Covid-19, tutta la privacy della Fase 2: adempimenti per imprese e lavoratori | Agenda Digitale

LE NUOVE REGOLE

Covid-19, tutta la privacy della Fase 2: adempimenti per imprese e lavoratori

Dall’aggiornamento del Registro dei trattamenti alle disposizioni sulla gestione dei dati, il Governo mette in campo le misure per la ripartenza delle attività produttive. Ecco i principi cardine per una corretta riapertura

04 Mag 2020
Luigi Padovan

Avvocato e Data Protection Officer (DPO), Co-founder DPO Compliance Consulting


Anche nella tanto attesa Fase 2 le regole per la ripresa delle attività saranno, come abbiamo visto, stringenti, con l’obiettivo primario di tutelare la salute dei cittadini, scongiurando un nuovo rialzo della curva dei contagi da Coronavirus e una nuova serrata. La guardia è alta anche sul fronte privacy: vediamo come aziende e lavoratori dovranno adeguarsi.

L’Italia riparte: i binari da seguire

Viene ancora previsto il distanziamento sociale di almeno un metro, adozione di dispositivi di protezione individuale quali mascherine e quant’altro, turni per entrare nei negozi e sui luoghi di lavoro, controlli sui lavoratori, oltre all’ormai consueto utilizzo, qualora possibile, dello smart working.

Per quanto riguarda la tutela dei dati personali la regola cardine, da tenere in fondamentale considerazione per tentare di dare risposta a siffatti quesiti, pur senza pretesa di esaustività, è dettata innanzitutto dal rispetto del principio di minimizzazione che, assieme a quello di proporzionalità, impongono al titolare il trattamento dei soli dati di cui ha realmente bisogno per raggiungere le finalità del trattamento, in questo caso dettate dalla necessità di prevenzione dei contagi.

No dunque alla raccolta di dati, da parte del datore di lavoro, che non rientrano strettamente in tale finalità, peraltro espressamente accennata nella prevista necessità di proteggere gli interessi vitali dell’interessato di cui all’Articolo 9.2.c GDPR e, più nello specifico, dall’allegato considerando 46, il quale fa esplicito riferimento al controllo di un’epidemia.

Proprio su quest’ultima considerazione si è innestata la recente dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 da parte dell’EDPB, Comitato Europeo per la Protezione dei Dati Personali, che tra gli altri argomenti affrontati, ha ribadito nello specifico la necessità di stretta applicazione dei principi appena menzionati, anche avuto riguardo alle informazioni che i datori di lavoro si trovano e si troveranno a richiedere ai propri dipendenti lavoratori, con particolare riferimento a quei dati sanitari che riguardano specificamente l’attuale panorama epidemiologico.

Tali indefettibili principi sono stati peraltro oggetto di applicazione diretta anche nell’ormai noto “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo scorso[1], contenente le linee guida relative alla sua intestazione, laddove in esso è stato dedicato un intero riferimento alla protezione dei dati personali, anche attraverso il richiamo ai concetti di matrice europea facenti parte della normativa nazionale vigente[2].

La rilevazione della temperatura

Tra le varie misure di prevenzione contenute nelle linee guida appena menzionate, è nota ai più l’istituzione, tra gli altri, dell’obbligo per il datore di lavoro di sottoporre il personale alle sue dipendenze al controllo della temperatura corporea, da effettuarsi prima dell’ingresso nei locali aziendali.

Appare evidente che la temperatura corporea del lavoratore rappresenta un dato personale relativo alla sua salute, da considerarsi per questo quale dato particolare ex art. 9, comma 1, GDPR; di qui le rafforzate e necessarie cautele da adottarsi in ordine al trattamento dei relativi dati, anche in considerazione che il trattamento in questione viene effettuato in deroga alla necessità di consenso da parte dell’interessato.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

All’esito del controllo in questione, qualora la temperatura rilevata del dipendente dovesse risultare superiore a 37,5 C°, sarà impedito l’accesso di quest’ultimo in azienda, indirizzandolo al proprio medico curante per seguirne le indicazioni.

Assume particolare rilevanza, proprio nell’ottica del principio di minimizzazione, il divieto di registrazione dei dati personali ottenuti dagli eventuali sistemi di rilevazione della temperatura corporea.

Questi ultimi strumenti non sono infatti di per sé in grado di diagnosticare la presenza o meno dell’agente patogeno nell’individuo oggetto della rilevazione, bensì permettono di misurare la sola temperatura corporea, che da sola non costituisce indice di infezione, ma che tuttavia impone, alla luce della normativa recentemente introdotta, la necessità di allontanamento del lavoratore dal luogo di lavoro in presenza di sintomi febbrili.

Per questi motivi, e ai fini del rispetto della normativa citata, il dato in questione potrà essere associato al lavoratore solo ed esclusivamente qualora sia necessario per documentare le ragioni che ne hanno impedito l’accesso ai locali aziendali.

Per quanto riguarda i device attraverso i quali tali rilevazioni potranno avvenire, alcuni di essi permettono la registrazione del dato e alcuni altri abilitano persino, talvolta con l’utilizzo di una c.d. companion app, di associare il dato rilevato con il rispettivo nominativo del soggetto. Ebbene, pare opportuno ribadire, proprio in ordine a tali ultimi strumenti di controllo, che il loro utilizzo si pone evidentemente al di fuori del perimetro stabilito dai principi di riferimento di cui si tratta, proprio per l’eccessiva invasività dei dati raccolti rispetto al mero dato metrico di cui si necessita.

Come effettuare l’informativa

Le rilevazioni sopra accennate, quali trattamenti di dati, comportano l’ovvia necessità per il titolare di fornire ai propri dipendenti la dovuta informativa sul trattamento dei loro dati personali; quest’ultimo potrà omettere le informazioni di cui l’interessato è già in possesso e potrà fornire l’informativa anche oralmente, seppur sia consigliabile adottare in azienda accanto ad essa un’informativa dettagliata, rendendola immediatamente accessibile e a disposizione dell’interessato dietro sua semplice richiesta.

Quanto ai contenuti dell’informativa, essa non si discosta dal suo modello tipo; in ordine alla finalità del trattamento, potrà essere indicata la prevenzione dal contagio da COVID-19 mentre, con riferimento alla base giuridica del trattamento, essa potrà essere indicata nell’implementazione dei protocolli di sicurezza anti-contagio previsti ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020; quanto infine alla durata dell’eventuale conservazione dei dati, si potrà fare riferimento al termine dello stato d’emergenza.

Misure di sicurezza

Alla luce della natura e della contingenza del trattamento in questione, sarà inoltre opportuno dettagliare idonee misure di sicurezza e organizzative che risultino adeguate a proteggere i dati raccolti.

In particolare, quanto al profilo organizzativo, sarà necessario individuare i soggetti preposti al trattamento e fornire loro le relative istruzioni al fine di evitare, da un lato, trattamenti diversi da quello strettamente necessario per la limitazione del contagio da COVID-19 e, dall’altro, al fine di impedire la possibile diffusione dei dati trattati o la loro comunicazione al di fuori delle specifiche previsioni normative, quali ad esempio la richiesta di informazioni, da parte dell’Autorità sanitaria, per la ricostruzione della filiera del contagio, degli eventuali contatti stretti di un lavoratore risultato positivo al COVID-19, dovendosi tuttavia in quest’ultimo caso, evitare il riferimento a persone specificamente individuate ma riferendosi, più genericamente, a quelle che ha frequentato o ai luoghi ove la persona sintomatica sia transitato o abbia soggiornato nel periodo antecedente alla manifestazione della sintomatologia in questione.

Sempre in tema di misure di sicurezza vale poi ricordare l’eventualità di un isolamento momentaneo e il successivo allontanamento del lavoratore, dovuto al superamento della soglia di temperatura o ad evidenti manifestazioni dei sintomi associati al fenomeno pandemico in corso, oppure il caso in cui questi comunichi spontaneamente all’ufficio preposto di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19. Ebbene, questi casi, ogni misura che si intenderà adottare dovrà essere eventualmente disposta attraverso modalità tali da garantire la riservatezza e la dignità del lavoratore, delle quali sarà necessario poter fornire prova.

Assenza o abbandono del posto di lavoro

Come ormai pressoché pacifico, l’allontanamento volontario dal lavoro o l’assenza dettate dalla paura del contagio, non sono di per sé riconducibili a un’assenza giustificata del lavoratore.

Al di là del confinamento per decisione della Pubblica Autorità e seppure giungano interpretazioni volte a ricondurre tali comportamenti nell’alveo delle astensioni dal lavoro per obblighi nascenti da provvedimenti amministrativi, in assenza di idonee comunicazioni, il lavoratore che non si reca nel luogo di lavoro per il semplice timore di essere contagiato potrebbe infatti essere considerato assente ingiustificato dal luogo di lavoro, dovendosi innestare quindi tutte le consuete cautele e linee informative in tema di malattia del lavoratore stesso.

Anche in questo caso sarà necessario il rispetto dei principi di proporzionalità e minimizzazione, evitando di diffondere i dati relativi alla questione al di là delle mere necessità di gestione della pratica; le eventuali ulteriori comunicazioni[3] saranno quindi gestite con tutte le cautele del caso, non dissimilmente da quanto già avviene in tema di gestione della malattia del lavoratore in azienda, ma con l’ulteriore cautela riguardante la specificità dell’emergenza in corso.

Aggiornamento del registro dei trattamenti

Quanto sin qui considerato rende chiara un’ulteriore necessità per le aziende, costituita dall’aggiornamento del proprio Registro dei Trattamenti, tenuto ex art. 30 GDPR, che come noto costituisce uno dei più chiari indici di accountability e quindi di una corretta gestione dei dati personali trattati in azienda.

Oltre alle consuete attività di trattamento, la situazione epidemiologica attuale e la normativa da essa scaturente rendono le imprese costrette ad effettuare gli ulteriori trattamenti ai quali si è fatto sin qui cenno, i quali andranno debitamente indicati nel registro in questione, allo stesso modo di quanto già annotato dalle stesse aziende in ordine ai trattamenti, per così dire, abituali.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

V’è da dire che si tratta di un’integrazione non particolarmente invasiva, dovendosi includere in essa i parametri abituali relativi alle voci in questione ovvero, giova ricordare, il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati, le finalità del trattamento (prevenzione dal contagio da COVID-19), la descrizione della categoria di interessati (dipendenti) e della categoria dei dati personali trattati (dati sanitari); i destinatari a cui i dati personali sono stati o saranno comunicati (aut. sanitarie, enti previdenziali); i termini ultimi previsti per la cancellazione dei dati trattati (fine emergenza) e, dove possibile, una descrizione generale delle misure di sicurezza adottate; infine, quanto alla base giuridica del trattamento da indicarsi, essa sarà costituita, come già accennato in tema di informativa, dall’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020.

  1. Il documento nasce in attuazione della misura contenuta all’art. 1, comma 1, n. 9), del Decreto del Presidente del Consiglio dei Ministri 11 marzo 2020 il quale, in relazione alle attività professionali e alle attività produttive, ha raccomandato intese tra organizzazioni datoriali e sindacali.
  2. cfr. punto 2 http://www.governo.it/sites/new.governo.it/files/protocollo_condiviso_20200314.pdf (Modalità di ingresso in Azienda)
  3. Ci riferiamo alla già citata opportunità, per l’azienda, di informare il lavoratore sulla necessità di quest’ultimo di provvedere a contattare le Autorità sanitarie competenti.
@RIPRODUZIONE RISERVATA

Articolo 1 di 3