! Aggiornamento !

In vista della ripartenza prevista per il 4 maggio abbiamo tenuto un webinar gratuito per fornire alcuni spunti operavi utili alla gestione dei dati personali di dipendenti, fornitori e clienti dell’azienda e degli studi professionali. Puoi riguardarlo qui:  https://youtu.be/0nwY_qhfM8c 

In data 14/03/2020 è stato siglato il ““Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro“, con nuove linee guida anche in materia di privacy dei soggetti che entrano in azienda. Il documento è stato poi aggiornato in data 24/04/2020. Ne parliamo qui: https://www.iconsulentiprivacy.it/protocollo-aziendale-covid-19-linee-guida-privacy-dipendenti-e-fornitori/

____________________________________________

Spinto dalle numerose domande ricevute da parte di soggetti pubblici e privati, il Garante Privacy, con una nota del 02 marzo 2020, si è espresso in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e dipendenti, informazioni circa la presenza di sintomi da Coronavirus (es. misurazione della temperatura corporea) e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio (es. sei stato nelle zone rosse negli ultimi 14 giorni? tu o i tuoi familiari avete avuto febbre o sintomi influenzali negli ultimi 14 giorni? ecc.)

L’Autorità di controllo ha in primo luogo ricordato che la normativa d’urgenza adottata nelle ultime settimane prevede che chiunque negli ultimi 14 giorni abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario. In tale contesto si inserisce il provvedimento del Garante n. 15 del 2 febbraio 2020 (ne abbiamo parlato qui), il quale conferma che la raccolta informazioni relative ai sintomi tipici del COVID-19 e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile.

Precisato quanto sopra, l’Autorità ha stabilito che i datori di lavoro non possono raccogliere  a priori, in modo sistematico e generalizzato, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. Trattasi infatti di raccolta di dati particolari ai sensi dell’art. 9 GDPR, il cui trattamento non solo non può mai avvenire sulla base del legittimo interesse del Titolare, ma è sottoposto a limiti stringenti, specialmente quando a maneggiare il dato è un soggetto sprovvisto di qualifica medica.

Come gestire allora il complicato equilibrio tra le esigenze di privacy e quelle di contenimento del virus in azienda? Ci sono diverse strade:

  • COMUNICAZIONI NON INVASIVE: l’azienda che non intende rischiare sanzioni potrebbe evitare qualsiasi raccolta di dati apponendo all’ingresso un cartello o una infografica che guidi dipendenti e utenti alla autovalutazione del rischio, vietando l’ingresso a chi è stato in determinate zone oppure abbia manifestato sintomi influenzali o febbre. L’eventuale rilevazione della temperatura corporea dovrebbe essere svolta direttamente dal soggetto stesso ed il risultato non dovrebbe essere visibile a terzi. Tale soluzione è quella maggiormente rispettosa del Regolamento UE e del pincipio di minimizzazione del dato, ma ovviamente costringe l’azienda a fare un voto di fiducia totale verso terzi soggetti.
  • l’alternativa è quella di raccogliere i dati strettamente necessari INFORMANDO E RICHIEDENDO IL CONSENSO AL TRATTAMENTO: prima di raccogliere qualsiasi informazione e/o di svolgere controlli sullo stato di salute di dipendenti e visitatori, l’azienda dovrà raccogliere il consenso al trattamento dei dati sanitari, fornendo l’informativa privacy ai sensi dall’art. 13 del GDPR. In particolare, si suggerisce di prevedere (e rispettare) tempi di conservazione molto ridotti, al fine di far fronte alla sola situazione di emergenza. Qualora, per circostanze particolari, non fosse possibile raccogliere preventivamente il consenso, pur assumendosi una dose di rischio l’azienda potrebbe valutare l’aggiornamento del DVR (Documento di Valutazione dei Rischi) includendo questo nuovo rischio biologico quale giustificazione del trattamento dei dati sanitari di determinate categorie di dipendenti (i quali dovranno comunque ricevere l’informativa), anche al fine di fornire i giusti DPI (Dispositivi di Protezione Individuale). Aggiornamento del 14/03/2020: non è necessaria la raccolta del consenso: il trattamento avviene per obbligo di legge e tutela della salute pubblica (art. 9 GDPR).

Il nostro team è a disposizione per rispondere a dubbi o richieste di informazioni: contattaci