Blog : gdpr

Emergenza COVID-19 e Privacy

Emergenza COVID-19 e Privacy

L’emergenza COVID-19 non deve in alcun modo costituire un alibi per “eludere” norme giuridiche che, oltre al rispetto dei diritti, delle libertà fondamentali e della dignità delle persone, costituiscono anche baluardo per la civile e ordinata convivenza sociale”.

E’ questa l’affermazione che ha guidato gli autori del presente documento nel fornire utili e valide indicazioni circa il rispetto delle normativa privacy connessa all’adozione delle misure di “sicurezza” che il “datore di lavoro” ha l’obbligo di rispettare per garantire la salubrità dei luoghi di lavoro e la salute dei lavoratori, in particolar modo, in questo periodo di emergenza e di necessaria ripresa delle attività.

Efficace punto di partenza nell’applicazione delle cautele “safety” da adottare è, senza dubbio, il “Protocollo condiviso di regolamentazione delle misure per il contrasto ed il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” siglato il 14 marzo scorso dal Governo e dalle altri Parti Sociali (rappresentanze sindacali e datoriali).

Il Protocollo, se da un lato conferma la necessità di diminuzione o di sospensione momentanea delle attività, dall’altro indica il ricorso allo smart working e agli ammortizzatori sociali quali strumenti idonei a rendere possibile la “ripresa” assicurando, inderogabilmente, tutte le opportune garanzie di sicurezza negli ambienti di lavoro.

In particolare, si definiscono le seguenti prescrizioni:

  • per i dipendenti, l’obbligo di non recarsi sul posto di lavoro se sintomatici e/o con febbre (superiore ai 37,5°), ovvero, di comunicare tempestivamente al datore di lavoro la presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa;
  • per i datori di lavoro: la possibilità (o obbligo necessitato) di sottoporre il personale, prima dell’accesso al luogo di lavoro, al controllo della temperatura corporea.

Ebbene, alla luce di queste prescrizioni, quali sono gli aspetti privacy rilevanti?

Proprio in virtù del fatto che la rilevazione delle informazioni relative alla presenza o meno di sintomi influenzali e di altre informazioni di cui il dipendente ha l’obbligo di riferire, costituisce un trattamento di dati e informazioni personali, peraltro di natura particolare (o sensibile), è bene fornire, di seguito, qualche ulteriore specificazione in merito al rilevamento della temperatura corporea.

Il rilevamento della temperatura corporea con termoscanner manuali costituisce, in tutte le circostanze in cui esso viene operato, un trattamento dei dati personali – rientranti nella categoria dei dati particolari in quanto volti a raccogliere dati o informazioni sullo stato di salute – ciò che deve essere chiaro è l’obbligo dell’immediata adozione da parte del titolare del trattamento e/o del responsabile del trattamento di tutte gli adempimenti di cui al Regolamento UE 2016/679 (GDPR) e D.lgs. 196/2003 (Codice Privacy) che rendono lecito, necessario, proporzionale il trattamento stesso.

Il medesimo ragionamento è valido per l’utilizzo delle apparecchiature video (ad esempio, telecamere termiche) le quali seppur non consentono, nell’immediato, l’identificazione del soggetto/interessato video-ripreso, comunque si configura un potenziale trattamento di dati. Difatti, laddove le telecamere dovessero rilevare un soggetto con temperatura superiore a quella prevista sarà, di conseguenza, necessario identificarlo e dar seguito ad altre indicazioni di tutela del lavoratore.

È del tutto evidente che il novero delle misure di contenimento sopra individuate necessita di sistemi e soluzioni tecnologiche tali da controllare un elevato numero di persone interessate e, soprattutto, di procedere con la massima cautela e precisione, senza che vi sia un intervento ravvicinato dell’operatore.

E quali gli adempimenti della normativa privacy?

Con specifico riferimento alla normativa privacy, l’adozione delle misure indicate dal Protocollo presuppongono:

  • un’idonea informativa all’ingresso dei locali dove verranno posizionati gli strumenti di rilevamento della temperatura, la quale contempli sia il rilevamento della temperatura, sia l’acquisizione di informazioni circa lo stato di salute. Per quanto riguarda, ad esempio, l’utilizzo di telecamere termiche, l’informativa andrà fornita sia in modalità sintetica e sia consentendo all’interessato di acquisire l’informativa “estesa” ai sensi delle nuove Linee guida nr. 3 del 29/01/2020 emanate dal Comitato Europeo per la Protezione dei Dati Personali;
  • l’informativa, con riferimento alla finalità del trattamento, dovrà contenere la seguente finalità – “prevenzione dal contagio da COVID-19” – e quale base giuridica – “l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020”. Per quanto concerne, invece, la durata dell’eventuale conservazione dei dati si può far riferimento al “termine dello stato d’emergenza”;
  • la possibilità di identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
  • la definizione di misure di sicurezza tecnico-organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. E’ altresì necessario tener presente che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi se non in base a specifiche previsioni normative (ad esempio, su richiesta dell’Autorità sanitaria competente e impegnata a ricostruire la filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19); inoltre, in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’Ufficio del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa possa avvertire sintomi influenzali o di infezione respiratoria;
  • la sottoscrizione dell’accordo sul trattamento dei dati (nomina) con gli eventuali Responsabili esterni del trattamento, ad esempio con le società che forniscono il servizio di portierato ed alle quali il datore di lavoro richiede, in questo periodo, di rilevare la temperatura dei propri dipendenti;
  • la predisposizione della Valutazione di Impatto privacy, la quale è sempre richiesta nel caso di videosorveglianza dei dipendenti e nel caso di trattamento di dati di natura particolare (riguardanti anche lo stato di salute) riferiti ai dipendenti.

Occorre infine evidenziare che l’utilizzo di videosorveglianza, anche per le finalità sopra indicate dovrà necessariamente rispettare i dettami dell’art. 4 L. 300/1970 (Statuto dei Lavoratori). Pertanto, il “datore di lavoro” – che ai fini privacy rappresenterà il “titolare del trattamento” – dovrà munirsi dell’accordo delle organizzazioni sindacali o, in mancanza, dell’autorizzazione dell’Ispettorato Territoriale del Lavoro.
La redazione di K-Solution Srl

Potete contattarci mediante il form presente sul nostro sito web.
Il nostro team di esperti è a vostra disposizione per fornirvi la consulenza specialistica necessaria a rispettare le previsioni del Protocollo per la prevenzione della diffusione del Covid-19 assicurando, nel contempo, il rispetto della normativa privacy.

Corso di formazione “Data Protection Officer & Information Security”…sono aperte le iscrizioni!

Corso di formazione “Data Protection Officer & Information Security”…sono aperte le iscrizioni!

E’ finalmente on-line il bando per il corso di formazione “Data Protection Officer e Information Security” che avrà inizio il 15 marzo p.v. presso l’Università di Roma Tor Vergata. Il corso è organizzato dal Centro Ricerche Economiche e Giuridiche (C.R.E.G.) e ASS.PRI.COM 2.0.

Le lezioni saranno tenute da illustri docenti del mondo accademico ed esperti nelle materie specialistiche oggetto di insegnamento, con lo scopo di formare, operativamente,  la nuova figura professionale del Data Protection Officer (DPO), pronta per l’inserimento nel mondo delle imprese e della Pubblica Amministrazione a brevissimo!

Il Corso, di taglio prettamente pratico, si articola in lezioni tradizionali, laboratori, esercitazioni e stages guidati, per un totale di 220 ore. Le lezioni si terranno il venerdì – dalle 12 alle 19 – ed il sabato – dalle 9 alle 14.

Il bando e la domanda di ammissione al corso sono consultabili visitando questo indirizzo web.

Per maggiori informazioni potete scrivere una mail all’indirizzo centro@creg.uniroma2.it o chiamare il numero 334.8500911.