Protocollo condiviso Covid-19 ed adempimenti G.D.P.R.

Il "Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali" del 14 marzo 2020, con relativo aggiornamento del 24 aprile 2020 ha previsto una serie di misure che devono essere valutate alla luce degli adempimenti previsti dal Regolamento generale in materia di protezione dei dati personali (cd. G.D.P.R.).

Il Protocollo prevede, infatti, la possibilità per il datore di lavoro di acquisire alcune informazioni riguardanti le persone, come ad esempio la rilevazione della temperatura corporea ed altri dati riferibili all'esistenza o meno dell'obbligo di quarantena, che il G.D.P.R. qualifica come "categorie particolari di dati personali" ed ai quali riferisce precisi obblighi nell'esecuzione del trattamento.

Vediamo, allora, qual è il quadro complessivo delle possibilità e delle preclusioni nell'attuazione delle procedure di contenimento del contagio.

Come chiarito dall'autorità Garante per la protezione dei dati personali in una recente infografica su Covid-19 e protezione dei dati, le disposizioni adottate per l'emergenza sanitaria prevedono la possibilità di rilevare la temperatura corporea di lavoratori, clienti e visitatori nel momento dell'accesso ai locali dell'organizzazione. Non è possibile però trascrivere e, di conseguenza, conservare il dato relativo alla temperatura.

È consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge unicamente ove sia necessario documentare le ragioni che hanno impedito l'accesso ai locali aziendali (ad esempio nel caso di divieto opposto ad un dipendente).

Nel caso di clienti (ad esempio, nell'ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

Altra possibilità riconosciuta ai datori di lavoro, sempre nell'ottica della prevenzione e del contenimento del contagio, è quella di richiedere, anche a visitatori ed utenti, informazioni, mediante autocertificazione, dell'inesistenza dell'obbligo di quarantena, della non provenienza da zone a rischio epidemiologico e dell'assenza di contatti con persone risultate positive al Covid-19.

Anche in questo è fondamentale rispettare la pertinenza e l'adeguatezza nella raccolta delle informazioni, astenendosi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi al proprio stato di salute, ed in generale alla propria sfera privata.

Tanto premesso resta da individuare quali sono le altre misure da tenere in considerazione per il corretto trattamento dei dati personali.

Innanzitutto, è necessario predisporre un'informativa ad hoc, dal contenuto prefissato ai sensi dell'art. 13 del G.D.P.R., che potrà essere affissa all'esterno dei locali, o potrà comunque essere fornita oralmente.

Nell'informativa oltre la consueta identificazione del titolare del trattamento, del responsabile della protezione dati, cd. D.P.O., se presente, andranno indicate le finalità del trattamento relative all'adozione delle misure di contenimento del contagio e la base giuridica, che non potrà mai essere il consenso della persona, ma l'esecuzione dei preminenti motivi di interesse pubblico rilevante.

La persona interessata dovrà essere informata che, nel caso in cui si opponga alla fornitura dei dati, non potrà accedere ai locali dell'organizzazione.

La conservazione dei dati acquisiti potrà essere protratta non oltre i 14 gg. previsti dalle disposizioni emergenziali, salvo che successive disposizioni della pubblica autorità fissino ulteriori limiti temporali. I dati non saranno soggetti a diffusione e potranno essere comunicati solo alle autorità pubblica, in particolare, alle autorità sanitarie per motivi di prevenzione della salute pubblica.

Dal punto di vista organizzativo, il titolare del trattamento dovrà nominare per iscritto le persone autorizzate alla rilevazione della temperatura ed alla acquisizione delle autocertificazioni, fornendo, al contempo, le istruzioni necessarie per garantire la protezione e la riservatezza delle informazioni ricevute.

Dovrà essere rivisto ed aggiornato il registro delle attività di trattamento, inserendo la descrizione di questo nuovo trattamento in tutti i suoi aspetti, dalle finalità e basi giuridiche, alle misure tecniche ed organizzative adottate per la gestione in sicurezza del dato.

Dovranno essere analizzati nel dettaglio i rischi associati a questo tipo di trattamento e quali contromisure sono state adottate per ridurre al minino la perdita, l'accesso non autorizzato, l'uso illecito e la diffusione dei dati sensibili.

Nei casi in cui si affidi la rilevazione della temperatura a strumenti elettronici automatizzati, quali ad esempio termocamere, sarà necessario procedere ad una PIA (Privacy Impact Assessment), ossia una valutazione dell'impatto di questo trattamento automatizzato sui diritti e le libertà delle persone.

Concludendo, l'adozione delle procedure per il contrasto ed il contenimento dell'epidemia porta con se una serie di questioni complesse da affrontare in materia di protezione dei dati personali, di cui ogni titolare del trattamento deve essere consapevole ed in questi casi la presenza di un D.P.O. o di un consulente privacy è fondamentale per orientare le scelte ed indirizzare l'attività di trattamento dei dati operata dal titolare verso una corretta osservanza dei principi stabiliti dal G.D.P.R.