Glossario della Privacy

Si chiamerà Immuni l’applicazione italiana per il tracciamento del contagio del coronavirus durante la Fase 2. L’utilizzo dovrà essere su base volontaria e mediante tecnologia Bluetooth, in conformità con le indicazioni fornite al riguardo sia dal Garante della Privacy italiano sia dall’EDPB (European Data Protection Board).

Le metodologie di funzionamento sono ancora da confermare in modo definitivo ma il meccanismo che da ultimo si tende ad implementare è quello più garantista del c.d. modello “decentralizzato”. I cittadini potranno scaricare l’”app” sul proprio telefono cellulare. Una volta scaricata, l’”app” crea un registro dei contatti nel quale sono contenute tre informazioni: 1 - quali sono i dispositivi con i quali si è entrati in contatto (via bluetooth) 2 - a che distanza 3 - per quanto tempo è durato il contatto Le informazioni verranno conservate sul dispositivo. Si creerà un ID anonimo che i cellulari si scambieranno ogni volta che entreranno in contatto (via buetooth). L’utilizzatore risultato positivo al test Covid-19 potrà dare il consenso al trattamento dei dati conservati sul proprio dispositivo in modo da ricostruire la cronologia degli eventuali contatti. L’operatore sanitario permette al paziente di caricare su un server questi identificativi anonimi con cui il suo smartphone è entrato in contatto. Il server manda a tutti i dispositivi cellulari dotati di app la lista dei codici. Se l’app riconosce il proprio in quella lista invierà una notifica di alert per avvertire dell’esistenza di pericolo di contagio invitando a seguire i protocolli (che verranno indicati nel messaggio) anche prima che si sviluppino eventuali sintomi.

In attesa del vaccino e di ulteriori risultati scientifici, certamente ricorrere all’utilizzo della tecnologia è opportuno. L’applicazione dovrebbe riuscire a tracciare la rete di contatti. La tecnologia consente però solamente di anticipare l’isolamento di soggetti potenzialmente portatori del virus. L’efficacia della tecnologia non potrà prescindere dall’utilizzo degli strumenti diagnostici in grado di accertare la presenza del virus e/o dell’immunità e da adeguate cautele di distanziamento sociale. Eventuali obblighi in tale senso dovranno essere normativamente regolamentati. Inoltre, sempre ai fini di ottenere un risultato efficace, sembra appaia necessario che l’applicazione Immuni sia utilizzata da almeno il 60% della popolazione.

No, il Garante Privacy italiano ha espressamente escluso l‘utilizzo di tecnologie di contact tracing basate su alcuni modelli orientali che sembrano prevedere, l’adesione obbligatoria e non volontaria e/o il tracciamento dei contagiati per la verifica dell’obbligo di rispettare la quarantena o, ancora, connesso alla possibilità di ricevere servizi. Il Garante ha, al riguardo, espressamente evidenziato come il consenso al trattamento dei dati, “se prefigurato come presupposto necessario, ad esempio per usufruire di determinati servizi o beni (si pensi al sistema cinese)”, non potrebbe ritenersi effettivamente valido “perché indebitamente e inevitabilmente condizionato” .

Ancora non vi sono informazioni e soluzioni certe, ma si sente parlare moltissimo della possibilità di fornire un braccialetto, utile soprattutto per la popolazione meno abituata all’utilizzo della tecnologia. Anche in questo caso, però, dovrà rimanere facoltativa la scelta di indossarlo o meno.

Sì, è possibile stabilire un obbligo di analisi ma solo con idonee disposizioni di legge. Il bene “salute”, come necessità di avere una comunità sana, deve essere infatti salvaguardato e protetto in quanto espressione del diritto alla salute del singolo nell’interesse dalla collettività.

Sì, ma i risultati degli esami debbono essere anonimi e non devono essere conservati. Fino a quando permarrà il rischio di epidemia ciascuno stato, attraverso idonee disposizioni legislative, potrà continuare, anche nella c.d. Fase 2, a mantenere in essere misure di contenimento. Tali misure dovranno essere congrue e proporzionate, nonché confortate dalle indicazioni che sicuramente saranno espresse dell’Organizzazione Mondiale della Sanità e dalle Autorità Garanti della Privacy dei singoli stati. E’ auspicabile che vi sia una uniformità di provvedimenti a livello europeo (e mondiale), così da garantire effettivamente e contemporaneamente lo stesso livello di protezione.

Sì, il datore di lavoro può richiedere le analisi o anche altro tipo di misura collegata al mantenimento della sicurezza sul luogo di lavoro (es: tracciamento contatti). A meno che non vi siano provvedimenti statali in proposito, i dipendenti potranno aderire alla richiesta su base volontaria e sempre previa informativa sulle finalità e modalità di trattamento dei dati.

L’Italia, le cui Autorità attualmente svolgono indagini sulla base delle indicazioni fornite dai contagiati si sta indirizzando verso la possibilità di tracciare, su base volontaria, i contatti del soggetto poi risultato positivo con acquisizione, a ritroso, di nformazioni sull’interazione con altri soggetti tramite varie tecniche: celle telefoniche, gps, bluetooth (contact tracing). Il Garante privacy italiano ha evidenziato che sarebbero apprezzabili quelle tecnologie che mantengono il diario dei contatti esclusivamente nella disponibilità dell’utente, sul suo dispositivo, per il solo periodo massimo di potenziale incubazione. Qualora l’utente risultasse positivo dovrebbe fornire l’identificativo del proprio dispositivo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse della tecnologia di contact tracing. Queste ultime riceverebbero poi un alert di potenziale contagio, con l’invito a sottoporsi ad accertamenti. Il Garante Privacy italiano ha raccomandato che le informazioni vengano gestite a livello pubblico e non privato. Diversi tipi di verifica volti ad imporre il tracciamento anche per accertare, ad esempio, l’obbligo di permanenza domiciliare in caso di positività appaiono, per ora, esclusi.

Le disposizioni in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19 stabiliscono il divieto assoluto di mobilità delle persone sottoposte alla misura della quarantena o che sono risultate positive al virus. A beneficio del superiore interesse alla salute della collettività (art. 32 della Costituzione) le autorità statali possono limitare i diritti costituzionalmente garantiti quali anche la libertà di circolazione, espatrio, culto, riunione, istruzione e libera iniziativa economica. La violazione della c.d. “quarantena obbligatoria” è sanzionata a livello penale.

Sì. L’ENAC (Ente Nazionale per l’Aviazione Civile), allo scopo di garantire il contenimento dell'emergenza epidemiologica, ha autorizzato le forze dell’ordine a utilizzare droni per il monitoraggio degli spostamenti dei cittadini sul territorio comunale. Tale autorizzazione, inizialmente concessa sino al 3 aprile 2020, è stata prorogata dall'ENAC al 28 aprile 2020. E' prevedibile che possa essere ancora rinnovata per le stesse finalità. Tenuto conto della limitazione della privacy che questo utilizzo comporta, occorrerà rendere una chiara informazione ai cittadini sulla decisione di monitorare alcune aree interessate tramite droni, senza interventi “a sorpresa". Tale informazione dovrà altresì dettagliare modalità e finalità del trattamento, data retention e sistemi di tutela degli interessati.

Ai datori di lavoro è richiesto di assumere misure rivolte a rendere quanto più sicuri possibili i luoghi di lavoro. Le indicazioni contenute nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” devono essere seguite ed attuate all’interno di ogni realtà professionale e produttiva. Nel protocollo sono previste procedure di sicurezza anti-contagio di natura informativa, di controllo degli accessi, di sanificazione dei luoghi di lavoro, di tutela dei dipendenti, incluso il monitoraggio delle loro condizioni di salute e la riorganizzazione delle attività lavorative anche attraverso il ricorso allo smart working. È bene predisporre e seguire un protocollo aziendale che declini nel concreto dell’attività imprenditoriale le misure di sicurezza adottate, nonché affiggere, nei locali di lavoro, schede informative sulle misure adottate e sulle regole da seguire.

Sì: l’adozione delle misure di sicurezza comporta un trattamento dei dati personali (ad esempio la rilevazione della temperatura, le informazioni utili ai fini di ricostruire gli spostamenti prima della ripresa dell’attività lavorativa). Occorrerà, pertanto, rilasciare ai dipendenti complete e trasparenti informative privacy e predisporre idonee misure di sicurezza ai fini del rispetto della normativa.

Anche durante la Fase 2 è consigliato fare ricorso a un’organizzazione più agile possibile, ricorrendo allo smart working, o, comunque, al lavoro a distanza e incentivando l’utilizzo di ferie e permessi retribuiti. Nel rispetto degli istituti contrattuali, si potranno utilizzare gli ammortizzatori sociali disponibili. La quarantena va considerata malattia anche senza necessità di certificato medico. Al fine di adeguarsi alle misure di sicurezza, è opportuno procedere ad una riorganizzazione interna rivolta ad evitare forme di raggruppamento, mantenere il distanziamento e utilizzare dispositivi di protezione individuale certificati (mascherine). Nella gestione dell’entrata e dell’uscita dei lavoratori devono essere favoriti orari scaglionati e, laddove possibile, prevedere una porta di entrata ed una di uscita dedicate. E’ bene procedere a rimodulazioni delle postazioni di lavoro, utilizzando anche spazi più grandi (ad esempio sale riunioni) e organizzare la presenza sui luoghi di lavoro attraverso turnazioni. Sono sospese riunioni e corsi di formazione così come ogni evento che possa dare luogo ad un’aggregazione all’interno dei luoghi di lavoro. Devono essere ridotti al minimo gli spostamenti all’interno del luogo di lavoro. L’accesso alle zone comuni (come sale fumatori, spogliatoi, mense) deve essere contingentato e il tempo di permanenza negli stessi deve essere ridotto.

Occorre procedere a una valutazione integrata del rischio di possibile contagio da Covid-19 (in occasione di lavoro, di prossimità connessa ai processi lavorativi, nonchè dell’impatto connesso al rischio di aggregazione sociale anche verso “terzi”) e, quindi, aggiornare il documento di valutazione dei rischi aziendale. Il rischio di contagio da Covid-19 in occasione di lavoro può essere classificato secondo tre variabili: - Esposizione: la probabilità̀ di venire in contatto con fonti di contagio nello svolgimento delle specifiche attività̀ lavorative (es. settore sanitario, gestione dei rifiuti speciali, laboratori di ricerca, ecc.); - Prossimità̀: le caratteristiche intrinseche di svolgimento del lavoro che non permettono un sufficiente distanziamento sociale (es. specifici compiti in catene di montaggio) per parte del tempo di lavoro o per la quasi totalità̀; - Aggregazione: la tipologia di lavoro che prevede il contatto con altri soggetti oltre ai lavoratori dell’azienda (es. ristorazione, commercio al dettaglio, spettacolo, alberghiero, istruzione, ecc.). Tali profili di rischio possono assumere una diversa entità ma, allo stesso tempo, modularità in considerazione delle aree in cui operano gli insediamenti produttivi, delle modalità di organizzazione del lavoro e delle specifiche misure preventive adottate. Il “Documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio da SARS-CoV-2 nei luoghi di lavoro e strategie di prevenzione” predisposto dall’INAIL indica le modalità di valutazione del rischio illustrando in tabelle esemplificative le classi di rischio per alcuni dei principali settori lavorativi (attraverso i codici Ateco).

Il datore di lavoro deve osservare le norme di prevenzione e distanziamento. Pertanto, per gli ambienti dove operano più̀ lavoratori contemporaneamente, potranno essere trovate soluzioni innovative come ad esempio il riposizionamento delle postazioni di lavoro adeguatamente distanziate tra loro e l’introduzione di barriere separatorie (pannelli in plexiglass, mobilio, ecc.). Il “Documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio da SARS-CoV-2 nei luoghi di lavoro e strategie di prevenzione”, predisposto dall’INAIL, sottolinea che occorre mappare tutte le attività̀, “prevedendo di norma, per tutti i lavoratori che condividono spazi comuni, l’utilizzo di una mascherina chirurgica, come del resto normato dal DL n. 9 (art. 34) in combinato con il DL n. 18 (art 16 c. 1). La valutazione dei rischi nelle singole realtà aziendali è lo strumento adeguato per la determinazione di specifici anche in relazione al complesso dei rischi per la salute e sicurezza dei lavoratori”. In ogni caso, anche questo aspetto va valutato e studiato in sede di aggiornamento del documento di valutazione dei rischi aziendale.

In caso di contagio di un dipendente da Covid-19, il datore di lavoro può incorrere nella responsabilità penale per i reati di lesione personale gravi/gravissime (art. 590 c.p.) o di omicidio colposo (art. 589 c.p.) se il contagio è dipeso dalla mancata valutazione del rischio da infezione da Covid-19 ovvero dalla mancata predisposizione ed attuazione di procedure volte a prevenire il rischio di contagio. In questi casi, oltre al datore di lavoro e agli altri soggetti eventualmente responsabili, anche l’azienda potrebbe sanzionata ai sensi del D.lgs. n. 231/2001.

Sui lavoratori incombe il dovere di cooperare per garantire la sicurezza sui luoghi di lavoro. I lavoratori dovranno dunque segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. È imprescindibile mettere in atto un’incisiva ed efficace attività di informazione e formazione, con particolare riferimento al complesso delle misure adottate cui il personale deve attenersi nonché dare chiare indicazioni che evitino la circolazione di fake news e di comportamenti ostili (tipici della c.d. “caccia all’untore”). Pertanto, le principali fonti istituzionali di riferimento sono: - Ministero della Salute - Istituto Superiore di Sanità (ISS) - Istituto nazionale per l’assicurazione contro gli infortuni sul lavoro (INAIL) - Organizzazione Mondiale della Sanità (OMS) - Centro europeo per la prevenzione e il controllo delle malattie (ECDC) L’INAIL (“Documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio da SARS-CoV-2 nei luoghi di lavoro e strategie di prevenzione”) sottolinea la necessità di considerare che la percezione di questo rischio, anche per il grande impatto e la sua straordinarietà̀ ed eccezionalità̀, crea nei lavoratori una sensazione di insicurezza che può̀ anche agire sugli altri rischi. Quindi la corretta gestione del rischio, nonché́ la corretta comunicazione del rischio, unitamente a tutte le altre soluzioni adottate, possono creare un senso di consapevolezza e di adeguatezza delle misure poste in essere.

Nelle aree maggiormente colpite dal virus, l’autorità sanitaria competente può chiedere di eseguire accertamenti diagnostici preventivi (quali il tampone) per consentire il rientro sui luoghi di lavoro solo a chi è effettivamente guarito. L’ingresso in azienda di chi ha in precedenza contratto il virus, secondo le indicazioni del Protocollo di sicurezza nazionale rinnovato tra le parti sociali, dovrà essere preceduto da una comunicazione con oggetto la certificazione medica da cui risulti “l’avvenuta negativizzazione”.

No: la sorveglianza sanitaria periodica deve proseguire perché rappresenta un’ulteriore misura di prevenzione di carattere generale: sia perché può intercettare possibili casi e sintomi sospetti del contagio, sia per l’informazione e la formazione che il medico competente può fornire ai lavoratori per evitare la diffusione del contagio. Per il reintegro progressivo di lavoratori dopo l’infezione da Covid-19, il medico competente, previa presentazione di certificazione di avvenuta negativizzazione del tampone secondo le modalità̀ previste e rilasciata dal dipartimento di prevenzione territoriale di competenza, effettua la “visita medica precedente alla ripresa del lavoro, a seguito di assenza per motivi di salute di durata superiore ai sessanta giorni continuativi, al fine di verificare l’idoneità̀ alla mansione” (D. Lgs 81/08 e s.m.i, art. 41 c. 2 lett. e-ter), anche per valutare profili specifici di rischiosità̀ e comunque indipendentemente dalla durata dell’assenza per malattia, in deroga alla norma.

Ai fornitori e ai visitatori possono essere richieste le medesime informazioni e applicate le medesime misure derivanti dai protocolli di sicurezza anti-contagio predisposti in azienda per i lavoratori dipendenti. Naturalmente, per le informazioni rilasciate che comportino il trattamento dei dati occorre prestare attenzione alla relativa normativa. L’accesso di fornitori esterni potrà avvenire secondo modalità, percorsi e tempistiche previamente definite dall’azienda; per le attività di carico/scarico si dovrà rispettare il distanziamento. In caso di contagio di dipendenti di aziende terze (ad es. addetti alle pulizie, manutentori, vigilanti) che operano nello stesso sito, l’appaltatore dovrà immediatamente informare il committente e entrambi dovranno collaborare con l’autorità sanitaria per consentire l’individuazione della filiera del contatto. Tali misure sono necessarie anche al fine di garantire un corretto adeguamento alla normativa in materia di sicurezza sui luoghi di lavoro.

Sì: è necessario estendere le procedure previste in base al protocollo aziendale alle aziende in appalto che possono organizzare sedi e cantieri permanenti e provvisori all’interno dei siti e delle aree produttive. L’impresa committente è inoltre tenuta a dare all’appaltatrice completa informativa dei contenuti del protocollo aziendale ed è tenuta a vigilarne il rispetto delle disposizioni.

In questi casi è obbligatorio precludere l’accesso al dipendente ai luoghi aziendali. Questa possibilità deve essere oggetto dell’informativa che il datore di lavoro deve mettere a disposizione nell’ambito delle misure di sicurezza generali. Le persone in tale condizione saranno momentaneamente isolate e fornite di mascherine, non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede (ove presenti), ma dovranno contattare nel più̀ breve tempo possibile il proprio medico curante e seguire le sue indicazioni.

Il datore di lavoro deve assicurare la pulizia giornaliera e la sanificazione periodica dei locali, degli ambienti, delle postazioni (anche degli strumenti messi a disposizione), delle aree comuni e di svago. Il datore di lavoro deve mettere a disposizione dei dipendenti idonei mezzi detergenti e chiederne l’utilizzo. L’azienda può organizzare gli interventi periodici di sanificazione anche utilizzando gli ammortizzatori sociali. Con riferimento alle procedure di sanificazione e di igiene, il datore di lavoro deve seguire le regole del Ministero della Salute e delle autorità sanitarie. Considerati i doveri di igiene in capo anche ai dipendenti, è opportuno integrare il codice di condotta aziendale con la previsione delle misure di igiene personali prevedendo e graduando altresì la possibilità di sanzioni disciplinari per il mancato rispetto delle medesime. Al fine di sensibilizzare i dipendenti sulle misure da seguire, è necessario affiggere, in più̀ punti dell’azienda, schede che pubblicizzano le misure adottate e da seguire.

Il nominativo del contagiato o presunto tale non può essere comunicato agli altri dipendenti ai quali potrà farsi una comunicazione dove si indicherà che i dati del soggetto contagiato sono stati comunicati al servizio sanitario al fine di seguire il necessario protocollo e che i dipendenti dovranno attenersi alle indicazioni che verranno impartite dall’azienda – anche attraverso il competente servizio sanitario e di protezione civile – sia ai fini di individuare la “filiera” di contatti, sia ai fini di tutela sanitaria. Il Garante della Privacy ha emesso specifici provvedimenti al riguardo.

Le ferie vanno sempre concordate con il personale dipendente. Tuttavia, consultando sempre previamente le indicazioni del CCNL applicato in azienda e il contratto di lavoro individuale, si ricorda che le ferie devono rispondere anche ad una esigenza del datore di lavoro e che in questo momento, la fruizione è sollecitata dai provvedimenti adottati per contrastare l’emergenza.

No, non vi è un obbligo, ma i provvedimenti adottati per contrastare l’emergenza raccomandano che sia attuato il massimo utilizzo del lavoro agile e del lavoro a distanza, nei limiti, ovviamente, della tipologia di lavoro richiesto al dipendente e compatibilmente con le tecnologie adottate da ciascuna impresa. In questo periodo non sarà necessario l’accordo individuale. I lavoratori dipendenti con disabilità ai sensi dell’art. 3 della L. 104/92 – ovvero che abbiano nel proprio nucleo familiare una persona con disabilità ai sensi della stessa legge 104/92- hanno diritto di svolgere la prestazione di lavoro in modalità agile ai sensi dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, a condizione che essa sia compatibile con le caratteristiche della prestazione.

Sì: il datore di lavoro può richiedere le analisi o anche altro tipo di misura collegata al mantenimento della sicurezza sul luogo di lavoro (es: tracciamento contatti). A meno che non vi siano provvedimenti statali in proposito, i dipendenti potranno aderire alla richiesta su base volontaria e sempre previa informativa sulle finalità e modalità di trattamento dei dati.

Come indicato nella normativa dovrà attivare le seguenti misure: 1 - Mantenimento in tutte le attività del distanziamento interpersonale 2 - Garanzia di pulizia e igiene ambientale con frequenza almeno due volte giorno ed in funzione dell’orario di apertura 3 - Garanzia di adeguata aereazione naturale e ricambio d’aria 4 - Ampia disponibilità e accessibilità a sistemi per la disinfezione delle mani. In particolare, detti sistemi devono essere disponibili accanto a tastiere, schermi touch e sistemi di pagamento 5 - Utilizzo di mascherine nei luoghi o ambienti chiusi e, comunque, in tutte le possibili fasi lavorative laddove non sia possibile garantire il distanziamento interpersonale 6 - Uso dei guanti “usa e getta” nelle attività di acquisto, particolarmente per l’acquisto di alimenti e bevande 7 - Accessi regolamentati e scaglionati secondo le seguenti modalità: - attraverso ampliamento delle fasce orarie; - per locali fino a quaranta metri quadrati accesso solo di una persona alla volta, oltre a un massimo di due operatori; - per locali di dimensioni superiori a quelle di cui alla lettera b), accesso regolamentato in funzione degli spazi disponibili, differenziando, ove possibile, i percorsi di entrata e di uscita 8 - Adeguata informazione per garantire il distanziamento dei clienti in attesa di entrata.

Ai datori di lavoro, titolari di attività non rientranti tra quelle sospese, è raccomandato di assumere protocolli di sicurezza anti-­contagio di natura informativa, di controllo degli accessi, di sanificazione dei luoghi di lavoro e di tutela dei dipendenti, incluso il monitoraggio delle loro condizioni di salute. Per le informazioni rilasciate che comportino il trattamento dei dati occorre prestare attenzione al rispetto della relativa normativa.

Limitatamente al periodo della emergenza dovuta al COVID-­19, è consigliato fare ricorso a un’organizzazione più agiIe possibile, chiudendo i reparti aziendali diversi dalla produzione in senso stretto, ricorrendo allo smart working, o comunque al lavoro a distanza e incentivando I’utiIizzo di ferie e permessi retribuiti. Nel rispetto degli istituti contrattuali, si potranno utilizzare gli ammortizzatori sociali disponibili.Va sottolineato che la quarantena va considerata malattia anche senza necessità di certificato medico.

Sì. Il decreto Cura Italia prevede I’erogazione aIIe imprese, tramite Invitalia, di contributi per I’acquisto di dispositivi e aItri strumenti di protezione individuale, come le mascherine. A imprese e professionisti è anche riconosciuto un credito d’imposta per parte delle spese sostenute, nel 2020, per la sanificazione degli ambienti e degli strumenti di lavoro.

Sui lavoratori incombe il dovere di cooperare per garantire la sicurezza sui luoghi di lavoro. I lavoratori dovranno dunque segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

No, la sorveglianza sanitaria periodica deve proseguire perché rappresenta una ulteriore misura di prevenzione di carattere generale: sia perché può intercettare possibili casi e sintomi sospetti del contagio, sia per I’informazione e Ia formazione che il medico competente può fornire ai lavoratori per evitare la diffusione del contagio.

Ai fornitori e ai visitatori possono essere richieste le medesime informazioni derivanti dai protocolli di sicurezza anti-­contagio applicati in azienda per i lavoratori dipendenti. Naturalmente, per le informazioni rilasciate che comportino il trattamento dei dati, occorre prestare attenzione alla relativa normativa.

Sì, è possibile estendere le procedure previste in base al protocollo aziendale alle aziende in appalto che possono organizzare sedi e cantieri permanenti e provvisori aII’interno dei siti e deIIe aree produttive.

In questi casi è possibile precIudere I’accesso aI dipendente ai luoghi aziendali e invitarlo a informare nel più breve tempo possibile il proprio medico curante. La preclusione di accesso può valere, con le stesse modalità, anche per i fornitori e per chiunque debba accedere nei locali aziendali. Questa possibilità deve essere oggetto deII’informativa che il datore di lavoro deve mettere a disposizione neII’ambito deIIe misure di sicurezza generali.

Avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-­19 forniti dalla Regione o dal Ministero della Salute. L’azienda ha uno specifico obbIigo di collaborazione con le Autorità sanitarie per la definizione degli eventuaIi “contatti stretti”, e se necessario potrebbe essere costretta alla chiusura. In ogni caso, dovrà procedere aII’esecuzione deIIe attività di sanificazione del reparto o deII’intera azienda secondo Ie indicazioni deII’Autorità sanitaria.

Il nominativo del contagiato o presunto tale non può essere comunicato agli altri dipendenti. Ad essi si potrà fare una comunicazione dove si indicherà che i dati del soggetto contagiato sono stati comunicati al servizio sanitario al fine di seguire il necessario protocollo e che i dipendenti dovranno attenersi alle indicazioni che verranno impartite dall'azienda -­ anche attraverso il competente servizio sanitario e di protezione civile -­ sia ai fini di individuare la "filiera" di contatti, sia ai fini di tutela sanitaria. Il Garante della Privacy ha emesso specifici provvedimenti al riguardo.

No: le ferie vanno sempre concordate con il personale dipendente. Tuttavia, consultando sempre previamente le indicazioni del CCNL applicato in azienda e il contratto di lavoro individuale, si ricorda che le ferie devono rispondere anche ad una esigenza del datore di lavoro e che oggi la fruizione è sollecitata dai provvedimenti adottati per contrastare I’emergenza e daI Protocollo del 14.3.2020 adottato d’accordo tra Ie parti sociaIi.

No, non vi è un obbligo, ma i provvedimenti adottati per contrastare I’emergenza prevedono che sia attuato il massimo utilizzo del lavoro agile e del lavoro a distanza, nei limiti, ovviamente, della tipologia di lavoro richiesto al dipendente e compatibilmente con le tecnologie adottate da ciascuna impresa. In questo periodo non sarà necessario I’accordo individuaIe. Con riferimento ai lavoratori dipendenti disabili o che abbiano nel proprio nucleo familiare una persona con disabilità, il D.L. prevede il diritto di svolgere la prestazione di lavoro in modalità agile, a condizione che essa sia compatibile con le caratteristiche della prestazione.

No: in assenza di specifici ordini deII’autorità iI fenomeno deII’epidemia non è sufficiente a giustificare I’assenza che, se reiterata, può comportare il licenziamento del dipendente.

No. Il Decreto Legge ha agevolato il ricorso agli ammortizzatori sociali in caso di sospensione o riduzione deII’attività riconducibiIe aII’emergenza epidemioIogica. La fase sindacale, che prevede I’informazione, Ia consuItazione e I’esame congiunto, potrà essere svolta, anche in forma telematica e non si applicano i termini previsti ordinariamente per la presentazione per la domanda che può essere presentata entro la fine del quarto mese successivo a quello in cui ha avuto inizio il periodo di sospensione o di riduzione deII’attività lavorativa. Pertanto, i datori di lavoro che -­ nel 2020 -­ sospendono o riducono ’attività Iavorativa per eventi riconducibiIi aII’emergenza epidemiologica da COVID-­ 2019, possono presentare domanda di concessione del trattamento ordinario di integrazione salariale (CIGO - Cassa Integrazione Guadagni Ordinaria) -­ o di accesso aII’assegno ordinario -­ con causale “emergenza COVID-­19”, per periodi decorrenti dal 23 febbraio 2020 per una durata massima di nove settimane e comunque entro il mese di agosto 2020. CIGO e assegno ordinario possono essere chiesti anche in sostituzione, rispettivamente, di CIGS e assegno di solidarietà eventualmente fruiti daII’azienda aIIa data di entrata in vigore del decreto-­legge 23 febbraio 2020, n. 6. I lavoratori destinatari dei trattamenti devono risultare alle dipendenze dei datori di lavoro che richiedono la prestazione, alla data del 23 febbraio 2020 e ai lavoratori stessi non si applica il requisito deII’anzianità aziendaIe di 90 giorni di effettiva presenza. Non si applica, inoltre, la contribuzione addizionale.

Per Ie aziende aI di fuori deII’ambito d’operatività degIi ammortizzatori sociali precedenti è prevista la possibilità di riconoscimento del trattamento di Cassa Integrazione Guadagni in Deroga da parte delle Regioni e Province autonome. Restano esclusi i soli datori di lavoro domestico e il trattamento può essere richiesto anche da aziende con un solo dipendente. Le domande di accesso ai trattamenti in deroga sono presentate alla Regione e alle Province autonome, che seguiranno per I’evasione deIIe domande I’ordine cronoIogico di presentazione. Bisogna sottolineare che sono previsti limiti di copertura dei relativi oneri e la disponibilità, pertanto, non è illimitata.

No. Se si stratta di procedure di licenziamento collettivo e di licenziamento individuale per giustificato motivo oggettivo. Il DL n. 18/2020 prevede che, dalla data di entrata in vigore del decreto e per 60 giorni, non si possono avviare procedure di licenziamento collettivo (quelle pendenti verranno sospese) e dei licenziamenti per giustificato motivo oggettivo. È possibile quindi procedere a licenziamenti unicamente ove ricorrano i presupposti della giusta causa o del giustificato motivo soggettivo.

In conseguenza dei provvedimenti di sospensione dei servizi educativi per I’infanzia e deIIe attività didattiche nelle scuole i genitori lavoratori dipendenti del settore privato possono fruire, per i figli di età non superiore ai 12 anni o, senza limiti di età per i figli con disabilità in situazione di gravità accertata, del congedo parentale per un periodo di 15 giorni (per I’anno 2020 e a decorrere daI 5 marzo 2020). Per tale congedo è riconosciuta una indennità pari al 50% della retribuzione da calcolarsi seguendo le indicazioni del D.L. n.18/2020. In alternativa può scegliersi l'erogazione di un bonus di 600 euro per l'acquisto di servizi di baby-­sitting. I genitori lavoratori dipendenti del settore privato con figli minori, di età compresa tra i 12 e i 16 anni, hanno altresì il diritto di astensione dal lavoro per il periodo di sospensione dei servizi educativi per I’infanzia e deIIe attività didattiche nelle scuole di ogni ordine e grado, senza corresponsione di indennità é riconoscimento di contribuzione figurativa, con divieto di licenziamento e diritto alla conservazione del posto di lavoro.

Sì. A decorrere dal 5 marzo 2020, in conseguenza dei provvedimenti di sospensione dei servizi educativi per I’infanzia e deIIe attività didattiche nelle scuole di ogni ordine e grado, e per tutto il periodo della sospensione vi prevista, i genitori lavoratori dipendenti del settore pubblico hanno diritto a fruire dello specifico congedo e relativa indennità. II congedo e I’indennità di cui aI primo periodo non spetta in tutti i casi in cui uno o entrambi i lavoratori stiano già fruendo di analoghi benefici. L’erogazione deII’indennità, nonché I’indicazione deIIe modaIità di fruizione del congedo sono a cura deII’amministrazione pubbIica con la quale intercorre il rapporto di lavoro.

Sì: il numero di giorni di permesso ex art. 33 L.104/1992 è incrementato di ulteriori complessivi 12 giorni fruibili nei mesi di marzo e aprile 2020.

L’assenza è Iegittima e non può costituire giusta causa di recesso dal contratto di lavoro, a causa della sospensione deII’attività deIIe strutture accoglienti persone con disabilità.

Il periodo di assenza dal lavoro per quarantena o permanenza domiciliare fiduciaria con sorveglianza attiva è equiparato a malattia ai fini del trattamento economico, mentre non lo è ai fini del periodo di comporto. La disposizione si applica altresì alle assenze per le quali sono stati trasmessi certificati prima deII’entrata in vigore deI D.L. n. 18/2020 daII’operatore di sanità pubblica, anche in assenza del certificato del medico curante con gli estremi del provvedimento.

Sì ma solo per alcune categorie. Ai professionisti che alla data del 23.2.2020 sono titolari di partita iva e ai titolari di contratti di collaborazione coordinata e continuativa iscritti alla Gestione separata INPS, non titolari di pensione o iscritti ad altre forme di previdenza obbligatoria, è riconosciuta un’indennità di 600 euro, previa domanda aII’Inps. L’indennità non concorre a formare reddito. L’indennità non si appIica ai professionisti iscritti a Casse private di previdenza.

Sì. Il D.L. n. 18/2020 prevede: -­ la proroga di presentazione delle domande di disoccupazione NASpl e DIS-­COLL; - la proroga dei termini decadenziali in materia previdenziale e assistenziale; -­ la sospensione fino al 31 maggio 2020 dei termini per il pagamento dei contributi previdenziali e assistenziali e dei premi per I’assicurazione obbligatoria di colf e badanti; -­ la sospensione di misure di condizionalità. L’art. 40 deI D.L. n.18/2020, tenuto conto delle disposizioni che limitano gli spostamenti delle persone fisiche, stabilisce la sospensione: degli obblighi connessi alla fruizione del reddito di cittadinanza e alle misure di condizionalità per i percettori di NASPI, DIS-­COLL e per i beneficiari di integrazioni salariali, degli adempimenti relativi agli obblighi di assunzione obbligatoria di disabili, delle procedure di avviamento a selezione ex art. 16 della L. 56/1987, delle convocazioni da parte dei centri per I’impiego per la partecipazione ad iniziative di orientamento; -­ la sospensione, dal 23.2.2020 aII’1.6.2020, dei termini di decadenza e di prescrizione relativi alle richieste di prestazioni erogate daII’INAIL e dei termini previsti per la revisione della rendita su domanda del titolare o deII’INAIL.

No. Ai titolari di reddito da lavoro dipendente, purché il loro reddito complessivo non sia superiore ai 40.000 euro, spetta un premio, per il mese di marzo 2020, che non concorre alla formazione del reddito, pari a 100 euro, da rapportare al numero di giorni di lavoro svolti nella sede di lavoro nel mese. Il datore di lavoro è sostituto di imposta e riconosce, in via automatica, I’incentivo a partire dalla retribuzione corrisposta nel mese di aprile e comunque entro il termine di effettuazione delle operazioni di conguaglio di fine anno.

È vero: l’art. 41 del D.L. n. 18/2020 ha sospeso fino al 1 giugno 2020 le attività dei Comitati centrali e periferici deII’Inps nonché I’efficacia dei decreti di costituzione e ricostituzione dei Comitati. Le integrazioni salariali di competenza dei Fondi di solidarietà bilaterali saranno dunque concesse dai Presidenti dei Comitati amministratori, nominati Commissari sino al 1° giugno 2020.

Il Garante della Privacy, con la comunicazione del 26 marzo 2020, ha chiarito come le scuole devono comportarsi relativamente al trattamento dati, necessario ed indispensabile in questo periodo di crisi dovuto al virus Covid-19 (Coronavirus), per garantire la continuità della didattica.

Sì. Tutte le Scuole – sia quelle pubbliche, sia quelle private - hanno l’obbligo di far conoscere agli “Interessati” (studenti, famiglie, professori, etc.) come vengono trattati i loro dati personali. Devono cioè rendere noto - attraverso un’adeguata informativa con le modalità ritenute più opportune, eventualmente anche online - quali dati raccolgono, come li utilizzano e a quale fine.

Sì. È possibile accedere agli atti e ai documenti amministrativi detenuti dalla scuola ai sensi dalla legge n. 241 del 1990 (artt. 22 ss.)

Sì. Ogni persona ha diritto di conoscere se sono conservate informazioni che la riguardano, di farle rettificare se erronee o non aggiornate. Per esercitare questi diritti è possibile rivolgersi direttamente al “Titolare del trattamento” (in genere l’Istituto Scolastico di riferimento). Se la scuola non risponde o il riscontro non è adeguato, è possibile rivolgersi al Garante o alla magistratura ordinaria.

Sulla base del principio generale di Accountability, è facoltà delle Istituzioni Scolastiche regolare e modulare tale modalità, assicurando al tempo stesso le cautele necessarie a garantire l’identificabilità dei soggetti coinvolti e che i dati eventualmente raccolti siano protetti (da accessi abusivi, rischi di perdita o manomissione) con adeguate misure di sicurezza.

Sì. Le informazioni sul rendimento scolastico sono soggette ad un regime di conoscibilità stabilito dal MIUR. Nel pubblicare i voti degli scrutini e degli esami nei tabelloni, l’istituto scolastico deve evitare, però, di fornire informazioni sulle condizioni di salute degli studenti o altri dati personali non pertinenti. Il riferimento alle “prove differenziate” sostenute, ad esempio, dagli studenti con disturbi specifici di apprendimento (DSA) non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente.

Le scuole possono trattare le categorie particolari di dati personali (es. dati sulle convinzioni religiose, dati sulla salute) solo se espressamente previsto da norme di legge o regolamentari. In ogni caso non possono essere diffusi i dati relativi alla salute: non è consentito, ad esempio, pubblicare online una circolare contenente i nomi degli studenti con disabilità oppure quegli degli alunni che seguono un regime alimentare differenziato per motivi di salute.

No, nelle circolari, nelle delibere o in altre comunicazioni non rivolte a specifici destinatari non possono essere inseriti dati personali che rendano identificabili gli alunni (ad esempio, quelli coinvolti in casi di bullismo o quelli cui siano state comminate sanzioni disciplinari o interessati da altre vicende delicate).

La conoscenza di tali dati è limitata ai soli soggetti a ciò legittimati dalla normativa scolastica e da quella specifica di settore, come ad esempio i docenti, i genitori e gli operatori sanitari che congiuntamente devono predisporre il piano educativo individualizzato (L. n. 104/92, L. n. 328/2000 e D.Lgs. n. 66/2017).

Spetta alle istituzioni scolastiche disciplinare l’utilizzo degli smartphone all’interno delle aule o nelle scuole stesse. In ogni caso, laddove gli smartphone siano utilizzati per riprendere immagini o registrare conversazioni, l’utilizzo dovrà avvenire esclusivamente per fini personali e nel rispetto dei diritti delle persone coinvolte.

No. Le immagini, in questi casi, sono raccolte per fini personali e destinate a un ambito familiare o amicale. Va però prestata particolare attenzione alla eventuale pubblicazione delle medesime immagini su Internet e sui social network. In caso di diffusione di immagini dei minori diventa infatti indispensabile ottenere il consenso da parte degli esercenti la potestà genitoriale.

Sì. È lecito registrare la lezione per scopi personali, ad esempio per motivi di studio individuale, compatibilmente con le specifiche disposizioni scolastiche al riguardo. Per ogni altro utilizzo o eventuale diffusione, anche su Internet, è necessario prima informare le persone coinvolte nella registrazione (professori, studenti…) e ottenere il loro consenso.

Sì. La specifica normativa di settore (L. n. 170/2010) prevede che gli studenti che presentano tali disturbi hanno il diritto di utilizzare strumenti di ausilio per una maggiore flessibilità didattica. In particolare, viene stabilito che gli studenti con diagnosi DSA possono utilizzare gli strumenti di volta in volta previsti dalla scuola nei piani didattici personalizzati che li riguardano (ivi compreso il registratore o il pc). In questi casi non è necessario richiedere il consenso delle persone coinvolte nella registrazione.

Sì. Questo consente a chi ambisce a incarichi e supplenze di conoscere la propria posizione e il proprio punteggio. Tali liste devono però contenere solo il nome, il cognome, il punteggio e la posizione in graduatoria. È invece eccedente la pubblicazione dei numeri di telefono e degli indirizzi privati dei candidati.

Sì, ma l’eventuale installazione di sistemi di videosorveglianza presso le scuole deve garantire il diritto dello studente alla riservatezza. Può risultare ammissibile l’utilizzo di tali sistemi in casi di stretta indispensabilità, al fine di tutelare l’edificio e i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate. È inoltre necessario segnalare la presenza degli impianti con cartelli. Le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato. Progetti di revisione della disciplina sull’utilizzo degli strumenti di videosorveglianza negli istituti scolastici sono attualmente all’attenzione del Parlamento.

Sì, ma soltanto se i ragazzi e, nel caso di minori, chi esercita la responsabilità genitoriale, siano stati preventivamente informati sulle modalità di trattamento e sulle misure di sicurezza adottate per proteggere i dati personali degli alunni e, ove previsto, abbiano acconsentito al trattamento dei dati. Ragazzi e genitori devono, comunque, avere sempre la facoltà di non aderire all’iniziativa.

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. "terze parti" vengono, invece, impostati da un sito web diverso da quello che l’utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.

I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell´ambito della sessione, risultano indispensabili.

No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie "tecnici" o di "profilazione". Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l'informativa (art. 13 del Regolamento Ue 2016/679). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l’informativa va impostata su due livelli. Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa "breve", la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più "estesa". In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.

Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di "terze parti", che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente. Deve contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all´installazione di qualunque cookie. Deve precisare che se l’utente sceglie di proseguire "saltando" il banner, acconsente all’uso dei cookie.

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso. In presenza di tale "documentazione", non è necessario che l’informativa breve sia riproposta alla seconda visita dell’utente sul sito, ferma restando la possibilità per quest’ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all’informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.

No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.

No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie. Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Deve richiamare, infine, la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato

l titolare del sito web che installa cookie di profilazione. Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

L’art. 30 del Regolamento (EU) n. 679/2016 prevede tra gli adempimenti principali del Titolare del trattamento la tenuta del Registro delle attività di trattamento. È un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal Titolare. Costituisce uno dei principali elementi di Accountability del Titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della Scuola, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Si.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del Titolare (art. 30, par. 1 del RGPD). Di seguito gli appronfondimenti su ogni argomento. FINALITA' DEL TRATTAMENTO Nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli acquisti), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dalla Scuola. Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2 del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD; DESCRIZIONE DELLE CATEGORIE DI INTERESSATI E DELLE CATEGORIE DI DATI PERSONALI Nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. alunni, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.); CATEGORIE DI DESTINATARI A CUI I DATI SONO STATI O SARANNO COMUNICATI nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali TRASFERIMENTI DI DATI PERSONALI VERSO UN PAESE TERZO O UN'ORGANIZZAZIONE INTERNAZIONALE Nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.); TERMINI ULTIMI PREVISTI PER LA CANCELLAZIONE DELLE DIVERSE CATEGORIE DI DATI Nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”); DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA Nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dalla Sxuola ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. Privacy Policy).

Può essere riportata nel Registro dei Trattamenti qualsiasi altra informazione che la Scuola ritenga utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dalla Scuola in merito ad alcune tipologie di trattamento ecc.).

Il Registro dei Trattamenti è un documento di censimento e analisi dei trattamenti effettuati dalla Scuola. In quanto tale, il Registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute. Il Registro dei Trattamenti può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo: “- scheda creata in data XY” “- ultimo aggiornamento avvenuto in data XY”

La trasparenza consiste nella pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni. Lo scopo è quello di favorire forme diffuse di controllo sull’azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi.

Il d.lgs. 14 marzo 2013, n. 33 e le sue successive modificazioni (cd. decreto trasparenza), che ha riordinato la normativa esistente – anche innovandola – fornendo così una disciplina unitaria della trasparenza amministrativa.

Sì. Con l´adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per assicurare l´osservanza della disciplina in materia di protezione dei dati personali nell´adempimento degli obblighi di pubblicazione sul web di atti e documenti. Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa.

Le linee guida del Garante distinguono gli obblighi di pubblicazione in: obblighi di pubblicazione per finalità di trasparenza (quelli previsti dal decreto trasparenza) e obblighi di pubblicazione per altre finalità (contenuti in altre disposizioni di settore non riconducibili a finalità di trasparenza, quali ad es. le pubblicazioni matrimoniali).

Sono quelli, indicati principalmente nel decreto trasparenza, che riguardano l’organizzazione e l’attività delle pubbliche amministrazioni. Comprendono, ad esempio: - i dati relativi agli organi di indirizzo politico e di amministrazione e gestione; - i dati sull´articolazione degli uffici, sulle competenze e sulle risorse a disposizione di ciascun ufficio, anche di livello dirigenziale non generale; - i nomi dei dirigenti responsabili dei singoli uffici; l´illustrazione in forma semplificata dell´organizzazione dell´amministrazione (es. mediante l´organigramma); - l´elenco dei numeri di telefono nonché delle caselle di posta elettronica cui il cittadino possa rivolgersi. Gli obblighi di pubblicazione sono contenuti in specifiche disposizioni di settore e riguardano finalità diverse dalla trasparenza, come quelli che prevedono la pubblicità legale di determinati atti amministrativi. Si pensi, ad esempio, alle pubblicazioni ufficiali dello Stato; alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull’albo pretorio online degli enti locali; alle pubblicazioni matrimoniali; alla pubblicazione degli atti concernenti il cambiamento del nome; alla pubblicazione della comunicazione di avviso di deposito delle cartelle esattoriali a persone irreperibili; ecc. In queste ipotesi non si applicano le specifiche previsioni del decreto trasparenza relative all’accesso civico, all’indicizzazione nei motori di ricerca, al riutilizzo, alla durata dell’obbligo di permanenza sul web di 5 anni e alla trasposizione in archivio.

No. Vale la regola generale per la quale i soggetti pubblici possono diffondere dati personali solo se ciò è ammesso da una specifica disposizione di legge o di regolamento.

Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, la Scuola deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.

Prima di procedere alla pubblicazione sul proprio sito web la Scuola deve: - individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale; - verificare, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni; - sottrarre all’indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordati al punto precedente.

È vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diverse Scuole i dati personali riguardanti il trattamento sanitario obbligatorio per determinati soggetti.

No, a meno che tali dati non vengano resi effettivamente anonimi e non vi sia più la possibilità di identificare gli interessati, nemmeno indirettamente e in un momento successivo.

Per anonimizzare un documento non basta sostituire il nome e cognome con le iniziali dell´interessato ma occorre oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori.

Sì. Il decreto trasparenza pone un termine generale di mantenimento online delle informazioni pari a 5 anni. Le uniche eccezioni riguardano: • gli atti che producono ancora i loro effetti alla scadenza dei cinque anni, che devono rimanere pubblicati fino a che non cessa la produzione degli effetti (es. le informazioni riferite ai Dirigenti Scolastici e DSGA, che vengono aggiornati e possono restare online oltre i cinque anni, fino alla scadenza del loro mandato); • i dati riguardanti i titolari di incarichi a termine (che devono rimanere pubblicati per i 3 anni successivi alla scadenza dell’incarico); • i dati per i quali è previsto un termine diverso dalla normativa in materia di Privacy. È bene sottolineare che, in ogni caso, una volta raggiunti gli scopi per i quali i dati personali sono stati resi pubblici, gli stessi devono essere oscurati anche prima del termine dei 5 anni.

Sì. Tali obblighi riguardano: • i curricula professionali, nei limiti dei dati pertinenti alle finalità di trasparenza perseguite; • i compensi di alcuni soggetti (ad esempio, i titolari di incarichi amministrativi di vertice) evitando di pubblicare la versione integrale dei documenti contabili e fiscali o altri dati eccedenti (ad esempio, i recapiti individuali e le coordinate bancarie utilizzate per effettuare i pagamenti); • i provvedimenti amministrativi (ad esempio, concorsi e prove selettive); • gli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e l’elenco dei soggetti beneficiari.

No. Non possono essere pubblicati i dati identificativi dei soggetti beneficiari di importi inferiori a mille euro nell’anno solare; le informazioni idonee a rivelare lo stato di salute o la situazione di disagio economico-sociale degli interessati; i dati eccedenti o non pertinenti.

Sì. La normativa di riferimento è quella di settore (d.lgs. n. 267/2000 e altre disposizioni successive) e non il decreto trasparenza. Nelle Linee guida il Garante ha ribadito che: • la diffusione di dati personali nell’albo pretorio online è lecita solo se prevista da una specifica norma di legge o di regolamento; • occorre far riferimento in ogni caso al principio di pertinenza e non eccedenza e prestare particolare attenzione ai dati sensibili e giudiziari (con la necessità di agire nel rispetto dei propri regolamenti e il divieto assoluto di pubblicare dati idonei a rivelare lo stato di salute); • la diffusione dei dati personali è corretta entro i limiti temporali previsti dalla normativa di riferimento o, in mancanza di indicazioni, fino al raggiungimento dello scopo per il quale l’atto è stato adottato e i dati resi pubblici; • occorre evitare l’indicizzazione nei motori di ricerca generalisti dei dati personali contenuti negli atti pubblicati nell’albo pretorio online.

Sì. Il principio generale del libero riutilizzo dei documenti contenenti dati pubblici va bilanciato con i principi in materia di protezione dei dati personali, primo fra tutti quello di finalità. Il Garante ha ritenuto opportuno che i soggetti pubblici inseriscano nella sezione "Amministrazione trasparente" un alert generale con cui si informi il pubblico che i dati personali pubblicati sono «riutilizzabili solo alle condizioni previste dalla normativa vigente sul riuso dei dati pubblici (…), in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, e nel rispetto della normativa in materia di protezione dei dati personali».

Sì. Tale obbligo riguarda, però, i soli dati tassativamente individuati dalle disposizioni in materia di trasparenza, con esclusione quindi degli altri dati che si ha l’obbligo di pubblicare per altre finalità di pubblicità. Sono, fra l’altro, espressamente sottratti all’indicizzazione i dati sensibili e giudiziari.

Come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del GDPR) sono rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento. Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall'art. 39 del GDPR.

Il GDPR prevede all'art. 37, par. 1, che il titolare del trattamento designi il RPD; da ciò deriva, quindi, che l'atto di designazione è parte costitutiva dell'adempimento. In caso di ricorso a soggetti esterni all'ente, la designazione costituirà parte integrante dell'apposito contratto di servizi redatto in base a quanto previsto dall'art. 37 del GDPR. Indipendentemente dalla natura e dalla forma dell'atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall'art. 39 del GDPR) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento. L'eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell'atto di designazione, dovrà comportare la modifica e/o l'integrazione dello stesso o delle clausole contrattuali. Nell'atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l'ente a individuare, nella persona fisica o giuridica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall'art. 37, par. 5 del GDPR, anche mediante rinvio agli esiti delle procedure di selezione effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall'ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione». Una volta individuato, la Scuola è tenuta a indicare, nell'informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione "amministrazione trasparente", oltre che nella sezione "Privacy" eventualmente già presente. Come chiarito nelle Linee guida, in base all'art. 37, par. 7, non è necessario -anche se potrebbe costituire una buona prassi, in ambito pubblico- pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l'Autorità. Resta invece fermo l'obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).

No. Gli istituti scolastici possono trattare i dati, anche relativi a categorie particolari(*) di insegnanti, alunni (anche minorenni), e genitori nell’ambito delle proprie finalità istituzionali e non devono chiedere agli interessati di prestare il consenso al trattamento dei propri dati, neanche in relazione alla didattica a distanza, attivata a seguito della sospensione delle attività formative delle scuole di ogni ordine e grado. Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro. (*) : Vale a dire i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale.

Sì. Gli istituti scolastici sono tenuti ad assicurare la trasparenza del trattamento informando, con un linguaggio facilmente comprensibile anche dai minori, gli interessati (alunni, studenti, genitori e docenti) in merito, in particolare, ai tipi di dati e alle modalità di trattamento degli stessi, ai tempi di conservazione e alle altre operazioni di trattamento, specificando che le finalità perseguite sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

Spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. L’istituto scolastico è tenuto a fornire alle istituzioni competenti, le informazioni necessarie, affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

Per effetto della sospensione dell’attività didattica e delle riunioni degli organi collegiali in presenza, sono state attivate modalità di didattica a distanza e il ricorso al lavoro agile con riguardo ai servizi amministrativi. Per le medesime ragioni legate all’emergenza, anche alla luce delle indicazioni del Ministro per la pubblica amministrazione e del Ministero dell’Istruzione, ogni forma di riunione nell’ambito delle attività indifferibili deve essere svolta con modalità telematiche. Il Garante ha già fornito alcune indicazioni alle scuole per orientare scelte consapevoli riguardo alle piattaforme da impiegare, sulla base delle garanzie offerte dai fornitori, in considerazione degli specifici rischi anche per i dati personali dei docenti.