Fase 2, privacy e misure anti-contagio

499 Views

Il rispetto della privacy rimane uno dei principali obblighi per le imprese anche durante la fase 2 dell’emergenza.

L’eccezionalità dello stato emergenziale e la necessità di adempiere a misure di sicurezza necessarie a prevenire e ridurre il contagio non giustificano, infatti, l’accantonamento degli obblighi normativi in materia di protezione dei dati personali. Tutti i trattamenti svolti per la prevenzione e la limitazione del contagio devono essere svolti nel rispetto del GDPR.

Il protocollo condiviso del 24 aprile riporta alcune indicazioni seppur sintetiche in merito agli adempimenti in ambito privacy.

Primo fra tutti l’obbligo dell’informativa. L’impresa infatti è tenuta a fornire idonea informativa ai lavoratori ma anche a clienti, fornitori e a tutti coloro che accedono ai locali aziendali.

Fra gli altri, il rispetto del principio di minimizzazione dei dati, la durata dei trattamenti limitata allo stato di emergenza, il divieto di comunicazione dei dati a terzi se non casi previsti dalle disposizioni anti-contagio relativamente alle comunicazioni a Autorità sanitarie, pubbliche, giudiziarie.

Il caso più frequente in cui ci scontra con le disposizioni in ambito privacy è senza dubbio quello relativo alla rilevazione della temperatura corporea, che è da considerarsi a tutti gli effetti un trattamento di dati personali cosi come indicato dall’Autorità Garante.

In caso di rilevazione della temperatura corporea in tempo reale la registrazione e conservazione di tali dati è ammessa solo qualora la temperatura sia superiore alla soglia stabilita e quando sia necessario documentare le ragioni che hanno impedito l’accesso del lavoratore al luogo di lavoro (principio di minimizzazione).

Nei casi in cui venga rilevata la temperatura anche nei confronti di soggetti esterni ad esempio clienti, fornitori, visitatori occasionali (es. negozi, supermercati ecc…) anche qualora la temperatura sia superiore a quella impostata non è di norma necessario registrare il dato che ha portato al rifiuto dell’accesso.

Altri trattamenti che devono trovare il loro equilibrio con le diposizioni in materia di protezione dei dati personali riguardano ad esempio e autocertifcazione e l’esecuzione dei tamponi.

Quali sono, quindi, sul piano pratico, i principali adempimenti per le imprese?

  • Redigere e fornire apposita informativa in merito al trattamento dati effettuato.
  • Designare i soggetti autorizzati a svolgere le specifiche operazioni di trattamento (es. addetto alla rilevazione della temperatura, raccolta autodichiarazioni, ecc…) impartendo loro specifiche istruzioni che dovranno essere rispettate nelle attività di trattamento.
  • Individuare il soggetto incaricato della cancellazione dei dati una volta terminata l’emergenza.
  • Eseguire una analisi dei rischi privacy in particolare una valutazione di impatto privacy, trattandosi di dati sanitari quindi di particolare natura. E ciò in particolar modo ove il trattamento, ad esempio la rilevazione della temperatura o il controllo degli accessi, avvenga tramite strumenti tecnologici.
  • Verificare la conformità privacy degli strumenti utilizzati
  • Adottare idonee misure di sicurezza (es. reti protette, archiviazione in apposite directory eccc…)
  • Nominare i responsabili esterni, laddove il trattamento sia svolto da soggetti esterni (es. personale medico che rileva la temperatura o organi di vigilanza deputati al controllo degli accessi).
  • Integrare il registro delle attività di trattamento
  • Coinvolgere il DPO laddove nominato

In caso di richiesta di autocertificazioni occorrerà predisporre appositi moduli che consentano l’acquisizione dei soli dati necessari evitando di richiedere informazioni aggiuntive in merito al soggetto risultato positivo, a località visitate o altri dettagli anche legati alla vita privata del singolo.

Nel caso in cui siano eseguiti tamponi sul personale dipendente occorrerà prevedere procedure per l’invio o comunque la raccolta degli esiti direttamente tramite il medico competente

Anche relativamente all’operato dello stesso medico dovranno, infatti, essere rispettate le disposizioni del GDPR e sarà necessario un coordinamento con lo stesso per predisporre idonee di procedure. 

Il medico competente, ad esempio, è tenuto a segnalare al datore di lavoro i casi in cui ritiene che la particolare situazione del lavoratore richieda l’impiego in ambiti meno esposti al rischio di infezione ma non potrà informare l’impresa circa le specifiche patologie.

Open chat