Blog

Il blog di performa.me
4 Mag 2020

FAQ sulla gestione della privacy in tempo di Covid-19

In questi giorni di emergenza sta facendo molto discutere la compressione di diritti costituzionalmente garantiti, al fine di garantire la tutela della salute. Le attività di trattamento dei dati personali, siano esse poste in essere da un’azienda, che dallo Stato, dovranno in ogni caso, essere svolte nel rispetto dei principi di necessità del trattamento e di minimizzazione dei dati.

Anche il tema della privacy è entrato a pieno titolo nel dibattito. A tal proposito, il Garante per la protezione dei dati personali, in data 19 marzo 2020, ha adottato una “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19”. In aggiunta, il Comitato europeo per la protezione dei dati è intervenuto confermando che «L’emergenza è una condizione legale che può legittimare restrizioni delle libertà, purché tali restrizioni siano proporzionate e limitate al periodo di emergenza».

Proviamo a fare un po’ di luce su alcune delle situazioni più problematiche che si possono presentare per le aziende.

Un datore di lavoro può chiedere ai dipendenti e ai visitatori di fornire informazioni sanitarie specifiche nel contesto del COVID-19?

In questo caso bisogna applicare i principi di proporzionalità e di minimizzazione dei dati. Il datore di lavoro dovrebbe chiedere informazioni sanitarie limitandosi a domande sul luogo di provenienza e sull’eventuale contatto con persone con sintomi ascrivibili al Covid-19.

È sempre possibile procedere alla misurazione della febbre dei dipendenti, visitatori?

Sì, lo stato di emergenza consente l’adozione di misure anche eccezionali che implicano il trattamento di dati personali, una volta valutata la necessità e la proporzionalità, in relazione alla finalità perseguita.

L’azienda deve rilasciare un’informativa specifica?

L’azienda dovrà predisporre un documento da rendere disponibile all’ingresso dei locali aziendali, che contenga tutte le informazioni di cui all’art. 13 del GDPR tra cui le informazioni relative alla finalità, base giuridica, periodo di conservazione, comunicazione e diffusione dei dati trattati. Come finalità del trattamento potrà essere indicata “la prevenzione dal contagio da COVID-19”; con riferimento alla base giuridica, “l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DCPM 11 marzo 2020”.  Con riferimento al tempo di conservazione dei dati si potrà far riferimento “fino al termine dello stato di emergenza”.

Una volta rilevata la temperatura, il dato va registrato?

In ossequio al principio di proporzionalità e di minimizzazione dei dati, il Protocollo condiviso del 14 Marzo 2020 suggerisce di non registrare il dato acquisto; si ritiene che sia possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Ogni attività ulteriore rispetto a quella inerente alla rilevazione istantanea della temperatura e la (eventuale) verifica dell’utilizzo dei filtranti facciali, potrebbe determinare la necessità di una revisione più significativa del modello organizzativo di protezione dei dati personali adottato dall’azienda. Questo in considerazione del fatto che potrebbe configurarsi un trattamento di dati biometrici e/o di dati relativi alla salute dell’interessato, con riferimento ai quali si ritiene che dovrebbero risultate osservate le cautele previste dagli artt. 9 e 88 del GDPR.

Come garantire la riservatezza dei dipendenti, qualora uno di essi manifesti sintomi ascrivibili al COVID-19 o abbia avuto contatti con persone risultate positive al tampone?

Si consiglia di adottare un canale di comunicazione specifico e riservato, al fine di consentire a tutti i dipendenti di rendere queste informazioni in tutta serenità. Inoltre, i destinatari di queste informazioni dovranno essere sottoposti a un obbligo contrattuale di riservatezza.

È possibile conservare i dati registrati in ordine alle informazioni sanitarie specifiche nel contesto del COVID-19?

La temperatura del dipendente non può essere registrata salvo che non questo non sia necessario in relazione alla finalità perseguita (prevenzione e contenimento dell’epidemia). Sicuramente i dati idonei a rivelare informazioni sullo stato di salute del dipendente (che sono dati particolari) non possono essere diffusi.