ADEMPIMENTI PRIVACY

Sanzioni e attività ispettive in materia di sanità pubblica: impatto sulla protezione dei dati personali

Nell’attuale Fase 2 sono state previste pesanti sanzioni e una più intensa attività ispettiva per il rispetto delle prescrizioni introdotte, in particolare per quanto riguarda i controlli in tema di sanità pubblica. La necessità di implementare un sistema per il rispetto delle misure anti-contagio può dunque essere la spinta ad adeguarsi, finalmente, alla normativa privacy

09 Giu 2020
M
Gaetano Mastropierro

Consulente privacy e antiriciclaggio, DPO (Generale della Guardia di Finanza in congedo)

S
Alfredo Sanfelice

Consulente privacy e antiriciclaggio, DPO (Generale della Guardia di Finanza in congedo)


Le misure introdotte con il DL n. 33 del 16 maggio 2020 e con il DPCM del 17 maggio 2020 segnano una nuova fase nella ripresa del sistema economico italiano dopo un lockdown necessario per il contenimento della pandemia di Covid-19: siamo in un momento delicato e per evitare il pericolo di una nuova espansione del contagio sono state previste pesanti sanzioni e una più intensa azione di vigilanza sul rispetto delle prescrizioni introdotte e in particolare i controlli in tema di sanità pubblica vedranno il coinvolgimento di tutte le forze di polizia e di vari organismi pubblici.

Le prescrizioni introdotte hanno, però, importanti riflessi sulla sicurezza dei dati personali per cui è possibile che l’intensificazione della vigilanza determini anche la segnalazione di irregolarità ai fini del GDPR. È arrivato, forse, il momento di porsi finalmente in conformità con la normativa “privacy”?

La Fase 2: perimetro normativo

Lo stato di emergenza determinatosi “… in conseguenza del rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili[1], comunemente definita Covid-19, ha indotto il legislatore italiano ad adottare una serie di misure finalizzate al contenimento del fenomeno pandemico. In questo senso sono stati emanati differenti provvedimenti normativi che progressivamente hanno adeguato le misure di sanità pubblica al mutare della situazione epidemiologica sul territorio nazionale.

Queste misure hanno inciso profondamente sulle relazioni sociali e sul modo, tendenzialmente nuovo, con cui i cittadini devono vivere i quotidiani rapporti interpersonali. Il fenomeno ha avuto, però, un devastante impatto anche sul sistema economico e produttivo del paese che, tuttavia, durante il periodo di lock-down totale, ha continuato ad operare con riferimento a tutte quelle filiere produttive e distributive ritenute essenziali.

Il profilarsi della cosiddetta “Fase 2” ha reso necessario adeguare ulteriormente gli interventi normativi affinché la ripresa e la piena operatività delle aziende si realizzi nel rispetto delle misure di sicurezza e riguardi, pur con misure diverse, tutti i comparti economici.

In questo contesto, il mondo imprenditoriale si è dovuto misurare con due grandi aree di intervento le misure concernenti i lavoratori e, quindi, la sicurezza dei luoghi di lavoro e con le misure di sicurezza riguardanti i clienti e i rapporti con l’utenza.

Proviamo in primo luogo a identificare le disposizioni anti Covid-19 con cui attualmente le varie aziende devono fare i conti. Gli ultimi provvedimenti emanati sono:

  • il Decreto-legge n.33, del 16 maggio 2020, che all’art. 1 introduce misure che incidono e vertono:
  1. sulla libertà di circolazione: endo-regionale, inter-regionale, da e per l’estero (commi 1-5. Il comma 9 si riferisce a più circoscritte aree entro un Comune);
  2. sulla quarantena (commi 6-7);
  3. sulla libertà di riunione e la compresenza in luoghi pubblici (commi 8 e 10);
  4. sulle funzioni religiose (comma 11);
  5. sulle attività didattiche e formative (comma 13);
  6. sulle attività economiche, produttive e sociali, con attribuzione alle Regioni del compito di calibrare protocolli e linee guide (commi 14-16).

Il menzionato Decreto-legge al comma 14, dell’art. 1, evidenzia peraltro come le attività economiche, produttive e sociali devono “… svolgersi nel rispetto dei contenuti di protocolli o linee guida idonei a prevenire o ridurre il rischio di contagio nel settore di riferimento o in ambiti analoghi, adottati dalle regioni o dalla Conferenza delle regioni e delle province autonome nel rispetto dei principi contenuti nei protocolli o nelle linee guida nazionali. In assenza di quelli regionali trovano applicazione i protocolli o le linee guida adottati a livello nazionale. Le misure limitative delle attività economiche, produttive e sociali possono essere adottate, nel rispetto dei principi di adeguatezza e proporzionalità, con provvedimenti emanati ai sensi dell’articolo 2 del decreto-legge n. 19 del 2020 o del comma 16…”.

  • il Decreto del Presidente del Consiglio dei ministri del 17 maggio 2020 (sostitutivo del DPCM del 26 aprile 2020) emanato a distanza di un solo giorno dal DL 33/2020, e a suo completamento (fermo restando ovviamente il differente rango delle due fonti). Detto provvedimento contiene previsioni che si intersecano con quelle del menzionato decreto-legge e sono efficaci relativamente al periodo tra il 18 maggio e il 14 giugno 2020. Tale norma, nel richiamare in premessa le Linee guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome, del 16 maggio 2020, detta all’art. 1 misure urgenti per il contenimento del contagio su tutto il territorio nazionale con riferimento anche a vari comparti produttivi. Gli ambiti presi in considerazione riguardano:
  1. l’obbligo di domicilio per i soggetti con infezione respiratoria caratterizzata da febbre;
  2. l’accesso del pubblico ai parchi, alle ville e ai giardini pubblici, a luoghi destinati allo svolgimento di attività ludiche, ricreative ed educative, anche non formali, al chiuso o all’aria aperta;
  3. le attività sportive o le attività motoria all’aperto, gli eventi e le competizioni sportive, gli impianti nei comprensori sciistici;
  4. le manifestazioni pubbliche;
  5. le sale giochi, sale scommesse e sale bingo;
  6. gli spettacoli aperti al pubblico in sale teatrali, sale da concerto, sale cinematografiche e in altri spazi anche all’aperto;
  7. i luoghi di culto e funzioni religiose con la partecipazione di persone, il servizio di apertura al pubblico dei musei e degli altri istituti e luoghi della cultura;
  8. i servizi educativi per l’infanzia e le attività didattiche in presenza nelle scuole, attività scolastiche e di formazione superiore, corsi professionali, master, corsi per le professioni sanitarie e università per anziani, nonché’ corsi professionali e le attività formative;
  9. i congressi, riunioni, meeting e eventi sociali;
  10. le attività di centri benessere, i centri termali, i centri culturali e centri sociali;
  11. l’accesso degli accompagnatori al pronto soccorso (DEA/PS), alle strutture di ospitalità e lungo degenza, alle residenze sanitarie assistite (RSA), hospice, strutture riabilitative e strutture residenziali per anziani, autosufficienti e non;
  12. gli istituti penitenziari e gli istituti penali per minorenni;
  13. le attività commerciali al dettaglio;
  14. le attività dei servizi di ristorazione (fra cui bar, pub, ristoranti, gelaterie, pasticcerie);
  15. gli esercizi di somministrazione di alimenti e bevande siti negli ospedali e negli aeroporti;
  16. le attività inerenti ai servizi alla persona;
  17. i servizi bancari, finanziari, assicurativi;
  18. il settore agricolo, zootecnico di trasformazione agro-alimentare comprese le filiere che ne forniscono beni e servizi;
  19. i servizi erogati dalle aziende del trasporto pubblico locale, anche non di linea;
  20. le attività professionali;
  21. le attività degli stabilimenti balneari;
  22. le attività delle strutture ricettive.

L’art. 2, in linea con quanto già previsto nell’art. 2 del DPCM 26 aprile 2020, sottolinea come “… sull’intero territorio nazionale tutte le attività produttive industriali e commerciali, fatto salvo quanto previsto dall’articolo 1, rispettano i contenuti…”:

  1. nei cantieri, sottoscritto il 24 aprile 2020 fra il Ministro delle infrastrutture e dei trasporti, il Ministro del lavoro e delle politiche sociali e le parti sociali;
  2. nel settore del trasporto e della logistica sottoscritto il 20 aprile 2020.

Al DPCM del 17 maggio 2020 sono allegati diciassette differenti documenti[2].

Il sistema sanzionatorio

L’articolo 2 del DL 33, del 16 maggio 2020, delinea il sistema sanzionatorio e di vigilanza in ordine agli adempimenti e alle prescrizioni previste in tema di misure di contenimento alla diffusione della Covid-19. Il sistema sanzionatorio si presenta strutturato su due tipologie di sanzioni: penali, amministrative (pecuniarie e accessorie). Sono state previste, inoltre, specifiche misure cautelative rappresentate dalla sospensione dell’attività in specifiche circostanze.

Misure penali

Il 3° comma dell’articolo 2, del DL 33 del 16 maggio 2020, introduce una fattispecie penale attraverso un duplice rinvio:

  • per quanto riguarda la condotta del soggetto agente il riferimento è rappresentato dall’art. 1, 6 comma della stessa legge[3];
  • per quanto riguarda la previsione della pena il riferimento è costituito dall’art. 260 del RD1265/1934.

La fattispecie penale di cui all’articolo 1, sesto comma, consiste nel divieto di mobilità, dalla propria abitazione o dimora, rivolto alle persone sottoposte alla misura della quarantena per provvedimento dell’autorità sanitaria in quanto risultate positive alla Covid-19 e “… fino all’accertamento della guarigione o al ricovero in una struttura sanitaria o altra struttura allo scopo destinata”. Quest’ultima previsione è nuova rispetto all’analoga disposizione del decreto-legge n. 19/2020.

I soggetti che non rispettano tale divieto sono puniti con le pene previste per il reato di cui all’articolo 260 (Inosservanza “di un ordine legalmente dato per impedire l’invasione o la diffusione di una malattia infettiva dell’uomo”) del Regio decreto 27 luglio 1934 numero 1265 (Testo unico delle leggi sanitarie) che prevede l’arresto da 3 a 18 mesi e l’ammenda da 500 a 5.000 euro (pene così modificate dall’art. 4, comma 7 del D.L. n. 19).

La pena è aumentata se il fatto è commesso da persona “che esercita una professione o un’arte sanitaria[4]. La comminatoria congiunta delle pene dell’arresto e dell’ammenda esclude la possibilità dell’oblazione. Trattandosi di contravvenzione, la condotta potrà essere commessa con dolo o anche solo con colpa.

Detto reato si configura purché il mancato rispetto del divieto di mobilità non costituisca per le sue circostanze fattuali violazione dell’articolo 452 del c.p. o di un più grave reato. L’articolo 452 del c.p. in questi casi si riferisce ai delitti colposi contro la salute pubblica. In sostanza le condotte previste dall’articolo 438 e 439 CP sono sanzionate, anche solo per colpa. Il 438 c.p. si riferisce all’epidemia mentre il 439 c.p. si riferisce all’avvelenamento di acque o di sostanze alimentari

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

È ovvio che l’articolo di riferimento sarà in tale circostanza rappresentato dal solo art. 438, cioè il l’epidemia colposa, per i quali e prevista la reclusione da 1 a 5 anni (mentre se la condotta è dolosa è prevista la pena dell’ergastolo).

L’epidemia colposa sarà ovviamente configurabile, in luogo della contravvenzione in esame, qualora si accerti che la condotta dell’agente abbia cagionato il contagio di una o più persone e la possibilità di una ulteriore propagazione della malattia rispetto a un numero indeterminato di persone.

Le sanzioni amministrative

La violazione delle disposizioni del Decreto-legge n. 33/2020, dei decreti e delle ordinanze emanate in attuazione del menzionato decreto-legge, e quindi introdotte non solo dal Governo, ma anche da autorità regionali o locali, determinano l’applicazione di una sanzione amministrativa (pecuniaria ed accessoria) che, ai sensi dell’art.2, comma 1), è quella prevista dal 1 comma dell’art. 4 del DL n. 19 del 2020, ossia da 400 a 3.000 euro[5].

Qualora la violazione sia commessa nell’esecuzione di un’attività d’impresa, oltre alla sanzione amministrativa pecuniaria si applicherà anche la sanzione amministrativa accessoria consistente nella chiusura dell’esercizio o dell’attività da 5 a 30 giorni. Come previsto dal comma 5 dell’art. 4 del DL n. 19 del 2020, in caso di reiterate violazioni della medesima disposizione, la sanzione amministrativa sarà raddoppiata, ossia da 800 a 6.000 euro, mentre quella accessoria si applicherà nella misura massima, ossia 30 giorni.

Non si procederà all’applicazione della segnalata sanzione amministrativa qualora il fatto costituisca reato diverso da quello di cui all’articolo 650 del Codice penale. Il citato art. 4, comma 1, del D.L. n. 19 esclude che la violazione delle misure di contenimento ivi previste possano comportare l’applicazione della pena prevista dall’art. 650 del Codice penale. Non trova quindi applicazione la contravvenzione per l’inosservanza degli ordini dell’autorità, punita con l’arresto fino a tre mesi o con l’ammenda fino a 206 euro (precedentemente prevista dal D.L. n. 6 del 2020, abrogato dal D.L. n. 19).

Per effetto della clausola di sussidiarietà, l’illecito amministrativo in questione, al pari di quello di cui all’art. 4, co. 1 DL n. 19/2020, esclude la configurabilità della contravvenzione di cui all’art. 650 c.p. mentre, al contrario, rimane assorbito in altra eventuale figura di reato integrata con il medesimo fatto (ad es., i delitti di lesioni personali, omicidio o epidemia).

Accertamento e pagamento in misura ridotta

Per l’accertamento delle violazioni e per il pagamento in misura ridotta la norma fa rinvio al terzo comma dell’articolo 4 del DL 19 del 2020, che a sua volta rinvia sia alla Legge n. 689 del 1981 che, ai commi 1, 2 e 2.1 dell’articolo 202, del D.lgs. n. 285 del 1992 (Codice della strada). Detta disposizione consente al trasgressore di pagare, entro 60 giorni dalla contestazione o dalla notificazione, una somma (400 euro) pari al minimo fissato dalle singole norme. Tale somma è ridotta del 30% (280 euro) se il pagamento è effettuato entro 5 giorni dalla contestazione o dalla notificazione.

Le sanzioni per le violazioni delle misure disposte dall’autorità statale saranno irrogate dal Prefetto mentre le sanzioni per le violazioni delle misure disposte dalle Autorità Regionali e delle Autorità Locali che le hanno disposte. All’atto dell’accertamento delle violazioni di cui al secondo periodo del comma 1, al fine di impedire la prosecuzione e la reiterazione della violazione l’autorità procedente, si potrà disporre la chiusura provvisoria dell’attività e dell’esercizio per una durata non superiore a 5 giorni. Il periodo di chiusura provvisoria è scomputato dalla corrispondente sanzione accessoria definitivamente irrogata in sede di esecuzione.

All’accertamento delle sanzioni amministrative, ai sensi dell’articolo 13, primo e quarto comma, della Legge 689 del 1981, procedono oltre che gli organi addetti al controllo della specifica disposizione anche gli ufficiali e agenti di polizia giudiziaria.

Il ruolo del Prefetto

Ruolo particolarmente importante in questo contesto viene assunto dal Prefetto territorialmente competente.

L’articolo 10 del DPCM del 17 maggio del 2020, evidenzia che il Prefetto dovrà assicurare l’esecuzione delle misure di cui al decreto in questione informando preventivamente il Ministro dell’Interno nonché realizzare il monitoraggio e l’attuazione delle restanti misure da parte delle amministrazioni competenti.

In tale contesto le Autorità Territoriali di Governo si potranno avvalere delle varie forze di polizia, con il possibile concorso del Corpo Nazionale dei Vigili del Fuoco, dell’Ispettorato Nazionale del lavoro, del Comando dei Carabinieri per la tutela del lavoro e, ove occorre, dalle Forze Armate, sentiti i comandi competenti territorialmente e dandone comunicazione al Presidente della Regione o della Provincia Autonoma interessata.

Riflessi sanzionatori/ispettivi ai fini della tutela dei dati personali

Come si può notare sul sistema di vigilanza e monitoraggio delle misure di contrasto dell’epidemia è stata riposta grande attenzione.

Questa situazione comporterà la possibilità da parte del Prefetto di ricalibrare i controlli finalizzati a verificare l’osservanza delle misure di contenimento indirizzandoli soprattutto sulla verifica dell’osservanza delle misure da parte degli esercenti delle attività industriali e commerciali.

A tal fine una recente Circolare del Ministro dell’Interno[6], indirizzata ai Prefetti, ha invitato tali autorità a procedere, in sede di Comitato Provinciale per l’Ordine e la Sicurezza Pubblica, all’aggiornamento dei piani coordinati di controllo del territorio, opportunamente modulati in relazione alle esigenze che dovessero emergere nei rispettivi ambiti di competenza.

L’aumentata attenzione sul rispetto delle misure anti-contagio da parte delle imprese potrà, quindi, comportare anche un corrispondente aumento dei collaterali impatti di tali misure sui connessi adempimenti privacy.

Se l’attività di controllo del Garante privacy può scaturire anche da segnalazioni di altre autorità pubbliche o da parte delle forze di polizia, ben si comprende come non si possa escludere che, soprattutto queste ultime, nel corso dei controlli si potrebbero anche rilevare eventuali connesse inosservanze alle norme in materia di protezione dei dati personali (es. la mancata informativa sul trattamento dei dati personali) e segnalarle all’Autorità di controllo.

Si può ritenere come in tale contesto le misure per far fronte all’emergenza epidemiologica possano in qualche modo “spingere” i vari operatori economici, anche quelli di minore dimensione, a porsi in conformità anche con il GDPR per evitare il rischio di spiacevoli sorprese in sede ispettiva.

Adempimenti relativi alla tutela della protezione dei dati personali

Appare opportuno, allora, ricordare sinteticamente i riflessi sui trattamenti dei dati personali che l’emergenza sanitaria ed i connessi adempimenti previsti a carico delle imprese, nella loro qualità anche di titolare/responsabile del trattamento, hanno determinato, riepilogandoli a seconda che si tratti di aziende produttive industriali e commerciali ovvero di attività commerciali al dettaglio, servizi di ristorazione, servizi alla persona, strutture ricettive anche balneari.

Ambito aziende produttive industriali e commerciali

Aspetti che più direttamente hanno riflessi sui trattamenti dei dati personali:

  • possibilità di rilevare la temperatura corporea. Il soggetto incaricato deve essere:
  1. dotato dei Dispositivi di Protezione Individuali previsti, come indicato nel documento integrativo alla valutazione dei rischi;
  2. istruito in merito alle misure di prevenzione da adottare, come indicato nel suddetto documento;
  3. istruito in merito alle modalità per la rilevazione della temperatura o di eventuali altri parametri fisiologici;
  4. nominato come “autorizzato al trattamento dei dati personali in relazione alle finalità del trattamento”, ai sensi e per gli effetti di cui all’art. 29 e 32 del GDPR con specifiche istruzioni;
  5. nel caso di soggetto esterno, ovvero se appartiene ad un’altra Organizzazione questa deve essere nominata Responsabile del trattamento;
  • consegna di adeguata informativa sul trattamento dei dati personali, anche esponendola all’ingresso della sede aziendale. In relazione alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da Covid-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, mentre con riferimento alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza. In merito si ribadisce che non devono essere registrati/conservati dati non necessari;
  • trattamento dei dati personali esclusivamente per finalità di prevenzione dal contagio da Covid-19;
  • divieto di diffusione o comunicazione a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al Covid-19”). In merito si segnala che:
  1. non può essere resa nota l’identità del dipendente affetto da Covid-19 nemmeno agli altri lavoratori da parte del datore di lavoro;
  2. in base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi;
  3. tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

Il medico competente, nel periodo di emergenza Covid-19, collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del Protocollo sottoscritto il 14 marzo ed aggiornato il 24 aprile) ma non può informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori. Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore;

  • possibilità di identificare il dipendente e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Occorre prestare attenzione a dove viene registrata la temperatura, avendo cura di definire tramite il medico competente quale procedura adottare. La rilevazione ha un significato diverso dalla registrazione e, pertanto, se non serve conservare il dato, non registrarlo è la soluzione che semplifica gli aspetti di gestione. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.
  • adozione di misure di sicurezza tecniche ed organizzative adeguate a proteggere i dati personali. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie, definire adeguatamente le procedure di rilevazione e quelle per gestire eventuali anomalie tenendo in debita considerazione la dignità del soggetto interessato. È necessario assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale o al referente di tale funzione di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al Covid-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi;
  • qualora si richieda ai propri dipendenti il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19, si ricorda che l’acquisizione di tale dichiarazione costituisce un trattamento dati e, pertanto, non devono essere richiesti dati ultronei rispetto all’esigenza di sicurezza (a titolo esemplificativo, perché sei andato in quel determinato luogo). Alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocolli condivisi di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti). Anche in tal caso non devono essere richiesti dati ultronei e, pertanto, se si richiede una dichiarazione sui contatti con persone risultate positive al Covid-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Allo stesso modo se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.

Attività commerciali al dettaglio, servizi di ristorazione, servizi alla persona, strutture ricettive anche balneari

Va premesso che in tali casi è prevista l’adozione di specifici protocolli o di linee guida idonei a prevenire o ridurre il rischio di contagio nel settore di riferimento o in settori analoghi.

In ogni caso è necessario che i principi di declinazione dei protocolli condivisi di settore, che eventualmente saranno adottati, siano coerenti con la normativa vigente, incluso il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro aggiornato al 24 aprile 2020 e le Linee guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome del 16 maggio 2020.

Per quanto riguarda gli adempimenti che impattando sulla protezione dei dati personali, gli aspetti principali sono stati declinati nel punto precedente.

Ad essi vanno aggiunti però ulteriori indicazioni contenute nelle Linee guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome del 16 maggio 2020, ed in particolare:

  • la predisposizione di una adeguata informazione sulle misure di prevenzione;
  • l’accesso al sito aziendale tramite prenotazione, mantenendo, e quindi registrando, la prenotazione o la presenza.

Tali indicazioni prevedendo, da un lato, la necessità di informare i clienti ed i potenziali clienti sulle misure di contenimento dell’epidemia (che comprendono anche la raccolta di dati personali) e, dall’altro, la necessità di registrare e conservare i dati personali relativi alle prenotazioni ed alle presenze per un periodo di 14 giorni successivi, impattano significativamente sul trattamento di dati personali che, pertanto, deve avvenire ai sensi della disciplina privacy vigente.

Più in particolare è, pertanto, necessario:

  • fornire adeguata informativa sul trattamento dei dati personali, anche esponendola all’ingresso della sede aziendale. Non è necessario acquisire il consenso dell’interessato;
  • conservare i dati relativi alla presenza dei clienti per i 14 gg seguenti alla presenza. Attenzione: salvo indicazioni diverse dell’autorità sanitaria, o nuovi interventi normativi, dopo i 14 giorni i dati devono essere cancellati;
  • trattare i dati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non diffonderli o comunicarli a terzi al di fuori delle specifiche previsioni normative (ad esempio, in caso di richiesta a parte dell’Autorità Sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al Covid-19”;
  • definire e adottare le misure di sicurezza procedurali, informatiche ed organizzative adeguate a proteggere i dati personali; in particolare, sotto il profilo organizzativo, occorre:
  1. individuare i soggetti designati al trattamento;
  2. fornire loro le istruzioni necessarie;
  3. definire adeguatamente le procedure di rilevazione e di gestione delle eventuali anomalie tenendo in debita considerazione la dignità del soggetto interessato;
  • aggiornare il registro dei trattamenti sia in relazione a nuovi processi di trattamento sia in relazione alle misure di sicurezza implementate;
  • predisporre piani di formazione ed azioni comprovabili delle istruzioni per il personale aziendale.

Conclusioni

Come si può notare le prescrizioni introdotte hanno importanti riflessi sulla sicurezza dei dati personali. La verifica del rispetto delle misure di contenimento della pandemia passa necessariamente attraverso un’intensificazione dell’attività di vigilanza che vede impegnate autorità di controllo variegate (Forze di polizia, Vigili del Fuoco, Ispettorato Nazionale del lavoro) cui si aggiungono le polizie locali.

Tale situazione amplifica le possibilità che vengano segnalate irregolarità ai fini del GDPR. La necessità di implementare un sistema per il rispetto delle misure anti Covid-19 può, pertanto, costituire davvero il momento per riflettere sulla necessità di adeguarsi, finalmente, anche alla normativa privacy.

NOTE

  1. Ordinanza del Consiglio dei ministri del 31 gennaio 2020 con cui è stato dichiarato lo stato di emergenza nazionale.
  2. Gli allegati sono:
    • i protocolli sottoscritti dal Governo e dalle rispettive confessioni religiose richiamati all’art. 1, co. 1, lettera o) (allegati da 1 a 7), segnatamente: Protocollo con la Conferenza Episcopale Italiana circa la ripresa delle celebrazioni con il popolo (allegato 1); Protocollo con le Comunità ebraiche italiane (allegato 2); Protocollo con le Chiese Protestanti, Evangeliche, Anglicane (allegato 3); Protocollo con le Comunità ortodosse (allegato 4); Protocollo con le Comunità Induista, Buddista (Unione Buddista e Soka Gakkai), Baha’i e Sikh (allegato 5); Protocollo con le Comunità Islamiche (allegato 6); Protocollo con la Comunità della Chiesa di Gesù Cristo dei Santi degli ultimi giorni (allegato 7);
    • le “Linee guida per la gestione in sicurezza di opportunità organizzate di socialità e gioco per bambini ed adolescenti nella fase 2 dell’emergenza covid-19” del Dipartimento per le politiche della famiglia di cui all’articolo 1, co. 1, lettera a) del d.P.C.m. (allegato 8);
    • le “Linee guida Spettacoli dal vivo e cinema” di cui all’articolo 1, co. 1, lettera m) (allegato 9);
    • i criteri per protocolli di settore elaborati dal Comitato tecnico-scientifico in data 15 maggio 2020 richiamati all’articolo 1, co. 1, lettere dd), ee), gg), mm) ed nn) del DPCM (allegato 10);
    • le “Misure per gli esercizi commerciali” di cui è richiamata l’applicazione all’articolo 1, co. 1, lettera dd) (allegato 11);
    • il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro” sottoscritto il 24 aprile 2020 fra il Governo e le parti sociali, richiamato all’articolo 2, co. 1, del d.P.C.m. (allegato 12);
    • il “Protocollo condiviso di regolamentazione per il contenimento della diffusione del covid-19 nei cantieri”, sottoscritto il 24 aprile 2020 fra il Ministro delle infrastrutture e dei trasporti, il Ministro del lavoro e delle politiche sociali e le parti sociali, richiamato all’articolo 2, co. 1, del DPCM (allegato 13);
    • il “Protocollo condiviso di regolamentazione per il contenimento della diffusione del covid-19 nel settore del trasporto e della logistica” sottoscritto il 20 marzo 2020, richiamato all’articolo 2, co. 1, all’articolo 4, co. 2, all’articolo 5, co. 3, e all’articolo 8, co. 1, del DPCM (allegato 14);
    • le “Linee guida per l’informazione agli utenti e le modalità organizzative per il contenimento della diffusione del Covid-19”, richiamate all’articolo 4, co. 2, all’articolo 5, co. 3, e all’articolo 8, co. 1, del DPCM (allegato 15);
    • le informazioni sulle misure di prevenzione igienico sanitarie, richiamate all’articolo 3, co. 1, lettere c), d) e g) del DPCM (allegato 16);
    • le “Linee guida per la riapertura delle attività economiche e produttive” della Conferenza delle Regioni e delle Province autonome del 16 maggio 2020, trasmesse in data 17 maggio 2020 unitamente al parere del Presidente della Conferenza dei presidenti delle regioni e delle province autonome, richiamate nelle premesse del DPCM (allegato 17) (in proposito, nella premessa al D.P.C.M. medesimo è ricordato che il Presidente della Conferenza dei presidenti delle regioni e delle province autonome, in data 17 maggio 2020, ha espresso il proprio parere condizionato, tra l’altro, alla necessità che le linee guida condivise dalla Conferenza siano richiamate nelle premesse e allegate al provvedimento).

  3. La condotta è analoga a quella prevista dal 6 comma dell’art. 4 DL19/20, tuttavia il comma 3 in esame disciplina la fattispecie in maniera difforme rispetto all’ art. 1, co. 2, lett. e) a cui l’art. 4, 6 comma fa rinvio, sia con riguardo ai profili dell’autorità competente a disporre la misura sia in relazione alla durata.
  4. Ai sensi dell’art. 65,1 comma, cp, in casi di circostanze aggravanti specifiche la pena è aumentata fino a un terzo.
  5. A proposito della sanzione amministrativa pecuniaria si ricorda che, in sede di conversione in legge del decreto-legge n. 19/2020 (ora all’esame del Senato A.S. n. 1181), la Camera dei deputati, è intervenuta sul massimo edittale della sanzione, riducendolo da 3.000 a 1.000 euro. Essendo mobile il rinvio 2020 all’art. 4, co. 1 DL n. 19/2020, contenuto nel comma 1 dell’articolo in commento, se il Senato confermasse la modifica della sanzione pecuniaria il nuovo limite massimo di 1.000 euro riguarderebbe anche l’illecito amministrativo qui in esame.
  6. Circolare 15350/117 (2)/Uff III-Prot.Civ del 19 maggio 2020.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5