Privacy e controlli aziendali per il contenimento del contagio
I provvedimenti di emergenza inerenti il contenimento del contagio da Covid-19 non legittimano una attività di controllo a largo raggio. Anche se, effettivamente, siamo in “stato di emergenza sanitaria”, ciò non porta alla disapplicazione automatica delle norme poste a presidio dei diritti fondamentali dell’individuo, quali quelli relativi al trattamento dei dati personali.
Una prima efficace misura di sicurezza da adottare, oltre ai principi di “Privacy by default” e “Privacy by design”, è quella prevista dall’articolo 25 Regolamento UE 679/2016, ovvero la minimizzazione dei dati, in forza della quale è ammessa la raccolta e, di conseguenza, il trattamento dei soli dati necessari per le finalità dichiarate dal titolare del trattamento. Come previsto dall’impianto di tutela del trattamento del dato personale posto dal Regolamento UE 679/2016 (Regolamento Europeo) la prima cosa che il titolare del trattamento deve fare è quello di informare l’interessato ovvero la persona fisica identificata o identificabile alla quale si riferiscono i dati.
Deve pertanto dare apposita “informativa privacy” che contenga, ai sensi e per gli effetti degli articoli 13 e 14 Regolamento UE 679/2016, le informazioni relative alle finalità del trattamento, alla base giuridica del trattamento, alle modalità di raccolta, al periodo di conservazione dei dati, a chi vengono comunicati i dati oltre all’indicazione della presenza di un trattamento automatizzato dei dati e se si procede ad una profilazione.
Una volta fornita ai soggetti interessati (dipendenti, clienti, fornitori) idonea informativa, l’azienda (titolare del trattamento del dato) deve acquisire uno specifico, libero ed espresso, consenso al trattamento del dato, ma anche in presenza di tale “autorizzazione” non sarà possibile creare degli “schedari che ricostruiscano gli spostamenti dei dipendenti, fornitori e clienti e le variazioni della loro temperatura corporea”.
A dirimere la questione sono intervenuti, in data 14.03.2020 e successivamente in data 24.04.2020, i “Protocolli condivisi di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”. È stato poi pubblicato in Gazzetta Ufficiale, in allegato al D.P.C.M. 26.04.2020, il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali” (allegato 6), il cui rispetto è imposto dal prossimo 4 maggio.
Le modalità di ingresso in azienda prevedono che:
- il personale, prima dell’accesso in azienda, può essere sottoposto al controllo della temperatura Se tale temperatura risulta superiore ai 37,5° non è consentito l’accesso ai luoghi di lavoro;
- il datore di lavoro informa preventivamente il personale e chi intende fare ingresso in azienda della preclusione dell’accesso a chi, negli ultimi 14 giorni, ha avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio.
Lo stesso protocollo individua gli adempimenti di cui alle lettere a) e b), poco sopra indicate, come rilevanti ai fini della disciplina privacy, nel senso che individua “la rilevazione in tempo reale della temperatura corporea” come “un trattamento di dati personali”, disponendo che tali azioni debbano “avvenire ai sensi della disciplina privacy vigente”. Vengono fornite alcune indicazioni operative:
- rilevare la temperatura e non registrare il dato acquisito. L’identificazione della persona e la registrazione del superamento della soglia di temperatura possono avvenire solo quando è necessario documentare le ragioni che hanno impedito l’accesso in azienda;
- fornire apposita informativa sul trattamento dei dati. L’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Quanto ai suoi contenuti: • finalità del trattamento: prevenzione dal contagio da Covid-19; • base giuridica: implementazione dei protocolli di sicurezza anti contagio ai sensi dell’articolo 1, n. 7, lett. d), D.P.C.M. 11.03.202; • periodo di conservazione: fino al termine dello stato di emergenza;
3. definire le misure di sicurezza ed organizzative adeguate a proteggere i dati. Occorre, in termini di organizzazione, individuare i soggetti preposti e fornire loro le istruzioni necessarie. I dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (ad esempio in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali contatti stretti di un lavoratore risultato positivo al Covid-19);
4. in caso di isolamento momentaneo per superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità della persona. Tali garanzie devono essere assicurate anche quando il lavoratore: • comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al Covid-19; • venga allontanato durante l’attività lavorativa perché ha sviluppato febbre e sintomi da infezione respiratoria;
5. qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19, la stessa costituisce trattamento del dato, applicandosi, anche in questo caso, quanto detto poco sopra. Si deve provvedere solamente alla raccolta dei dati strettamente necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19. Se si richiede una dichiarazione dei contatti con persone risultate positive al Covid-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva; così come, nel caso di dichiarazione sulla provenienza da zone a rischio epidemiologico ci si deve astenere dal chiedere indicazioni attinenti alla specificità dei luoghi.
( Articolo di Andrea Onori pubblicato su “Euroconference News”)