Adempimenti Privacy e Regole per la Riapertura

289 Views

Sono in fase di elaborazione i protocolli sicurezza presentati dalle Regioni a Governo e CTS al fine di definire le linee guida da seguire nella fase di riapertura. 

Da un punto di vista privacy meritano particolare attenzione alcune delle misure previste per la prevenzione e il contrasto della pandemia tra cui la possibilità di rilevare la temperatura di clienti, avventori e personale interno ai quali potrà non essere garantito l’accesso nel caso in cui la temperatura rilevata superasse i 37.5°C, e l’obbligo di conservare i registri di prenotazione con nominativi e recapiti telefonici. 

Appaiono spontanei alcuni quesiti: è lecito raccogliere tali dati? Quali sono gli adempimenti a cui si dovrà far fronte? 

Relativamente alla liceità del trattamento si ritiene che esso possa ritenersi tale e che la sua base giuridica sia da rinvenirsi nell’art. 6 lett. c) del REG. UE 2016/679 che prevede la liceità del trattamento qualora esso sia necessario per adempiere ad un obbligo legale. 

Obbligo legale che nel caso di specie si rinviene nel D.lgs. 81/08 (quale fonte primaria) che rappresenta il quadro normativo di riferimento nella prevenzione del contagio e nelle linee guida regionali che seppure fonti normative di rango inferiori rappresentano la diretta attuazione di tale decreto. Si pongono poi sempre in un’ottica di continuità i protocolli condivisi fra le parti sociali, i documenti tecnici prodotti dall’INAIL e dagli Istituti sanitari competenti.

Anche laddove possa non essere condivisa tale impostazione un’altra base giuridica prevista dal REG.UE 2016/679 è quella dell’art. 6 lett.d) in base al quale il trattamento è lecito quando è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.

Il l Considerando n. 46, del sopracitato regolamento specifica poi come alcuni tipi di trattamento di dati personali possano rispondere sia a rilevanti motivi di interesse pubblico sia alla necessità di tutela di interessi vitali dell’interessato (art. 6, par. 1, lett d) ad esempio laddove il trattamento è necessario a fini umanitari, per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione.

La base giuridica può essere differente in relazione al trattamento svolto e al soggetto interessato tant’è che relativamente ai trattamenti svolti nei confronti di dipendenti e/o utenti che accedono alle sedi aziendali al fine dell’applicazione dei protocolli di sicurezza la base giuridica può essere rinvenuta per il personale interno nelll’art. 9 comma 2 lett. b) REG.UE 2016/679  (obblighi in materia di lavoro), mentre per gli esterni nell’art. 9 comma 2 lett. i) REG.UE 2016/679  (tutela della salute pubblica).

Per quanto riguarda gli adempimenti privacy ciascun titolare del trattamento dovrà predisporre ed adeguare la propria documentazione privacy e laddove necessario le misure di sicurezza ed organizzative a protezione del trattamento effettuato nei confronti di clienti, utenti e personale interno.

Alcuni adempimenti a titolo esemplificativo e non esaustivo

Conservazione del registro prenotazioni clienti

  • dovrà essere fornita apposita informativa ai clienti in riferimento al nuovo trattamento svolto
  • dovrà essere aggiornato il registro delle attività di trattamento

In base alla modalità di raccolta e conservazione dovranno essere adottate apposite misure di sicurezza ed organizzative relativamente all’accesso a tali dati, alla loro conservazione ed eliminazione fra cui ad esempio:

Modalità cartacea

  • conservazione dei registri in luogo non accessibili a terzi non autorizzati o all’utenza
  • eliminazione dei registri previo utilizzo di tritadocumenti 
  • eliminazione allo scadere del termine di conservazione

Modalità elettronica

  • protezione di accesso al dispositivo hardware e software e/o al file utilizzati tramite password impostata e sostituita secondo quanto previsto dalla normativa, criptazione dei dati, impostazione cancellazione automatica, protezione delle connessioni ecc…).

Rilevazione della temperatura clienti e personale interno

Anche in questo caso gli adempimenti varieranno a seconda delle modalità con cui i dati vengono rilevati.

Rilevazione temperatura tramite termometro laser manuale

  • dovrà essere fornita apposita informativa ai clienti e personale interno (che potrà differire) in riferimento al nuovo trattamento svolto
  • dovrà essere aggiornato il registro delle attività di trattamento
  • non dovrà essere in nessun caso letta la temperatura ad alta voce e conservato il valore rilevato

Rilevazione temperatura tramite termoscanner

  • verificare che il dispositivo utilizzato sia conforme alla normativa privacy
  • dovrà essere fornita apposita informativa ai clienti e personale in terno (che potrà differire) in riferimento al nuovo trattamento svolto
  • dovrà essere aggiornato il registro delle attività di trattamento

Laddove il termoscanner abbia attive funzionalità aggiuntive quali ad esempio la scansione del volto per verificare se il soggetto indossa o meno la mascherina, oppure laddove venga utilizzata la funzione di archiviazione dei volti al fine di gestire accessi differenziati a determinate aree aziendali o ancora laddove siano utilizzati i badge del personale con una doppia funzione di rilevazione temperatura e rilevazione presenza saranno necessari ulteriori adempimenti quali ad esempio: 

  • l’esecuzione di una valutazione d’impatto 
  • l’attuazione di ulteriori misure di sicurezza tra cui ad esempio la pseudonimizzazione dei dati in modo tale che in caso di accesso da parte di soggetti non autorizzati non sia possibile ricondurre il dato al soggetto interessato.