GDPR e Coronavirus: come conciliare interesse pubblico e protezione dei dati personali

coronaGDPR
Come si assicura la riservatezza e la dignità del lavoratore? Quali sono le modalità di ingresso in azienda?

Il 14 marzo 2020, su invito del Presidente del Consiglio dei Ministri e dei Ministri competenti, è stato sottoscritto tra le parti sociali un Protocollo per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.

Il Protocollo fornisce misure operative per ambienti di lavoro non sanitari, al fine di contrastare l’epidemia di COVID-19.

Confermata la riduzione o la sospensione temporanea delle attività, preferendo (laddove possibile) il ricorso al lavoro agile e agli ammortizzatori sociali, il Protocollo ha l’obiettivo di assicurare condizioni di salubrità e sicurezza degli ambienti di lavoro per quelle organizzazioni che proseguono con le attività produttive.

In questa sede, ci si limiterà ad analizzare le parti del Protocollo che presentano delle relazioni con la tutela dei diritti e delle libertà fondamentali dei lavoratori relativamente al trattamento dei dati personali.

In prima battuta il Protocollo conferma l’invito al datore di lavoro di informare tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo appositi dépliant informativi all’ingresso e nei luoghi maggiormente visibili dei locali aziendali.

Informazione ai lavoratori

Tra le informazioni generali da fornire al lavoratore si fa presente:

  • l’obbligo di rimanere al proprio domicilio in presenza di febbre o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria
  • l’accettazione del fatto di non poter fare ingresso o di poter permanere in azienda e di doverlo dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, ecc.) in cui i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio
  • l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene)

Vediamo, invece, quanto resta possibile applicare della disciplina GDPR al contenuto delle disposizioni riguardanti le modalità di accesso in azienda.

Modalità di ingresso in azienda

Al momento dell’accesso in azienda i lavoratori potranno essere sottoposti in tempo reale al controllo della temperatura corporea: se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro.

Nel caso di persone in tale condizione, ovvero di persona già presente in azienda che sviluppi febbre e sintomi di infezione respiratoria come la tosse, queste saranno fornite di mascherine e momentaneamente isolate (in base alle disposizioni dell’autorità sanitaria); l’azienda procederà immediatamente ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-19 forniti dalla Regione o dal Ministero della Salute.

È consentita, quindi, la comunicazione e la diffusione di dati a soggetti pubblici o incaricati di pubblico servizio nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.

Il Protocollo, però, specifica che in ogni caso DEVE essere assicurata la riservatezza e la dignità del lavoratore.

Come si assicura la riservatezza e la dignità del lavoratore?

La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente.

È il Protocollo stesso che suggerisce alcuni accorgimenti tra cui la possibilità di rilevare la temperatura evitando la registrazione del dato acquisito.

La registrazione può avvenire quando il dato acquisito occorre per giustificare l’allontanamento del lavoratore dai luoghi di lavoro aziendali.

Resta inteso che tutti, lavoratori, fornitori e visitatori devono ricevere l’informativa sul trattamento dei dati personali. Tale informativa può omettere tutte le informazioni di cui l’interessato è già in possesso: questo significa che l’informativa può contenere esclusivamente le informazioni circa il trattamento relativo alla misurazione della temperatura per la gestione dell’emergenza COVID-19.

Rispetto ai contenuti dell’informativa, qual è la finalità del trattamento da indicare?

La prevenzione dal contagio da COVID-19.

E la base giuridica?

L’implementazione dei Protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020.

Quale durata della conservazione dei dati si può far riferimento al termine dello stato d’emergenza.

È importante, poi, che siamo in grado di definire e dare chiare informazioni circa le misure di sicurezza intraprese per proteggere i dati acquisiti. Il Protocollo ricorda che “i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19”.

Il software per gestire il modello GDPR

Per meglio definire le misure di sicurezza e ricavare in automatico l’informativa per gli interessati Blumatica ha disposto un aggiornamento del sistema Blumatica GDPR includendo negli archivi di base del software l’attività di trattamento “Rilevazione in tempo reale della temperatura corporea – Protocollo di Regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” che prevede già tutte le indicazioni contenute nel Protocollo e l’impostazione delle principali misure di sicurezza che potranno essere comunque integrate in base alla modalità di trattamento predisposta dall’azienda.GDPR coronavirus

In base allo studio dell’attività di trattamento viene, così, automatico realizzare l’informativa per gli interessati usufruendo di un modello di stampa predisposto ad hoc per gestire il momento di emergenza.

informativa coronavirus

Consulta anche tu il sito Blumatica alla pagina dedicata al prodotto Blumatica GDPR che ha consentito a migliaia di aziende, consulenti e liberi professionisti di mettere in regola la propria organizzazione e quella dei propri assistiti.

Francesca De Santis

Responsabile Ricerca e Sviluppo Area Sicurezza


Un commento

  • Silvia Impavido

    4 Aprile 2020 at 10:19

    Buongiorno,
    complimenti per l’articolo. Molto chiaro e puntuale.
    Se posso permettermi, riterrei opportuna un’integrazione per le autocertificazioni che alcune aziende utilizzano in alternativa alla rilevazione della temperatura in tempo reale.

    Commenta

    • Ufficio Stampa Blumatica

      24 Aprile 2020 at 10:04

      Salve, La ringraziamo molto per l’apprezzamento.
      Relativamente alla gestione delle emergenze, l’applicazione Blumatica GDPR è stata integrata un’opportuna attività di trattamento dati che permette di generare una informativa dedicata alla gestione dell’emergenza COVID-19.
      Rispetto all’autocertificazione, non essendo legata alla gestione privacy, è un modello che potremmo eventualmente prendere in considerazione per altri prodotti.

      Commenta

Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *