protezione dei Dati (LPD) dice che “gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale”.
Per base legale, si intende che il trattamento dei dati personali è lecito e possibile soltanto se è previsto da una legge federale o cantonale, secondo le modalità ed all’interno dei limiti da queste stesse previsti.
In particolare, secondo la LPD, il trattamento è lecito:
- quando si basa su una legge in senso formale (ossia: una legge che preveda espressamente al suo interno un determinato trattamento di dati personali)
- quando è necessario per adempiere ad un compito stabilito all’interno di una legge, nonostante non sia formalmente previsto da tale legge
- quando rientra all’interno di una delle eccezioni previste dalla LPD (ad esempio: consenso dell’interessato, oppure quando il trattamento sia necessario per proteggere la vita o l’integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole)
La legge elvetica può stabilire che, in aggiunta agli organi federali, anche soggetti privati siano tenuti a svolgere alcuni trattamenti di dati fondati su una base legale. La stessa legge prevede modalità e limiti che il titolare dovrà seguire nel corso del trattamento.
Differenza con il Regolamento (UE) n. 20167679 (GDPR)
Per dare maggiore chiarezza ai titolari del trattamento, a cui è richiesto di trattare dati personali in forza di una base legale ai sensi del diritto svizzero, è interessante fare un breve confronto tra la LPD ed il GDPR.
Come noto, infatti, la legge svizzera sulla protezione dei dati personali del 2020 ha ripreso in larga parte dal GDPR la propria struttura e contenuto; ad esempio, il rispetto di obblighi di legge (ossia l’equivalente europeo della base legale ai sensi del diritto svizzero).
Nel GDPR, la base giuridica del trattamento dei dati rientra tra le informazioni che vanno date obbligatoriamente all’interessato del trattamento, da parte di ciascun titolare, sia esso privato o pubblico. Diversamente, nella LPD, questa informazione non rientra tra gli obblighi informativi del titolare del trattamento, che non è ad esempio tenuto ad indicare all’interessato se il trattamento si basa sulla necessità di dare esecuzione ad un contratto con l’interessato oppure sul suo legittimo interesse, oppure su un obbligo di legge a cui egli soggiace.
Lo stesso vale anche con riferimento al Registro dei Trattamenti: nel GDPR il titolare è tenuto ad indicare la base giuridica di ciascun trattamento, mentre nella LPD tale informazione non è richiesta.
Privacy e COVID19: la base legale indicata dall’IFPDP
L’IFPDP ha affermato che la base legale per il trattamento dei dati personali a fini di prevenzione e contenimento del virus Covid19, all’interno del territorio elvetico, è “l’Ordinanza sui Provvedimenti per Combattere l’epidemia di COVID19 nella Situazione Particolare”, meglio nota come “Ordinanza COVID-19 Situazione Particolare”, emanata dal Consiglio federale svizzero il 19 giugno 2020.
Per quanto riguarda i soggetti privati, l’ordinanza prevede che i gestori di strutture accessibili al pubblico, compresi gli istituti di formazione, e gli organizzatori di manifestazioni che, a causa del tipo di attività svolta, o delle circostanze non possano garantire il mantenimento della distanza di sicurezza interpersonale, sono tenuti alla registrazione dei dati di contatto delle persone presenti nelle proprie strutture o alle manifestazioni organizzate.
All’interno dell’ordinanza è previsto che il titolare possa raccogliere i soli dati identificativi e di contatto degli interessati, allo scopo di consentire, da parte delle competenti autorità, l’identificazione e la comunicazione del rischio di un possibile contagio, alle persone che si siano trovate a contatto con un c.d. caso sospetto.
L’ordinanza lascia liberi i titolari del trattamento di determinare la modalità con cui registrare i soggetti che accedono ai propri locali e manifestazioni organizzate. Ad esempio, è ammesso l’utilizzo di applicazioni da installare su dispositivi mobili (smartphone), sempre che tali applicazioni rispettino le disposizioni in materia di protezione dei dati personali.
Tuttavia, il titolare non potrà adottare soltanto una modalità di registrazione digitale. Infatti, l’IFPDP precisa che la registrazione dovrà coinvolgere anche le persone che non portano con sé uno smartphone, con la conseguenza che il titolare dovrà predisporre anche altri mezzi per raccogliere i dati di contatto (ad esempio gli elenchi cartacei).
Il perimetro del trattamento
L’Ordinanza COVID-19 Situazione Particolare individua il perimetro del trattamento dei dati personali oggetto di registrazione, nei seguenti termini:
- dati personali raccolti: nome, cognome, domicilio e numero di telefono dell’interessato (in caso di famiglie, l’ordinanza ritiene sufficiente la registrazione anche di un solo componente);
- scopo: come anticipato, scopo del trattamento è il contenimento dell’epidemia da Covid19, mediante tracciamento dei contagi (contact tracing);
- conservazione dei dati: 14 giorni dalla loro raccolta. Decorso tale termine, i dati saranno cancellati;
- destinatari dei dati: le autorità sanitarie competenti che, in caso di accertata positività al virus di un soggetto presente nella struttura o alla manifestazione, contatteranno gli altri soggetti registrati.
Per quanto riguarda la riservatezza e la sicurezza dei dati raccolti, l’IFPDP precisa la responsabilità del trattamento è in capo al titolare. Tale responsabilità non è limitata dall’utilizzo di strumenti di proprietà di terzi (ad esempio, le applicazioni per smartphone) o di soggetti esterni (società/personale in outsourcing). Pertanto, anche in tale eventualità, i titolari devono avere cura di rispettare quanto previsto dall’Ordinanza COVID-19 Situazione Particolare (ed eventualmente dall’ulteriore normativa cantonale) in termini di dati raccolti, scopo, conservazione e cancellazione.
Sempre secondo l’IFPDP, al titolare è concesso di perseguire finalità di trattamento proprie ed ulteriori, rispetto a quanto indicato nell’ordinanza. Tuttavia, in questo caso, la registrazione di ulteriori dati o il loro utilizzo per scopi diversi dal contact tracing, come l’invio di comunicazioni commerciali (ad esempio: SMS, newsletter, pubblicità online), è possibile soltanto con il consenso degli interessati.
In tal caso il titolare dovrà informare adeguatamente gli interessati di questo trattamento ulteriore, avendo cura di raccogliere il loro consenso espresso prima dell’inizio del trattamento (quindi, ad esempio, prima dell’invio di comunicazioni commerciali). L’IFPDP precisa che in tale evenienza gli interessati devono avere il diritto di opporsi a tale trattamento ulteriore, in ogni momento, senza subire svantaggi.
Aspetti pratici
Per quanto attiene lo scopo previsto dall’Ordinanza COVID-19 Situazione Particolare, sarà importante per il titolare verificare che i dati siano raccolti nel rispetto della normativa, ossia che vengano raccolti i soli dati di contatto dell’interessato (in caso di nucleo familiare, saranno sufficienti i dati di un solo componente), che sia rispettato il termine di conservazione previsto di 14 giorni, oltre ad adottare una procedura per assicurare la cancellazione di tali dati, una volta decorso il termine.
In particolare tale procedura dovrà prevedere quali saranno le risorse interne alla propria organizzazione dedicate alla registrazione degli interessati. Esse andranno formate e dovranno ricevere specifiche istruzioni (specialmente in termini di dati che andranno raccolti presso l’interessato). Nel caso in cui si ricorra a soggetti esterni alla propria organizzazione (ad esempio, fornitori di app per smartphone), sarà importante individuare quello più adatto e gestire il relativo contratto di nomina a responsabile. Si raccomanda di verificare che il fornitore offra adeguate garanzie in termini di misure di sicurezza e di conservazione dei dati raccolti.
Qualora si intendano riutilizzare i dati raccolti per ulteriori e proprie finalità, che si fondino sul consenso dell’interessato (ad esempio, l’invio di comunicazioni commerciali), si suggerisce al titolare di dare informazioni chiare e trasparenti. A tale scopo, nell’informativa da dare all’’interessato, seppure non sia richiesto espressamente dalla LPD, si suggerisce di distinguere i trattamenti che si fondano sulla base legale dell’Ordinanza COVID-19 Situazione Particolare, da quelli che si fondano su consenso. In ottica di accountability, tali elementi contribuiranno a sostenere la raccolta di un consenso dell’interessato che sia libero, informato, specifico e granulare.
Si suggerisce, inoltre, al titolare di tenere traccia dei consensi raccolti e di mantenere separate le banche dati che si andranno a formare con la raccolta dei dati. Questo permetterà al titolare di rispettare in modo più agevole i termini di cancellazione previsti dalla normativa elvetica.
L’Ordinanza COVID-19 Situazione Particolare individua chiaramente il perimetro del trattamento dei dati personali previsto per la finalità di contact tracing (tipi di dati che devono essere raccolti, categorie di destinatari, termine di conservazione dei dati e loro successiva cancellazione).
Tuttavia, come indicato dall’IFPDP, tale ordinanza lascia al titolare certi margini di discrezionalità (e quindi di incertezza) circa la modalità di raccolta, il riutilizzo dei dati per altri scopi, la raccolta di ulteriori dati rispetto a quanto stabilito dal legislatore elvetico (ed eventualmente quello cantonale), le misure di sicurezza, ecc.
In questo contesto normativo, può risultare quindi utile al titolare trarre alcuni spunti dal GDPR, per la creazione di una procedura per la corretta registrazione e gestione dei dati degli interessati raccolti nel contesto del contrasto e della prevenzione dell’epidemia da Covid19.
In particolare, in ottica di accountability, si suggerisce al titolare: la corretta, completa e trasparente informazione dell’interessato (specialmente qualora il titolare decida di perseguire ulteriori finalità di trattamento, rispetto a quella prevista dall’ordinanza); l’individuazione dei soggetti interni alla propria organizzazione incaricati della registrazione dei soggetti presenti; in caso di outsourcing di tali attività, la scelta e la gestione del rapporto con gli eventuali fornitori che prestino garanzie adeguate in termini di riservatezza e di trasparenza (si pensi ad esempio ai fornitori di app per smartphone); il rispetto del termine di 14 giorni per la cancellazione dei dati raccolti; la verifica e l’adozione di misure di sicurezza per la conservazione e la trasmissione dei dati alle autorità federali competenti.
Articolo a cura di Gianfranco Valsecchi | Legal Compliance Officer
