Privacy COVID-19: trattamento dati secondo il Protocollo 20 aprile 2020

07/05/2020
di Valentina Frediani

Gli aspetti privacy nel trattamento dati legato al Covid-19 sono numerosi e complessi. Per limitare la diffusione del virus negli ambienti di lavoro, il 24 aprile 2020 è stato integrato il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”. Si tratta della seconda versione di quello originariamente sottoscritto il 14 marzo 2020, su invito del Presidente del Consiglio dei ministri, del Ministro dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute.

Cosa prevede il Protocollo Covid-19 di aprile sul tema privacy

Il documento contiene tutte le indicazioni relative all’adozione di misure in ambiente lavorativo per prevenire il contagio da Covid-19 dedicando ampio spazio al tema privacy alla luce dei vari trattamenti dati che saranno posti in essere dai datori di lavoro (d’ora innanzi Titolari) verso i proprio dipendenti e dai committenti (sempre Titolari!) verso i propri fornitori.

Le precisazioni riguardano in particolare alcune ipotesi citate nel dettaglio nel documento. Innanzi tutto, quella relativa alla rilevazione in tempo reale della temperatura corporea. Nel protocollo viene utilizzato il termine “si suggerisce” che ovviamente è di mero invito in quanto le variabili di come verranno trattati i dati potranno essere condizionate dal core dell’azienda (pensiamo ad ambiti sanitari) e dalle ulteriori misure che potranno essere adottate.

Temperatura corporea e trattamento corretto

Dicevamo, nel Protocollo riferito alle misure di contenimento del virus Covid-19 si suggerisce di non registrare il dato della temperatura corporea rilevato nel momento dell’accesso alla struttura. Il riferimento è al punto 2) del Protocollo che disciplina la modalità di accesso all’azienda. Il Titolare difatti prima dell’accesso al luogo di lavoro potrà sottoporre il personale al controllo della temperatura corporea.

Attenzione: già la mera rilevazione della temperatura senza che vi sia registrazione costituisce comunque un trattamento (ricordiamo che il GDPR fa riferimento anche alla mera consultazione, quindi si evidenzia come a prescindere dalla registrazione o meno si renda necessario integrare le autorizzazioni dei soggetti che consulteranno il dato per consentire o meno l’accesso).

 Si prevede invece il trattamento con registrazione laddove si assista al superamento della soglia di temperatura e la conservazione del dato sia necessaria a documentare le ragioni che hanno impedito l’accesso ai locali aziendali (nel caso del personale tale dato sarà comunicato alle risorse umane, mentre nell’ipotesi di dipendenti di soggetti terzi di cui il Titolare è committente, la registrazione servirà per la gestione del rapporto di servizio o prestazione).

L’informativa privacy per gli interessati

In entrambi i casi è palese come il Titolare debba informare gli interessati, sia coloro che non vedranno registrare i propri dati (e l’informativa servirà proprio per evitare qualsiasi fraintendimento in merito) sia coloro il cui dato sanitario costituirà trattamento per tutte le finalità dal Protocollo stesso. Quest’ultimo indica la possibilità di rilasciare una informativa orale cosa che personalmente sconsiglio trattandosi di un trattamento estremamente delicato e per il quale è opportuno dimostrare quali specifiche informazioni sono state rilasciate.

La data retention ai tempi del Covid-19

Il Protocollo accenna anche al tema del data retention: per la conservazione dei dati si può far riferimento al termine dello stato d’emergenza. Orbene, tale termine ad oggi dovrebbe corrispondere con il 31 luglio 2020 salvo proroghe in considerazione dell’atto formale datato 31 gennaio 2020, ma è opportuno che chi si occuperà di governare questi documenti e flussi dati tenga bene d’occhio l’evolversi della situazione per allineare, se sarà necessario, tali termini ad eventuali proroghe. Il Titolare dovrà definire le misure di sicurezza e organizzative adeguate a proteggere i dati: appare fondamentale integrare le procedure organizzative relative al controllo degli accessi ma anche a tutto che è afferente al tema dell’isolamento previsto al punto 11 ed alla sorveglianza dei soggetti sanitariamente fragili di cui al punto 12).

Sul punto 11, ovvero la gestione di una persona sintomatica in azienda, ricordiamo che a questa dovrà essere rilasciata una informativa ad hoc considerando che lo stesso Protocollo prevede che l’azienda proceda immediatamente ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-19 forniti dalla Regione o dal Ministero della Salute (dando quindi comunicazione del dato sanitario dell’interessato a soggetti terzi) e che collabori con le Autorità sanitarie per la definizione degli eventuali “contatti stretti” tenuti dalla persona positiva al tampone COVID-19.

Le dichiarazioni degli interessati: cosa chiedere e cosa no

Un’altra ipotesi di trattamento specifico prevista dal Protocollo è quella in cui l’azienda richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19: in questo caso l’acquisizione della dichiarazione costituisce un trattamento dati per cui dovrà essere rilasciata apposita informativa ed il flusso degli stessi dovrà essere organizzato in modo da garantire la riservatezza. Su tale trattamento occorrerà raccogliere solo dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19: se viene richiesta una dichiarazione sui contatti con persone risultate positive al COVID-19, il Titolare dovrà astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva così come se viene richiesta una dichiarazione sulla provenienza da zone a rischio epidemiologico, ci si dovrà astenere dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi. Sulle previsioni del punto 12) inerenti la segnalazione all’azienda da parte del medico competente delle situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti affinché vengano adottate misure a loro tutela, si rappresenta la necessità di adottare apposita informativa laddove il trattamento avvenga in modalità diversa rispetto a quanto ordinariamente avviene per finalità sanitarie e previdenziali: ad esempio potrebbero rendersi necessarie comunicazioni a personale interno per una gestione degli incarichi “proporzionata” ai rischi indicati dal medico competente.

Ricordiamo infine che oltre agli obblighi documentali previsti dal GDPR e che scaturiscono in modo diretto da questo Protocollo, si renderà necessario adottare misure di sicurezza a protezione di dati cartacei ed informatici inerenti il Covid-19. Con riferimento alle tecnologie che potranno essere utilizzate per trattare i dati di cui al Protocollo ricordiamo l’obbligo del data protection impact assessment (si pensi a termoscanner con rilevazione biometrica) oltre ai documenti obbligatori per dimostrare in accountability la valutazione dei rischi effettuata a monte dei trattamenti stessi.

Riproduzione riservata ©

ALTRE NEWS

Updated – La Direttiva NIS: le regole di sicurezza informatica a livello UE

Il 17 maggio scorso, il Consiglio europeo ha adottato formalmente nuove regole per rafforzare la sicurezza dei sistemi e delle reti in tutta l’UE. L’esigenza… Leggi Tutto

Smau Milano 2013: DI & P Srl racconta la propria esperienza

Si chiude il sipario sulla 50esima edizione di SMAU Milano 2013, una tre giorni dedicata ad esplorare le ultime frontiere delle tecnologie digitali per il… Leggi Tutto

Anagrafe dei sistemi di videosorveglianza: riflessioni sugli aspetti critici

E’ notizia recentissima la proposta del Prefetto di Pisa Francesco Tagliente di costituire un’anagrafe degli impianti -e delle immagini da essi riprese- di videosorveglianza sia… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.