Fase 2 del Covid-19: riapertura attività e nuovi adempimenti privacy

Oggi 4 Maggio 2020 riapre la maggior parte delle attività economiche, nel rispetto delle nuove misure di protezione e contenimento del contagio da COVID-19 da adottare negli ambienti di lavoro.

Il DPCM del 26 Aprile 2020, in vigore dal 4 maggio 2020, nei suoi allegati, definisce alcune regole da rispettare per rendere i luoghi di lavoro e quelli pubblici sicuri da un punto di vista sanitario, mettendo in secondo piano le adeguate misure tecniche ed organizzative necessarie per un trattamento di dati personali conforme alle disposizioni della normativa sulla Protezione dei dati personali.

Importante specificare che la prosecuzione delle attività produttive può avvenire solo in presenza di condizioni che assicurino alle persone, lavoratori e non, adeguati livelli di protezione. La mancata attuazione del Protocollo che non assicuri adeguati livelli di protezione determina la sospensione dell’attività fino al ripristino delle condizioni di sicurezza.

L’applicazione delle misure prescritte nel Protocollo condiviso fra Governo e Parti Sociali, di regolamentazione per il contrasto e il contenimento della diffusione del virus Covid-19, comporta inevitabilmente un trattamento di dati personali. A tal proposito riportiamo i principali adempimenti e la relativa documentazione (scaricabile a fondo pagina) a supporto delle attività del Titolare del trattamento per la conformità alla normativa sulla Protezione dei dati personali.

Il Protocollo di regolamentazione per il contrasto al Covid-19 richiede che il Titolare del trattamento informi, lavoratori e chiunque entri in azienda, circa le disposizioni presenti nel Protocollo in esame e il trattamento di dati personali che ne scaturisce.

A questo proposito si specifica che prima dell’accesso nei locali aziendali, le persone potrebbero essere sottoposte al controllo della temperatura corporea. Tale misura non è obbligatoria e potrebbe essere sostituita da un’autodichiarazione in cui il soggetto afferma, sotto la propria responsabilità, di essere in buono stato di salute, di non manifestare sintomi riconducibili al contagio da Coronavirus, di non essere stato a contatto con altre persone risultate positive al virus e non essere stato in paesi o zone a rischio epidemiologico.

Il Titolare del trattamento, nell’applicare le misure del Protocollo di regolamentazione, deve attuare tutte le misure necessarie per garantire un luogo sano ed effettuare il trattamento di dati personali solo se strettamente essenziali per raggiungere tale obiettivo. Per cui la misurazione della temperatura corporea o altre misure similari, applicate al fine di consentire l’accesso ai locali aziendali, può dirsi legittima e doverosa qualora vi sia un’indicazione del medico competente che prescriva una tale misura come idonea a prevenire il rischio secondo criteri e modalità di diligenza e prudenza.

Visto che la rilevazione della temperatura corporea, costituendo un trattamento di dati personali particolari, deve avvenire nel rispetto della disciplina in materia di Protezione dei dati personali, per i motivi appena esposti, si ritiene corretta la semplice rilevazione della temperatura e non la registrazione del dato acquisito, il quale verrà registrato solo quando ciò sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali.

Il datore di lavoro, nonché Titolare del trattamento, nel rispetto del Protocollo e della normativa di riferimento sulla Protezione dei dati, dovrà individuare i soggetti autorizzati all’accesso ai dati personali, fornendo opportuna e adeguata informazione ai sensi dell’art. 29 del Regolamento UE 2016/679 e all’art. 2 – quaterdecies del D.lgs. 196/2003 e s.m.i.

Per mantenere la sicurezza e prevenire trattamenti in violazione al Regolamento UE 2016/679, il Titolare del trattamento deve valutare gli eventi che possono provocare un danno ai dati personali e attuare misure per contenere il verificarsi di questi rischi. Tali misure devono assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzato a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

Un elemento critico che si viene a creare nell’applicazione del Protocollo di regolamentazione, riguarda lo scambio di informazioni tra il Titolare del trattamento e il Medico competente del lavoro, necessario per garantire la continuità della sorveglianza sanitaria con l’intento di predisporre quanto necessario per difendere le persone dal contagio Covid-19 e nel rispetto della riservatezza e dignità della persona.

Nello specifico, il Protocollo prevede:

• che, nell’integrare e proporre tutte le misure di regolamentazione legate al Covid-19, il medico competente collabori con il Titolare del trattamento e le RLS/RLST;
• che il medico competente segnali al Titolare del trattamento le situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della Protezione dei dati poc’anzi illustrata.

Il Titolare del trattamento deve aggiornare il Registro delle attività, per dimostrare che sono state applicate le misure elencate precedentemente in linea con quanto prescritto dal Regolamento UE 2016/679.

Nello specifico occorre tenere presente che le attività in questione consistono in 2 trattamenti, ovvero la rilevazione della temperatura e la conservazione dei dati e informazioni nel caso di persone positive al contagio da Covid-19.