Raccolta di dati sul coronavirus: Limiti legali

L'idea è, ovviamente, accattivante: semplicemente, poter dare un'ampia possibilità a quelle persone che sono state infettate dal coronavirus. Ma come si fa a sapere chi porta il virus ma non mostra segni di malattia? Come si riconosce qualcuno che è immune? E in generale: quali vie di trasmissione prende il virus nella popolazione? Non solo molti esperti stanno attualmente discutendo queste domande, ma si stanno anche testando varie applicazioni tecnologiche che dovrebbero aiutare a rispondere a queste domande. Il nocciolo della questione è che si tratta di dati sulla salute e sui pazienti. Questi sono considerati particolarmente degni di protezione in termini di protezione dei dati. E i dati degni di protezione non possono essere trasmessi senza il consenso della persona interessata. Questo sembra ora essere in conflitto con molte delle misure che sono state adottate nel quadro dell'ordinanza Covid 19 del Consiglio federale o sono raccomandate dall'UFSP. Un webinar di Weblaw AG del 21 aprile 2020 ha affrontato le questioni pratiche che circondano il coronavirus da una prospettiva legale. Abbiamo raccolto alcune discussioni nelle sezioni seguenti.

Protezione dei dati nell'azienda

Sulla scia della pandemia del Covid 19, le questioni relative alla gestione della salute sul lavoro stanno letteralmente diventando più virulente. I datori di lavoro dipendono dal fatto di non avere troppi dipendenti assenti per malattia. Le misure preventive come il lavoro diviso, l'ufficio in casa dove possibile, o anche la chiusura totale delle operazioni sembrano aver funzionato bene finora. Ma cosa succede se un caso Covid 19 si verifica effettivamente in un'azienda ora? Quali informazioni sanitarie possono, anzi devono, essere divulgate dai datori di lavoro e dai dipendenti interessati? In linea di principio, queste questioni sono regolate dall'articolo 328b del Codice delle obbligazioni e dagli articoli del Codice del lavoro relativi alla protezione della salute. "Ciò che è richiesto dal diritto del lavoro non richiede il consenso", spiega l'avvocato Dr. David Vasella, partner dello studio legale Walder Wyss AG di Zurigo. Di conseguenza, i dipendenti devono informare il loro datore di lavoro nell'ambito del loro dovere di lealtà se soffrono di Covid-19. Devono fornire informazioni sulla durata della loro inabilità al lavoro, su possibili infezioni di terzi, o se sono stati recentemente in una zona a rischio o se una persona che vive nella stessa famiglia ha contratto il Covid-19. Fornendo queste informazioni, i dipendenti contribuiscono alla valutazione dei rischi del datore di lavoro per l'intera azienda. Al contrario, il datore di lavoro deve informare il dipendente su come utilizzerà queste informazioni. In relazione al suo dovere di cura, il datore di lavoro deve anche informare gli altri dipendenti dei casi sospetti e delle infezioni. Così anche in questo caso, la divulgazione dei dati sanitari è permessa, "entro limiti ragionevoli e dopo aver dato un preavviso al dipendente interessato", spiega David Vasella. "In linea di principio, tuttavia, tali informazioni devono essere fornite senza nominare il dipendente", continua l'esperto. A meno che non si tratti di controllare i contatti con altri dipendenti, che poi potrebbero dover essere messi in quarantena.

Covid-19 test da parte dei datori di lavoro?

In Cina, molte aziende che hanno ripreso le operazioni dopo l'arresto completo hanno preso a testare i dipendenti per i sintomi prima di iniziare a lavorare. Questo sarebbe ammissibile anche in Svizzera dal punto di vista della protezione dei dati? Un datore di lavoro può chiedere dei sintomi? "Sì", dice l'esperto David Vasella. Prendere la temperatura e usare telecamere termografiche è anche ammissibile, "purché abbia senso", aggiunge. I test della saliva e del sangue sarebbero anche ammissibili se questo metodo è più adatto della presa della temperatura. Tuttavia, questi test possono essere eseguiti solo da personale addestrato. Tuttavia, la legge sulla protezione dei dati pone dei limiti quando si tratta di trasmettere informazioni personalizzate. Questo sarebbe il caso, per esempio, se tali test dovessero essere valutati in laboratori stranieri. A questo scopo, i dati devono essere resi anonimi, per esempio tramite un codice a barre.

Ma che dire dei dati che l'UFSP pubblica quotidianamente come "numeri di casi"? Non si tratta forse anche di dati di pazienti soggetti alla protezione dei dati? La risposta a questa domanda è fornita dalla legge sulle epidemie (EpG). Questa legge obbliga i medici e i laboratori a trasmettere i risultati clinici all'UFSP attraverso un modulo di segnalazione. L'obiettivo è l'individuazione precoce e il monitoraggio delle malattie trasmissibili. A tal fine, la divulgazione di dati personali è consentita nel senso di uno scambio di informazioni tra autorità (EpG art. 59).

App per la ricerca di contatti: "Argomento carico di emozioni"

Il possibile uso delle cosiddette app di ricerca di contatti è controverso - e non solo in Svizzera. Gli epidemiologi come Marcel Salathé dell'EPFL lo considerano un mezzo adatto per identificare meglio le modalità di diffusione del virus. Ci sono già diversi fornitori di app che mettono in guardia dal contatto con persone che potrebbero essere infette. Anche l'EPFL e il Politecnico di Zurigo stanno lavorando a una soluzione del genere, ma recentemente hanno abbandonato un progetto internazionale a causa della mancanza di trasparenza su ciò che accadrà ai dati che saranno necessariamente raccolti. Ed è proprio questa domanda che rende la discussione su tali app "emotiva", come nota il lic. iur. David Rosenthal, segretario dell'Associazione per la protezione dei dati aziendali (VUD). Si riferisce ai recenti articoli della stampa quotidiana sul pericolo di possibili attacchi alle persone che vengono segnalate come "infette" tramite un'app. E la questione se tali ampie possibilità di sorveglianza non aprirebbero la porta a ulteriori abusi divide anche i sostenitori e gli oppositori.

Tecnicamente, ci sono due approcci: La Corea del Sud, che viene spesso citata come esempio, pratica la localizzazione GPS. Lì vengono registrati gli spostamenti delle persone che si dichiarano "infette" o "non infette" tramite un'app. Queste informazioni possono essere usate, per esempio, per generare mappe con "punti di pericolo", cioè luoghi dove potrebbe trovarsi una persona infetta. L'approccio di soluzione favorito in Europa è basato sulla tecnologia Bluetooth. L'applicazione di tracciamento invia un identificatore anonimo e mutevole a tutti i dispositivi mobili nelle vicinanze. Se l'identificazione di una persona infetta si trova nelle vicinanze, viene emesso un avviso. Il prerequisito, tuttavia, è che le persone che sono risultate positive al test segnalino questo risultato a un server centrale.

Qualsiasi soluzione venga propagata: Deve essere "conforme alla protezione dei dati". Secondo David Rosenthal, questo è in gran parte il caso, perché nella maggior parte dei casi non ci sono affatto dati personali. Ciò significa che la legge sulla protezione dei dati non si applicherebbe affatto in questo caso. Tuttavia, la "protezione dei dati percepita" è diversa: qui è essenzialmente una questione di quanto gli utenti siano a loro agio con la questione e quanto ritengano probabile un abuso da parte dei fornitori dell'app. Questo è ciò che gli esperti stanno attualmente discutendo. "E questo è veleno per la protezione dei dati percepita", sottolinea David Rosenthal.

La volontarietà pone dei limiti

Affinché le app di tracciamento dei contatti abbiano una qualche utilità, oltre il 60% della popolazione dovrebbe partecipare come utente. Che questo possa essere raggiunto attraverso la partecipazione volontaria è dubbio. Il fatto che la gente installi volontariamente un'app può non essere un problema. Ma chi vuole segnalare volontariamente una diagnosi? E chi si mette volontariamente in quarantena, soprattutto se non si sente male? Qui, solo una soluzione autoritaria "à la chinoise" sarebbe praticabile... E chi fissa i parametri e gestisce l'infrastruttura centrale? Che tipo di protezione contro i cosiddetti troll, cioè utenti che operano per capriccio con informazioni false? Queste domande devono ancora essere chiarite.

Anche la questione se tali app di tracciamento dei contatti siano dispositivi medici non è stata ancora chiarita. In tal caso, dovrebbero essere sottoposti a un processo di approvazione o certificazione. Ciò significa che un produttore di app dovrebbe prima presentare una domanda corrispondente a Swissmedic. Data la situazione attuale, tuttavia, un tale processo sarebbe probabilmente poco burocratico e l'approvazione sarebbe concessa rapidamente.

"Non mancano le soluzioni tecniche e gli esperti", conclude David Rosenthal. "La gente sta cercando la soluzione perfetta, ma questa non si troverà. C'è un pericolo di sovraingegneria", continua l'esperto. Quello che serve è un controllo della realtà che preveda anche scenari di abuso plausibili. Rosenthal non considera davvero un problema la protezione legale dei dati. "Il Consiglio Federale deve ora darsi una regolata, altrimenti rimarrà un mero espediente", avverte. Perché più a lungo se ne parla, maggiore è la sfiducia. Al momento di andare in stampa, si sapeva quanto segue: Secondo le informazioni dell'UFSP, dall'11 maggio sarà introdotto in Svizzera uno sviluppo interno del PF.