Il bilanciamento tra interesse pubblico e protezione dei dati personali: cosa devono fare le aziende per adeguarsi al GDPR nel fronteggiare il rischio epidemiologico?

La diffusione del virus Covid-19 ha posto diversi interrogativi sulla tutela della privacy: raccolta e trattamento dei dati personali, sanitari ma non solo, sono infatti operazioni necessarie ai fini del contenimento della pandemia.
Nessun dubbio che le operazioni di raccolta e trattamento possano (anzi debbano) essere poste in essere da soggetti sanitari ed istituzionali ai fini del contenimento dei contagi ma è legittimo che queste stesse attività vengano svolte da soggetti privati?

Il Garante della Privacy, con una nota del 2 marzo 2020, aveva escluso questa possibilità affermando che:

“i datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extralavorativa.
La finalità di prevenzione della diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.
L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.

Sul tema è poi intervenuto, a qualche giorno di distanza, il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti lavoro” autorizzando, solo se si presentasse la reale necessità, anche i datori di lavoro (soggetti privati) alla raccolta e al trattamento di dati relativi alla salute dei propri lavoratori in vista della riapertura delle aziende e della ripresa delle normali attività.

Interesse pubblico o protezione dei dati personali?

Tra gli strumenti di contenimento del contagio individuati dal Protocollo è stata infatti prevista la possibilità di adottare alcune misure di controllo, come, ad esempio, la possibilità di verificarne lo stato di salute mediante la rilevazione della temperatura corporea al momento dell’ingresso nei luoghi di lavoro o di richiedere il rilascio di una dichiarazione di non provenienza da zone a rischio contagio o di assenza di contatti con soggetti risultati positivi nei 10/14 giorni precedenti, che costituiscono senza dubbio raccolta e trattamento di dati personali.

Cosa deve fare il datore di lavoro?

Anche a fronte della necessità di salvaguardare la salute collettiva sono stati stabiliti dei limiti di intervento al fine di garantire la tutela dei dati personali del lavoratore.

Il datore di lavoro o il titolare dell’azienda dovrà:

1) Fornire l’informativa sulle disposizioni delle Autorità, specificando:

• l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;
• la consapevolezza e l’accettazione di non poter fare ingresso in azienda, rimanendo nel proprio domicilio, ovvero di permanervi e di dover dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo e cioè sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti;
• l’impegno a rispettare tutte le disposizioni delle autorità e del datore di lavoro nel fare accesso in azienda;
• l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.

2) Ridurre al massimo l’accesso in azienda di visitatori esterni;

3) Rilevare la temperatura e non registrare il dato acquisito. Soltanto nell’eventualità in cui sia necessario documentare le ragioni che hanno impedito l’accesso ai locali aziendali sarà possibile identificare l’interessato e registrare il superamento della soglia di temperatura;

4) Fornire l’informativa, in forma scritta o orale, sul trattamento dei dati personali (ai sensi dell’art. 13 GDPR). L’informativa deve contenere alcune informazioni necessarie quali:

• la finalità del trattamento, quindi la prevenzione del contagio da COVID-19);
• la base giuridica del trattamento e cioè l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’articolo 1, n. 7, lettera d) del DPCM 11 marzo 2020 e degli articoli 6, lettera e) e 9, lettera b) del GDPR;
• le modalità del trattamento;
• la durata del trattamento;
• la conformità con i principi di necessità, adeguatezza e proporzionalità del trattamento medesimo così come precisato dal Gruppo di Studio Europeo in materia di Privacy, intervenuto sul punto con la dichiarazione resa il 19 marzo 2020.

5) Definire le misure di sicurezza e organizzative adeguate, anche attraverso l’individuazione di soggetti preposti al trattamento dei dati, così da poter garantire la protezione dei dati personali. Questi non potranno in nessun modo essere diffusi o comunicati a terzi, al di fuori delle specifiche previsioni normative (ad esempio all’Autorità sanitaria);

6) Nell’ipotesi sia necessario porre in isolamento momentaneo il lavoratore a causa del superamento della soglia di temperatura, il datore di lavoro/titolare dell’azienda è tenuto a garantire la massima riservatezza e a tutelare la dignità del lavoratore.

La Privacy Impact Assessment

Il datore di lavoro/titolare dell’azienda, per essere in linea con il GDPR e con i protocolli emanati in materia di contenimento del rischio epidemiologico, deve procedere ad una valutazione (o rivalutazione) dell’adeguatezza delle misure tecnico-organizzative e di sicurezza da adottarsi (o già adottate) ai sensi dell’articolo 32 del GDPR.

Questa operazione, chiamata Privacy Impact Assessment deve essere svolta, anche con riferimento al personale in smart working, verificando ed eventualmente integrando le attività sopra elencate oltre a:

• il registro dei trattamenti;
• il regolamento aziendale per l’utilizzo dei sistemi informatici e dei device aziendali;
• le regole per l’utilizzo a scopi lavorativi di device personali dei dipendenti e per l’adozione dei necessari sistemi di sicurezza;
• le regole e le modalità per l’accesso sicuro degli smart worker alla rete aziendale;
• l’autorizzazione ai dipendenti al trattamento di dati fuori dai locali aziendali e le relative istruzioni tecniche e organizzative per garantire la sicurezza dei dati.

Di queste attività devono essere necessariamente informati i lavoratori, eventualmente anche attraverso l’organizzazione di momenti formativi specifici.

Il Responsabile della Protezione dei Dati (RDP)

La Privacy Impact Assessment deve essere condotta con il coinvolgimento del Responsabile della Protezione dei Dati (RPD) , detto anche Data Protection Officer (DPO), se nominato.
L’RDP ha la funzione di fornire supporto al titolare del trattamento per rendere gli strumenti organizzativi di contenimento del contagio conformi alla normativa in materia di trattamento dei dati personali, tenendo conto della specificità della singola realtà aziendale.

L’adeguamento al GDPR da parte delle aziende non è un’operazione trascurabile ed è indispensabile l’aiuto da parte di un professionista. Vuoi verificare se la tua azienda è in regola? Hai bisogno di un aiuto per programmare gli interventi necessari per una corretta Privacy Impact Assessment? Contattaci per un primo colloquio nel quale potrai esporci le tue necessità.