Aprile 17, 2020
Circolare – NUOVI OBBLIGHI per la protezione dei dati personali – COVID 19
Il rispetto del “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14.3.2020 per ogni attività produttiva non sospesa (DPCM 10.4.2020, all.3 e per gli accessi disciplinati dal comma 11 dell’art.2 ) e per tutte quelle che progressivamente verranno consentite nelle fasi post emergenza, deve necessariamente attuarsi anche a mezzo di opportuni interventi di adeguamento delle misure di protezione dei dati personali.
Nei preliminari audit aziendali per una corretta attuazione degli obblighi di adeguamento al Regolamento UE 2016/679 – GDPR, una iniziale distinzione è tra gli interventi a tutela dei dati delle persone interne all’aziende rispetto ai consulenti esterni contrattualmente abilitati alla gestione di dati.
Gli obblighi a carico dell’imprenditore di cui al citato Protocollo hanno ampliato le predette due categorie ponendo particolare attenzione a tutte le persone esterne all’azienda che hanno fisico accesso in azienda e vi permangono per periodi temporali variabili a seconda dei motivi di ingresso: commerciali, manutentivi ecc.. Persone in precedenza estranee alle prescrizioni del GDPR perché prive di interazione e di accesso a dati personali gestiti in azienda e che nel nuovo contesto hanno in pieno diritto, come interessati, che i lori dati personali di natura sanitaria vengano legittimamente trattati, con complementare ulteriore ampliamento anche della gestione dei dati personali dei dipendenti/collaboratori per la connessa salvaguardia della salute collettiva.
I nuovi obblighi di adeguamento della tutela dei dati personali
1-INFORMAZIONE – il Protocollo prevede a carico dell’azienda obblighi di informazione a tutti i lavoratori e a chiunque entri in azienda.
In via preliminare è consigliabile la designazione all’interno dell’organizzazione di una persona preposta dall’azienda a mezzo di dettagliato contratto anche con nomina di Responsabile del trattamento dei dati personali.
In considerazione del dovere della persona esterna di comunicare al datore di lavoro la presenza di qualsiasi sintomo influenzale, occorre che i detti dati sanitari vengano gestiti nel pieno rispetto del GDPR. Medesimo consenso al trattamento dei dati personali andrà richiesto ai dipendenti con relativa informativa.
2-MODALITA’ DI INGRESSO IN AZIENDA- lavoratori e esterni
Uno degli obblighi preliminari a carico dell’azienda è la rilevazione della temperatura, ciò comporta la registrazione del dato acquisto solo nell’ipotesi di superamento della soglia: in tal caso ricorre l’informativa sul trattamento dei dati personali.
Occorre la corretta predisposizione dell’informativa integrativa nel caso dei lavoratori e di apposita modulistica per gli esterni.
La finalità del trattamento può essere la prevenzione dal contagio da COVID-19; la base giuridica può essere l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020; la durata dell’eventuale conservazione dei dati può far riferimento al termine dello stato d’emergenza; si esclude la diffusione e comunicazione a terzi al di fuori delle specifiche previsioni normative, es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali contatti stretti di un lavoratore risultato positivo al COVID-19.
In considerazione degli obblighi a carico dell’azienda di recepire le comunicazioni da parte del lavoratore dei contatti avuti, al di fuori del contesto aziendale, con soggetti risultati positivi al COVID-19, è opportuna ogni possibile attenzione alla corretta acquisizione di dati, senza quindi, che ricorra l’individuabilità di altre persone interessate.
Le dovute cautele ricorrono in sede di acquisizione da parte dell’azienda di dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19; anche in tal caso occorre rispettare la disciplina sul trattamento dei dati personali, poiché l’acquisizione stessa della dichiarazione costituisce un trattamento. Si raccolgono solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19 (ad es. se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi – vedi nota 1 del Protocollo).
Le dovute cautele ai fini di un corretto trattamento dei dati personali sono oltremodo indispensabili nel caso di allontanamento del lavoratore che durante l’attività lavorativa abbia sviluppato febbre o altri sintomi di infezione, rispetto ai suoi colleghi e a tutti coloro che vi abbiano avuto contatto.
Ricorre il dovere/diritto per l’imprenditore alla piena consapevolezza del ruolo da lui assunto per il delicato legittimo bilanciamento tra il diritto alla tutela collettiva della salute e alla tutela dei dati personali. Egli è strumento per l’attuazione concreta dell’esistente disciplina in particolare ogni qualvolta gli è richiesta una valutazione sullo stato di salute delle persone di cui è responsabile e sulle connesse conseguenze, in particolare nella tempestività delle segnalazioni alle Autorità competenti ed alle persone interne ed esterne dell’azienda potenzialmente coinvolte.
Studi e Consulenza Srl – Avv. Giuseppe Sparano – p. Avv. Lorenzo Sparano