Sito INPS in tilt: una violazione della privacy senza precedenti, altro che pesce d’aprile!

Lo scorso primo aprile abbiamo assistito al “banco di prova” della digitalizzazione del nostro Paese con riferimento all’emergenza COVID-19.

Migliaia di lavoratori autonomi a partita IVA, tra cui neofiti dei servizi digitali, aspettavano con ansia il primo d’aprile per poter richiedere, tramite il portale dell’INPS, l’agognato bonus promesso dal Decreto Cura Italia.

L’attesa era alle stelle, ma invece di sperimentare l’efficienza di un servizio erogato on-line, parecchi utenti hanno avuto, per errore, accesso ai profili di altri soggetti contenenti, ovviamente, informazioni e documenti personali[1]. Immediatamente è scattato il panico e c’è chi, per dimostrare il proprio sdegno, ha condiviso i dati altrui sui canali social.

Il presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, ha subito preso posizione, invitando l’Istituto a mettere in sicurezza i dati, non senza lasciarsi sfuggire un amaro commento: “Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.[2]

Un fattaccio che rischia di costare caro all’INPS. Vediamo quali sono le implicazioni giuridiche.

Un incidente di sicurezza che interessa i dati personali, quale quello del caso di specie (data breach) viene definito all’art. 4 n. 12 del GDPR (REG. UE 679/2016): «violazione dei dati personali»[3]: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.[4]

A bene vedere, le linee guida adottate dal “Gruppo di lavoro dell’articolo 29 per la tutela dei dati” (meglio noto nella versione anglosassone “Article 29 Working Party” o “WP29”)[5] hanno individuato tre tipologie di data breach: “confidentiality breach”, nel caso in cui ci sia una violazione non autorizzata o fortuita di dati personali o un accesso non autorizzato agli stessi; “availability breach”, nel caso in cui ci sia una perdita o la distruzione di dati personali; “integrity breach”, nel caso ci sia un’alterazione o una modifica non autorizzata o accidentale di dati personali. Ancora non sono noti i dettagli dell’accaduto, ma a prima vista sembrerebbe trattarsi di un “confidentiality breach” – o, almeno, così si auspica.

Il data breach è un evento che deve essere affrontato e gestito da subito per evitare che dall’incidente possano derivare all’interessato conseguenze di varia natura: danni fisici, materiali o immateriali alle persone fisiche, ad esempio attraverso la perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata ( v. Considerando 85 del GDPR).

Non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento deve notificare la violazione dei dati personali all’autorità di controllo competente (il Garante per la Protezione dei dati personali), senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione[6], è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche[7]. Oltre il termine di 72 ore, tale notifica deve essere corredata delle ragioni del ritardo (art. 33 GDPR).

L’INPS aveva quindi tempo sino al 4 aprile scorso (e così ha fatto il giorno seguente all’incidente) per inviare al Garante per la protezione dei dati personali una notifica contenente, come minimo, le seguenti informazioni (art. 33 GDPR):

1. la natura della violazione. L’INPS ha dovuto dichiarare se si sia trattato di attacco hacker (come sembrerebbe dalle notizie date dall’Istituto ai media) o malfunzionamento del proprio sito dovuto a problemi tecnici (come ipotizzato dagli esperti di Cyber security);
2. le indicazioni delle categorie degli interessati e del loro numero, nonché del numero approssimativo di registrazioni dei dati personali in questione;
3. il nome e dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto di contatto presso cui ottenere più informazioni;
4. la descrizione delle probabili conseguenze della violazione dei dati personali;
5. la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento (INPS nel caso di specie) per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Per il caso di attacco hacker, l’INPS ha dovuto pertanto informare il Garante delle misure immediatamente adottate per fronteggiare tale attacco e di quelle che adotterà urgentemente per rimediare alle violazioni e per attenuarne gli effetti negativi; per l’eventualità, invece, di malfunzionamento del sito per motivi tecnici, l’INPS ha dovuto comunicare al Garante le misure immediatamente adottate per rendere fruibile il sito in maniera rapida e sicura e quelle che adotterà nell’immediato per evitare il ripetersi di tali inconvenienti.

Peraltro, trattandosi di una violazione che potrebbe rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, oltre ad avvisare il Garante, l’INPS è stata chiamata ad effettuare una notifica anche a tutti gli utenti interessati dalla violazione cioè a tutti quegli utenti che, loro malgrado, hanno subito la violazione dei loro dati personali che, in molti casi, sono stati condivisi con degli sconosciuti.

Come previsto dall’art. 34 GDPR, anche la comunicazione all’interessato deve avvenire senza ingiustificato ritardo e deve descrivere, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali (attacco hacker o problemi tecnici) e almeno il nominativo e i dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto deputato a rendere informazioni, la descrizione delle probabili conseguenze della violazione dei dati personali, nonché il titolare del trattamento abbia provveduto/intenda provvedere (nel più breve tempo possibile) ad evitarle/limitarle.

Ricevuta la notifica di data breach, spetta al Garante per la protezione dei dati effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’INPS e gli interventi necessari a tutelare i diritti e le libertà degli interessati.

Per ora il Garante, con comunicato del 2 aprile scorso, ha reso noto di aver già avviato l’istruttoria sull’accaduto e ha colto l’occasione per richiamare l’attenzione sulla “assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti” e ciò “al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti”.

Quali le conseguenze per l’INPS?

Il rischio per l’Istituto (come quello di qualsiasi altro soggetto che effettua trattamento di dati personali, in circostanze analoghe) è quello di subire da parte del Garante per la Privacy una sanzione amministrativa (il GDPR prevede sanzioni amministrative pecuniarie fino ad un massimo di 20 milioni di euro e fino al 4% del fatturato annuo dell’esercizio precedente per le imprese), qualora quest’ultimo ravvisasse una responsabilità dell’istituto per non aver adempiuto agli obblighi in materia di data protection e di sicurezza informatica, oltre che di essere destinatario di contenziosi da parte degli utenti danneggiati[8].

[1] Per il momento si sa che i dati visualizzati riguardavano, oltre al nome e cognome, anche il codice fiscale e l’indirizzo email. Ancora non è chiaro se si potesse addirittura modificare il profilo.

[2] Eppure negli ultimi tempi si è registrata una indubbia attenzione alla materia della cybersecurity a livello normativo. Dopo l’approvazione della direttiva (UE) n. 1148/2016 (meglio nota come Direttiva NIS) – trasposta in Italia dal D.Lgs. 65/2018 e intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi degli Operatori di Servizi Essenziali (“OSE”, sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali) e dei Fornitori di Servizi Digitali (“FSD”, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale) – le istituzioni europee hanno continuato ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione Europea. La principale di queste misure recentemente adottate consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act, entrato in vigore il 27 giugno 2019.

[3] Trattasi della traduzione del termine inglese “data breach”.

[4] Nel caso, quindi, in cui l’incidente non riguardi questa tipologia di dati, non si applicherà quanto previsto dal GDPR, perché, se è vero che tutti gli incidenti informatici riguardano i dati, non tutti riguardano i dati personali.

[5] Era il gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati. Era un organismo consultivo indipendente, composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione; con l’avvento del GDPR, divenuto applicabile il 25 maggio 2018, è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB).

[6] Altrimenti detto accountability: il titolare ed il responsabile del trattamento devono adoperarsi in maniera tale da garantire la tutela dei dati personali da essi trattati. Nel GDPR non ci sono previsioni particolari che riguardano la modalità con cui attuare questo principio, viene lasciato ampio margine a questi soggetti affinché individuino in concreto le modalità che, nel singolo caso specifico, garantiscano la tutela dei dati.

[7] La notifica non è quindi richiesta quando il data breach non comporti un rischio elevato per l’interessato, per esempio, nell’ipotesi in cui i dati personali interessati siano già pubblici o quando i dati non possano essere letti perché crittografati.

[8] Articolo 82 GDPR – Diritto al risarcimento e responsabilità: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.”

La privacy dei pazienti va difesa ma non è un totem [cit. Antonello Soro, Presidente dell’Autorità Garante per la Protezione dei Dati Personali italiana]

Non so da voi, ma dove abito io ogni volta che si sente la sirena di un’ambulanza, parte la “caccia all’untore”.

C’è chi, in nome della tutela della salute pubblica, vorrebbe sapere non solo il nome e il cognome dei pazienti ricoverati con indicazioni aggiornate sul loro stato di salute, ma addirittura avere una lista dei positivi accertati e dei casi “sospetti” in isolamento; c’è poi chi replica che la salute è un dato “sensibile” da non rivelare mai.

Di questi tempi ci si pone sempre la medesima questione: dove finisce il diritto alla privacy del singolo e comincia la tutela dell’interesse pubblico?

Il dibattito è acceso ma una risposta si trova già nelle norme in vigore.

La pandemia in corso ha reso operativa una norma che solo qualche mese fa avremmo catalogato come un caso di scuola: si tratta dell’art. 9 par. 2 lett. i) del General Data Protection Regulation (GDPR – Regolamento UE 2016/679) che vieta il trattamento di categorie particolari di dati personali, tra i quali rientrano i dati relativi alla salute, senza il consenso dell’interessato, salvo il caso in cui  «il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale». In poche parole, il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico[1] non richiede il consenso dell’interessato pur rimanendo soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche[2].

In Italia la prima disposizione sul  trattamento dei dati personali nell’ambito dell’attuale emergenza sanitaria si trova inserita nel Decreto-Legge del 9 marzo 2020, n. 14 “Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19” in vigore dal 10 marzo 2020[3].

Tale normativa, che ha ripreso quanto già previsto nell’Ordinanza del Capo del Dipartimento della Protezione Civile (O.C.D.P.C.) n. 630 del 3 febbraio 2020, pubblicata in data 8 febbraio 2020[4] autorizza espressamente, fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020 (e quindi fino a fine luglio 2020), il trattamento di dati personali e la comunicazione tra i soggetti operanti nel Servizio nazionale di protezione civile, “i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630” (quali le forze armate, le forze di polizia…), nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i “soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13” (quali le autorità locali e comunali), precisando che “possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10[5] del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”.[6]

Pertanto, per ora, l’accertamento e la raccolta di informazioni circa i sintomi del Coronavirus e la rete dei contatti dei contagiati spetta agli operatori sanitari e al “sistema” attivato dalla protezione civile.

Ma non solo. Nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto, è permessa la comunicazione di tali dati anche a soggetti diversi da quelli sopra indicati (che di fatto solo quelli pubblici individuati nel Codice della Protezione Civile di cui al D.Lgs. n. 1/2018), ammettendo quindi anche soggetti privati, quali il datore di lavoro; per questi ultimi , tuttavia,  il Garante della Privacy con comunicato stampa del 2 marzo 2020 ha precisato che “I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.”.

In ogni caso l’attività di trattamento deve essere svolta nel rispetto dei principi dell’art. 5 del GDPR (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare del trattamento).

Inoltre i titolari e i responsabili del trattamento, possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti con modalità semplificate, anche oralmente, a persone fisiche, espressamente designate, che operano sotto la loro autorità (nello specifico, si fa riferimento alle autorizzazioni di cui all’articolo 2 -quaterdecies del nostro Codice Privacy[7]); essendo preminente il diritto alla salute dell’intera collettività, è consentito omettere l’informativa di cui all’articolo 13 del GDPR[8] o fornire una informativa semplificata, previa comunicazione orale agli interessati di tale  limitazione.

I dati non potranno essere conservati oltre il termine dello stato di emergenza, cessato il quale sarà necessario adottare misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

[1] Secondo il considerando 54 del GDPR in tale contesto la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità.

[2] Fermo restando che tale trattamento non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito (considerando 54 GDPR).

[3] L’art. 14 “Disposizioni sul trattamento dei dati personali nel contesto emergenziale” del Decreto-legge 9.3.2020 n. 14 così recita: “1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g) , h) e i) , e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2 -sexies , comma 2, lettere t) e u) , del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. 2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto. 3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. 4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2 -quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente. 5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e) , del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione. 6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.”.

[4] Rispetto alla quale, la nostra Autorità Garante per la Protezione dei dati personali, aveva espresso parere favorevole con Provvedimento n. 15 del 2 febbraio 2020.

[5] L’art. 10 del GDPR si riferisce al trattamento dei dati personali relativi a condanne penali e reati.

[6] In via generale il medico non può comunicare a terzi i dati sanitari, se non con il consenso del paziente.  Il medico è invece tenuto a segnalare all’autorità giudiziaria i dati in suo possesso anche senza il consenso del diretto interessato nei casi in cui sussista l’obbligo di referto (si pensi proprio alla segnalazione di malattie infettive o diffusive in cui si renda necessario tutelare la salute di un terzo o della collettività, oppure di un minore, di un soggetto disabile o comunque di un soggetto in situazione di particolare fragilità).

[7] Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) Cod. in materia di protezione dei dati personali: “1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilita’ e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. 2. Il titolare o il responsabile del trattamento individuano le modalita’ piu’ opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorita’ diretta.”

[8] Il GDPR prescrive all’art. 13 l’obbligo si sottoporre all’interessato l’informativa relativa al trattamento dei dati personali nel momento in cui sono raccolti i suoi dati.

Anche il diritto alla privacy va in quarantena?

È notizia del 23 marzo scorso che l’Ente Nazionale per l’Aviazione Civile (ENAC) ha concesso l’autorizzazione all’uso in deroga dei droni per monitorare gli spostamenti dei cittadini sul territorio comunale “nell’ottica di garantire il contenimento dell’emergenza epidemiologica coronavirus”[1].

Ma non solo, in questi giorni si discute l’ipotesi di tracciare, attraverso un’apposita app, gli spostamenti dei cittadini e ricostruire la loro rete di contatti per monitorare l’espansione del coronavirus sul territorio nazionale, il cd. contact tracing; qualcosa di simile è già stato fatto dalla Regione Lombardia analizzando i dati anonimi ed aggregati delle celle delle reti mobili per verificare se i cittadini -non i singoli, ma complessivamente- si stiano muovendo o meno oltre le poche centinaia di metri consentiti dalla propria abitazione.

Ma “spiare” gli italiani in nome della lotta al coronavirus è giuridicamente legittimo o è un abuso di potere?

Ne è emerso un dibattito che sostanzialmente vede contrapporsi due differenti fronti: se da un lato vi è l’esigenza di contenere il più possibile l’espansione del virus, dall’altro vi è il timore di trascendere in uno stato di polizia.

A prescindere da ogni considerazione politico-sociale, è legittimo subire limitazioni dei propri diritti purché conformi ai principi generali del nostro ordinamento, ovvero a condizione che tali limitazioni siano proporzionate ad esigenze specifiche e limitate nel tempo.

Questo è vero  anche per il diritto alla privacy, che è un diritto fondamentale riconosciuto sia a livello comunitario (il principio, espresso in prima battuta dalla Carta dei diritti fondamentali dell’UE, nella quale all’art. 8 viene affermato che “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”, è stato fatto proprio dal recente GDPR – General Data Protection Regulation n. 679/2016) sia nazionale (la sentenza della Corte Costituzionale n. 38 del 12.04.1973[2] ha collocato il diritto in esame tra i diritti inviolabili dell’uomo di cui all’art. 2 della nostra Costituzione ed è tutelato dal nostro Codice della Privacy che è stato adeguato GDPR).

Nello spirito complessivo del Regolamento GDPR il diritto alla protezione dei dati personali ha assunto un significato profondo: il GDPR nasce proprio con lo scopo di facilitare e rendere più sicura la circolazione dei dati, enfatizzando e ponendo quale fulcro di tutta la disciplina la tutela dei diritti degli interessati comunque coinvolti nelle attività di trattamento dei dati personali. Il Regolamento GDPR infatti si fonda sul principio che le attività di trattamento dei dati debbano  essere rivolte “al servizio dell’uomo” (come affermato nel Considerando n. 4) in un’ottica di tutela globale e complessiva. Da questo assunto discende che il diritto alla protezione dei dati non è un diritto assoluto, ma un diritto che viene riconosciuto per la sua funzione sociale e che va, pertanto, contemperato con gli altri diritti fondamentali dell’uomo di volta in volta rilevanti e prevalenti, come nel caso di specie, il diritto alla salute.

Proprio nell’ottica di operare un bilanciamento tra i diritti in questione e fermo restando che la geolocalizzazione, quale misura di prevenzione del contagio da Covid-19, astrattamente non è incompatibile con la normativa sulla protezione dei dati stabilita dal GDPR[3], il 19 marzo scorso il comitato europeo per la protezione dei dati – European Data Protection Board[4] (“EDPB”) ha reso la propria opinione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, chiarendo, tra l’altro, che i dati delle telecomunicazioni relativi all’ubicazione possono essere utilizzati dall’operatore “solo se resi anonimi[5] o con il consenso dei singoli”. Tuttavia, l’EDPB ha precisato che “l’articolo 15 della direttiva e-privacy[6] consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo”. E ancora: l’EDPB, ha precisato che “in presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza”.

Anche in tema di utilizzo dei dati di localizzazione da dispositivi mobili (ad esempio l’ipotesi di geolocalizzare le persone o di inviare i messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS) l’EDPB ha precisato che le autorità dovrebbero cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi  sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”). Nel caso, poi, in cui dati anonimi e aggregati non dovessero rivelarsi sufficienti o utili a scopi specifici, l’EDPB ricorda che, sempre all’articolo 15 della direttiva e-privacy, è prevista la possibilità di disposizioni nazionali di emergenza finalizzate a introdurre misure nell’interesse della sicurezza nazionale e della salute pubblica purché compatibili con i valori democratici (quali, ad esempio, la preservazione del diritto di difesa dell’interessato).

Anche il Garante per la Protezione dei Dati Personali italiano ha reso noto che nell’attuale contesto sanitario emergenziale l’adozione di misure “straordinarie” per il contrasto della pandemia del coronavirus è del tutto legittima, a condizione che vengano privilegiate le soluzioni meno invasive (ad esempio, optando per l’anonimizzazione dei dati) e che vengano rispettati i principi volti alla protezione dei dati, quali la proporzionalità delle misure in termini di durata e portata, la ridotta conservazione dei dati e la limitazione della finalità.

In Italia il decreto-legge del 9 marzo per il potenziamento del Servizio sanitario nazionale non autorizza espressamente la tracciabilità degli smartphone, né la geolocalizzazione o l’utilizzo di droni come mezzo per monitorare eventualmente i cittadini in quarantena o risultati positivi al virus per i quali è imposto divieto assoluto di uscire da casa.

Tuttavia, l’art. 14 del decreto[7] prevede, in via eccezionale, per la durata dell’emergenza COVID-19, una certa deroga al GDPR per il trattamento e la comunicazione da parte di soggetti qualificati dei dati sanitari dei cittadini interessati dal coronavirus. È a questa norma, come disposizione di carattere speciale, che qualcuno guarda, interrogandosi se essa non possa rappresentare uno spiraglio per l’introduzione di forme di contact tracing analoghe a quelle cinesi, in deroga alla norma generale del Codice Privacy, l’art. 132[8], che prevede trattamento dei dati di traffico (celle telefoniche o georeferenziazione) solo in casi eccezionali e nel rispetto di uno specifico procedimento.

In conclusione: non esistono preclusioni assolute nei confronti di misure come il tracciamento dei cellulari o l’utilizzo di droni per controllare gli spostamenti dei cittadini all’interno del territorio nazionale purché adottate le modalità più opportune in relazione alle esigenze di prevenzione, sempre nel rispetto del principio di proporzionalità, e che si tratti di misure temporalmente limitate.

[1] “Considerate le esigenze manifestate da numerosi Comandi di Polizie locali”, si legge nel documento, fino al 3 aprile 2020 si dispone che “le operazioni condotte con sistemi aeromobili a pilotaggio remoto con mezzi aerei di massa operativa al decollo inferiore a 25 kg, nella disponibilità dei Comandi di Polizia locale ed impiegati per le attività di monitoraggio” in questione, “potranno essere condotte in deroga ai requisiti di registrazione e di identificazione” fissate dall’articolo 8  del Regolamento Enac “Mezzi aerei a pilotaggio remoto” edizione 3 dell’11 novembre 2019″.

[2] La Corte Costituzionale con sentenza 12/04/1973 n. 38 colloca il diritto in esame tra quelli inviolabili dell’uomo garantiti costituzionalmente, richiamandosi anche all’art. 12 della “Dichiarazione Universale dei diritti dell’uomo” e all’art. 8 della “Convenzione europea dei diritti dell’uomo”. Afferma la Corte: “Non contrastano con le norme costituzionali ed anzi mirano a realizzare i fini dell’art. 2 affermati anche negli art. 3, comma 2, e 13, comma 1, che riconoscono e garantiscono i diritti inviolabili dell’uomo, fra i quali rientra quello del proprio decoro, del proprio onore, della propria rispettabilità, riservatezza , intimità e reputazione, sanciti espressamente negli art. 8 e 10 della Convenzione Europea sui diritti dell’uomo, gli art. 10 c.c., 96 e 97 L. 22/04/1941 n. 633…”.

[3] Il GDPR, all’art. 9, paragrafo 2, lettera i), detta una specifica base giuridica dei trattamenti che siano finalizzati a perseguire motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri, purché siano previste misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.

[4] Il comitato europeo per la protezione dei dati, istituito dal regolamento generale sulla protezione dei dati,  è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il comitato ha il potere di adottare orientamenti generali per chiarire le disposizioni della normativa europea sulla protezione dei dati, così da fornire a tutti i destinatari di tali disposizioni un’interpretazione uniforme dei loro diritti e obblighi.

[5] Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.

[6] Il riferimento è alla direttiva 2002/58/CE del 12.7.2002 relativa alla vita privata e alle comunicazioni elettroniche (in attesa dell’emanazione del Regolamento e-privacy che è ancora in discussione) che, avendo natura di lex specialis, precisa e integra le previsioni generali in materia di protezione dei dati personali contenute nel GDPR (la natura di lex specialis della direttiva e-privacy risulta evidente alla luce della lettura dell’art. 95 del GDPR, secondo il quale il medesimo GDPR non impone obblighi supplementari per quanto riguarda le materie che sono soggette a obblighi specifici fissati dalla direttiva e-Privacy; nonché dal considerando 173, che conferma l’applicabilità del GDPR a tutti gli aspetti che non rientrano in obblighi specifici della Direttiva e-Privacy).

[7] Art. 14  Disposizioni  sul  trattamento  dei  dati  personali   nel   contesto  emergenziale.

1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonchè per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonchè dell’articolo 2-sexies, comma 2,  lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione  civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonchè gli uffici del Ministero della salute e  dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.

2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonchè la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.

3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 Possono conferire le autorizzazioni di cui all’articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente.

5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e), del menzionato  regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti  di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del  medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.

6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020,  i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

[8] Art. 132 Cod. Privacy – Conservazione di dati di traffico per altre finalità 1. Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione.19 1-bis. I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.20 2. [già abrogato] 3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’articolo 391-quater del codice di procedura penale. La richiesta di accesso diretto alle comunicazioni telefoniche in entrata può essere effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; diversamente, i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all’articolo 2-undecies, comma 3, terzo, quarto e quinto periodo. 4. [già abrogato] 4-bis. [già abrogate] 4-ter. Il Ministro dell’interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l’eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.25 4-quater. Il fornitore o l’operatore di servizi informatici o telematici cui è rivolto l’ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all’autorità richiedente l’assicurazione dell’adempimento. Il fornitore o l’operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all’ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità. In caso di violazione dell’obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell’articolo 326 del codice penale. 4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia. 5. Il trattamento dei dati per le finalità di cui al comma 1 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante secondo le modalità di cui all’articolo 2-quinqiuesdecies, volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonchè ad indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1. 5-bis. E’ fatta salva la disciplina di cui all’articolo 24 della legge 20 novembre 2017, n. 167.

EMPLOYMENT AND COVID-19 IN ITALY by Paola Parma on GGI’s Newsletter

ggi_labour_law_corona_special (1)_compressed

https://ggiforum.com/index.php?option=com_content&view=article&layout=edit&id=1824

Since the beginning of the COVID19 emergency in Italy all employers were recommended to promote smart working to the maximum extent possible as well as to grant holiday leaves to their employees, in order to limit people’s movement throughout the Italian territory.

Prime Minister Decree of March 22, 2020 prohibited starting on March 26 completely the carrying out of any business activity (industrial, commercial and services), except for those deemed essential (as defined by an attached list or by reference to previous laws) and except for those activities to be considered “functional” to the essential ones (upon notification to the government provincial representative –Prefetto).

However, upon pressure by the workers’ associations which deemed it too broad the list of the essential and
tehn authorized activities is in the process of being cut.

Clearly, for activities allowed to continue, employers are required to adapt the working conditions to the pandemic situation; in particular, pursuant to Legislative Decree 81/2008 (Italian general and basic provisions in the matter of work safety and health) the employer must :

• immediately evaluate the risk of Covid-19 contagion
• timely adopt the measures fit to minimize the contagion risk
• inform and train the employees about said risk, the preventive measures and the rules of conduct to be applied
• operate an active heath surveillance
• put in place the instruments apt to verify the actual performance of the above measures
• provide for emergency plans fit to deal any case of contagion
• make available the financial means adequate for the above

Specific provisions in the matter of health in connection with COVID19 are contained in the Protocol signed between the employers’ and the employee’s associations on March 14, 2020.

The breach of the above provisions (including the omission of the notice to the Prefetto) is a criminal violation for which criminal proceedings will be established against the employer; in cases where one or more employees falls sick because of the employer’s unfulfilment of the due safety and health measures, the employer shall be charged with the crime of culpable personal injuries or negligent manslaughter.

By emergency decree D.L. n. 18 of March 17, 2020, the Italian Government also provided for several extraordinary measures aimed at supporting businesses, families and individuals in the current pandemic situation. With particular regards to employment, the following provisions were enacted:

LIMITATIONS TO EMPLOYMENT TERMINATIONS

No Employment Termination For 60 days from March 17, 2020:

• no collective dismissal procedure can be commenced and those commenced after February 23 are suspended
• employers, of any size, cannot terminate any employment due to economic or organizational reasons ( terminations on object justified grounds).

No employment termination for parents of disabled individuals Up to April 30, the employment of the parent of a disabled individual, living in the same house, cannot be terminated on the ground of absence from work, provided that such justified absence due to the closing of the centers for disabled people, be previously notified to the employer.

ACCESS TO WAGES SUPPLEMENT FUNDS ON AN EXTRAORDINARY BASIS FOR SUBSTANTIALLY ANY KIND OF EMPLOYER AND WITH SIMPLIFIED PROCEDURES

Admission to CIGO and “assegno ordinario”. Employers suspending or reducing their activity in connection with the pandemic COVID 19 are admitted to apply to Cassa Integrazione Guadagni Ordinaria -CIGO ( Ordinary Wages Supplement Fund) or to “assegno ordinario” ( another wages supplement fund) “for COVID-19 emergency”, for periods in 2020 of maximum 9 weeks altogether, starting from 23 February 2020.Urgent application and information /consultation procedures are provided for; CIGO and “assegno ordinario” periods connected to COVID 19 do not account for the limits of duration of the granting of the mentioned funds; other special and favorable provisions apply.

CIG for employers being already in CIGS. Employers who on February 23, 2020 are already admitted to CIGS ( Extraordinary Wages Supplement Fund) are admitted to apply to CIG (Wages Supplement Fund ) for a period not exceeding 9 weeks, to replace CIGS also for the same employees. Urgent application and information /consultation procedures are provided for, as well as other exceptions.

Admission to special CIG ( CIG “in deroga”) Employers (except for housework) which would not normally be admitted to any wage supplement fund may apply to a special wages supplement fund for their employees (employed of February 23,2020) for a period not exceeding 9 weeks. Applications should be addressed to the Regional (or Autonomous Province) offices. A previous agreement with the employees organizations is required (also by telematics means), except by employers of up to 5 employees. Payments are made by INPS (Social Security Agency) directly. Applications are granted on a first to apply first to be allowed basis.

SPECIAL LEAVE PERIODS (UP TO 15 DAYS) HAVE BEEN PROVIDED FOR PARENTS- EMPLOYEES INCLUDING SELF EMPLOYED

Special Children Leave for subordinate employees (with allowance). From 5 March 2020, all private sector employees parents are entitled, for a period not exceeding 15 days, to benefit from a special leave for their children -up to the age of 12 (or without age limit in case of disabled children)-with an allowance of 50% of the salary. Either parent is entitled, provided that both are employed and no one of them is the beneficiary of other support allowances.

Special Children Leave for self- employed individuals registered in the special section of INPS (gestione separata INPS) or registered with INPS (with allowance). From 5 March 2020, self employed parents registered with “gestione separata INPS” or with INPS– e.g. not professionals such as lawyers, CPS’s etc –are entitled, for a period not exceeding 15 days, to benefit from a special leave for their children up to the age of 12 (or without age limit in case of disabled children), with a daily allowance of 50% of 1/365 of their income (as calculated for the purpose of the maternity leave allowance or as calculated in accordance with criteria established by the law, depending on the case). Either parent is entitled, provided that both are employed and no one of them is the beneficiary of other support allowances.

Special Children Leave (without allowance) From 5 March 2020, all employees parents of children between 12 and 16 are entitled to a leave of absence, for the duration of the closing of schools, without allowance; employment remains guaranteed and termination is forbidden meanwhile. Either parent is entitled, provided that both are employed and no one of them is the beneficiary of support allowances.

LEAVES OF ABSENCE CONNECTED WITH THE COVID-19 EMERGENCY

Quarantine period as sick leave. The quarantine or fiduciary quarantine period, as certified by the competent medical doctor (“medico curante “), is treated as sick leave to economic purposes but is not accounted for the maximum sick leave period (“periodo di comporto”)

Absence as sick leave Up to April 30 disabled employee or with certified medical risks are entitled to a leave of absence considered as hospitalization

SPECIAL ONE-TIME ALLOWANCES, FUNDS AND EXTENSIONS

Baby sitting bonus From March 17, as an alternative to the special children leave, employees parents (including self-employed parents not registered with INPS-i.e. including professionals ) are entitled to an allowance of Maximum Euro 600.00 for babysitting services. Applications are ruled by INPS.

Special allowance for VAT professionals and CO.CO.CO Professional with a VAT number and Co.Co.Co. (self- employed individuals on a continuous cooperation basis), who are not retired or not enrolled with other mandatory pension funds, who are active as of February 23,2020, are entitled to a Euro 600.00 allowance for the month of March, paid by INPS upon application.

Extraordinary bonus for employees continuing working on premises Each employee, having a salary not exceeding 40.000 Euro/year, working on premises is entitled to an extraordinary bonus up to euro 100 depending on how many days he/she worked in March 2020. The bonus is paid by the employer with the April 2020 salary and in any case within the term for the end of the year balance calculations.

Tax credit for workplace sanification costs Anyone carrying out a business or profession is entitled to a tax credit up to Euro 20,000 equal to 50% of the evidenced costs incurred for the sanification of the workplaces and work instruments. The criteria for said tax credit will be determined within 30 days by a Ministry Decree.

Extension of the terms for application for unemployment indemnities The term for applying for unemployment indemnity is extended from 68 to 128 days for termination events occurred in 2020.

Fondo per il Reddito di Ultima Istanza A special fund has been established in favor of subordinate employees and self-employed individuals who, as a consequence of the COVID 19 emergency, reduced, stopped or suspended their work. The Ultimate Income Fund amounts to Euro 300 million for the year 2020. The criteria of allocation of said fund among applicants will be determined within 30 days by a Ministry Decree.

The Italian Government is continuously “updating” the provisions aimed addressing the behavior of the citizen and businesses at containing the impact of the pandemic and at limiting its the impact on the economy. We all hope it works!