Trattamento dei dati personali nella fase 2 dell’emergenza Covid-19: raccomandazioni normative - Cyber Security 360

IL VADEMECUM

Trattamento dei dati personali nella fase 2 dell’emergenza Covid-19: raccomandazioni normative

Al fine di meglio armonizzare le misure che dovranno/potranno essere adottate dalle aziende al fine di garantire salubrità e sicurezza degli ambienti di lavoro, ecco alcune raccomandazioni per la gestione in conformità alla normativa sul trattamento dei dati personali della fase 2 dell’emergenza Covid-19

21 Apr 2020
V
AA. VV.

Privacy Experts 4 Italy

Per consentire al mondo produttivo e lavorativo di affrontare al meglio la pandemia di coronavirus, è utile suggerire alle aziende alcune raccomandazioni per la gestione in conformità alla normativa sul trattamento dei dati personali nella fase 2 dell’emergenza Covid-19.

In particolare, le raccomandazioni che seguono rappresentano un contributo elaborato su base volontaria da un gruppo di avvocati, legali d’azienda e professionisti con specifica competenza in materia di protezione dei dati personali, al fine di meglio armonizzare le misure che dovranno/potranno essere adottate dalle aziende al fine di garantire la salubrità e la sicurezza degli ambienti di lavoro – individuate partendo dalle indicazioni già contenute nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020 – con i principi sanciti dal GDPR e dalla normativa nazionale in materia di protezione dei dati personali.

Ci rendiamo conto che i progressi scientifici potrebbero rendere necessari degli adattamenti delle seguenti raccomandazioni nel corso del tempo, tuttavia suggeriamo che i principi ad esse sottesi siano rispettati e declinati di conseguenza anche in caso di eventuali mutamenti di scenario.

Comunicazione preventiva sui limiti di accesso

È innanzitutto necessario procedere con l’invio di una comunicazione preventiva sui limiti di accesso, ma senza necessità di autocertificazioni.

Tutti i dipendenti, collaboratori e i fornitori dovranno ricevere una comunicazione secondo cui, se rientrano nelle situazioni di rischio identificate tramite disposizioni di legge (e.g. hanno una temperatura corporea superiore a 37,5°, sono stati contagiati da Covid-19 o sono stati negli ultimi 28 giorni in contatto con persone contagiate), non possono accedere agli edifici, strutture o negozi dell’azienda e che qualora vi accedessero e successivamente scoprissero di rientrare in uno degli scenari sopra indicati dovranno comunicarlo immediatamente via email o telefonicamente ai contatti a tal fine identificati dall’azienda che dovranno essere indicati nella comunicazione (di seguito i “Contatti Covid-19”).

La stessa comunicazione dovrà essere resa disponibile all’ingresso degli edifici, strutture e negozi, affissa nella bacheca delle comunicazioni per i dipendenti che non hanno l’e-mail e indirizzata a chiunque possa avervi accesso.

Al contrario, non dovrà essere previsto il rilascio di alcuna autocertificazione perché comporta un trattamento eccessivo e indiscriminato di dati personali. I contenuti della comunicazione e gli obblighi che ne derivano, potranno essere illustrati anche con FAQ e/o altro materiale esplicativo per garantirne la massima comprensione.

Smart Working davvero a Prova di Cyber Attack. Clicca qui per scoprire come!

Controlli della temperatura all’ingresso

in conformità alla normativa sul trattamento dei dati personali, nella fase 2 dell’emergenza Covid-19 potranno essere eseguiti controlli della temperatura all’ingresso, ma senza nessuna registrazione della temperatura rilevata.

Dovrà essere previsto il controllo della temperatura o di altri fattori identificati tramite disposizione di legge di tutte le persone che hanno accesso ad edifici, strutture e negozi per verificare se hanno una temperatura o altri fattori da cui possono emergere situazioni di rischio di contagio da Covid-19.

I controlli dovranno avvenire secondo modalità tali da preservare la riservatezza e la dignità del soggetto che si sottopone a questa misura e dovranno essere effettuati da personale dipendente o da soggetti terzi incaricati dall’azienda che avranno ricevuto specifiche istruzioni sulle modalità di trattamento dei dati personali e in caso di soggetti terzi siano stati nominati responsabili del trattamento.

La temperatura rilevata non dovrà essere in nessun caso registrata.

Qualora il valore di soglia fosse superato, la persona non potrà accedere alla struttura e l’incaricato di rilevare la temperatura in caso di dipendenti, collaboratori o fornitori invierà – sulla base di una procedura interna che l’azienda dovrà adottare – una comunicazione via email o telefonicamente ai Contatti Covid-19, menzionando solo il superamento della soglia, mentre nel caso di visitatore o cliente, lo stesso non sarà identificato e non si terrà traccia dell’informazione relativa al superamento della soglia.

Informativa trasparente sul trattamento dei dati personali

Nella delicata fase 2 dell’emergenza Covid-19 dovrà essere messa a disposizione un’informativa sul trattamento dei dati personali trasparente.

In particolare, insieme con la comunicazione preventiva sui limiti di accesso e prima dei controlli della temperatura all’ingresso, dovrà essere messa a disposizione a chiunque intenda accedere agli edifici un’informativa sul trattamento dei dati personali che dovrà indicare:

  1. come finalità del trattamento, l’esigenza di prevenire il contagio da Covid-19 e tutelare l’incolumità delle persone che hanno accesso allo stabile;
  2. come base giuridica del trattamento, la tutela della sicurezza del luogo di lavoro sulla base di una disposizione di legge che in modo dettagliato preveda tali controlli ed identifichi l’interesse pubblico da tutelare ai sensi dell’articolo 9, comma 2, lettera b) del GDPR per i dipendenti e lettera i) per i fornitori e visitatori con riferimento ai dati sulla salute e ai sensi dell’articolo 6, lettera e), del GDPR con riferimenti ai dati diversi dalle categorie di cui all’articolo 9 del GDPR;
  3. termine di conservazione di 28 giorni dalla comunicazione del contagio o del contatto con il contagiato di cui al punto 1 e/o dalla rilevazione di cui al punto 2, fermo restando l’ulteriore conservazione dell’informazione al fine di riscontrare richieste da parte delle autorità sanitarie e/o per difendere gli interessi dell’azienda rispetto a possibili contestazioni ai sensi dell’articolo 9, comma 2, lettera f) del GDPR.

Un estratto dell’informativa con l’indicazione del titolare, della finalità del trattamento e del termine di conservazione dovrà essere chiaramente visibile tramite un cartello all’ingresso degli edifici, mentre la versione completa dell’informativa sarà inviata con la comunicazione preventiva sui limiti di accesso e disponibile nei luoghi in cui avviene la rilevazione della temperatura stessa.

Smart working a prova di cyber attack

Gestione centralizzata delle informazioni e delle azioni da compiere

Per evitare una comunicazione ingiustificata e lesiva dei diritti degli individui di informazioni relative allo stato di salute, la comunicazione preventiva sui limiti di accesso e la procedura per la gestione delle informazioni relative ai dipendenti a cui è rilevata una temperatura superiore a 37,5° (come indicato nella raccomandazione sui Controlli della temperatura all’ingresso) o che dovessero maturare sintomi da contagio durante l’orario lavorativo, prevederà il riferimento ad uno o più Contatti Covid-19 che potranno variare a seconda della tipologia di interessato (i.e. dipendente, fornitore o visitatore) e delle dimensioni dell’azienda e che dovranno essere gli unici soggetti a cui dovranno essere inviate le comunicazioni relative ai rischi di contagio da Covid-19 sopra indicate.

I Contatti Covid-19 dovranno – a seconda delle dimensioni dell’azienda – collaborare o essere parte di un Comitato Covid-19 creato dall’azienda con il compito di assumere le decisioni in merito alla gestione dell’emergenza nell’azienda, i cui componenti identificati dalla stessa ma dovranno comprendere il DPO (se nominato) e/o in ogni caso la persona responsabile di verificare all’interno dell’azienda la conformità della stessa alla normativa sul trattamento dei dati personali applicabile, e la cui operatività dovrà essere in coordinamento con l’RSL.

Il Comitato Covid-19 dovrà anche identificare una persona che sarà il contatto principale per tutte le comunicazioni con le autorità sanitarie.

Limitazione della comunicazione e trattamento delle informazioni

Per tutelare la dignità delle persone e limitare anche eventuali discriminazioni ed effetti negativi al successivo rientro sul posto di lavoro, qualora un dipendente, un collaboratore o un altro individuo che si sia recato presso l’azienda nei precedenti 28 giorni risulti positivo al Covid-19 o a contatto con contagiati prima dell’accesso all’azienda, si invierà una comunicazione diretta ai dipendenti o terzi che potrebbero essere stati in contatto con questa persona, informando dell’accaduto, fermo restando che la comunicazione non menzionerà mai l’identità della persona contagiata (o a contatto con contagiati), ma solo il dipartimento o l’area di competenza o l’area dell’edificio presso la quale lavora e il datore di lavoro non dovrà – ai fini della comunicazione – ricostruire gli spostamenti della persona, ma mandare una comunicazione ai soggetti che potrebbero essere state in contatto con la stessa.

Coordinamento con le autorità sanitarie nel tracciamento dei contagiati

Per evitare invasive indagini interne circa le persone che hanno avuto contatti con i contagiati, le attività di tracciamento dei contatti dei contagiati dovranno avvenire sulla base delle indicazioni delle autorità sanitarie, fermo restando l’obbligo del datore di lavoro di mandare la comunicazione di cui al precedente punto 5.

Garanzia della sicurezza delle informazioni raccolte

Sebbene non sia possibile evitare che i dipendenti comunichino tra di loro informazioni circa eventuali contagi, l’azienda dovrà minimizzare il rischio di accesso non autorizzato alle informazioni, anche adottando soluzioni di pseudonimizzazione che consentano di risalire all’identità dell’interessato solo da parte dei soggetti autorizzati a tal fine.

Firmatari del documento: Augusto Bernardi, Christian Bernieri, Davide Borelli, Alberto Canadè, Alessandra Capomagi, Giulio Coraggio, Ilaria De Rossi, Tiffany D’Ottavio, Jacopo Liguori, Aldo Manzi, Gianluigi Marino, Filippo Montanari, Francesca Nava, Massimiliano Pappalardo, Matteo Susta, Saverio Puddu.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3