Relativamente alla protezione dei dati, introdurre azioni di prevenzione significa introdurre un nuovo trattamento. Questo porta numerosi problemi, operativi e concreti, sollevati dalla rilevazione della temperatura all'ingresso in azienda su dipendenti e clienti.

Sono numerose le richieste di chiarimenti che pervengono al Garante in merito al trattamento di dati in periodo di coronavirus; e sono molte le informazioni, in rete e non, a chiarimento degli aspetti problematici sollevati dalla questione della rilevazione della temperatura. Ma è difficile capire bene come comportarsi, soprattutto per il corretto adeguamento alla privacy.

Ecco allora che si possano dimenticare o sottovalutare gli obblighi previsti dal gdpr, oppure si può pensare che, con due moduli da far firmare ai dipendenti o clienti, si possano esaurire gli adempimenti previsti.

Peraltro la rilevazione della temperatura corporea costituisce trattamento di dati personali particolari, i c.d. dati sensibili, e quindi deve avvenire nel rispetto stringente della normativa in materia.

Ci preme in questa sede ricordare che la privacy, o meglio la protezione dei dati personali, non si esaurisce in una attività una tantum: va presidiata e costantemente aggiornata a seguito di verifiche e di monitoraggio continuo.

Quindi, anche in situazione di emergenza, non vanno dimenticate le prescrizioni della normativa.

Ecco un elenco di 10 cose da fare per aggiornare la documentazione ed il sistema di protezione dei dati che dovreste aver già adottato.

1. Deve essere definito un Protocollo, una procedura, che preveda tutte le misure che implicano il trattamento di dati personali, particolari e non.
2. Va definito il nuovo trattamento all’interno del Registro dei Trattamenti.
3. Nel registro e nelle informative, va specificato se è prevista la sola rilevazione di dati sanitari sensibili o anche la registrazione. In quest’ultimo caso andrà specificata quale sia la necessità che giustifichi tale registrazione o conservazione.
4. Vanno definiti i tempi e le modalità di conservazione, le modalità di distruzione dei dati raccolti.
5. Vanno identificati, definiti i soggetti incaricati di rilevare i dati sanitari.
6. Va predisposta una informativa coerente con quanto riportato nel protocollo con la indicazione della finalità e base giuridica del trattamento.
7. Vanno individuati ed autorizzati i soggetti preposti al trattamento sulla base del protocollo.
8. Tali soggetti vanno formati sulle modalità ed i rischi del trattamento.
9. Vanno definite e messe in atto tutte le misure di sicurezza necessarie.
10. Si dovrà documentare tutto quanto ai fini di poter dimostrare, la c.d. accountability, in caso di verifica.

In conclusione si tratta di mettere in atto tutte le misure necessarie per assicurare la protezione effettiva dei dati personali, a maggior ragione in quanto ci troviamo in fase di emergenze e perché si tratta di dati particolari.

Il Garante ha anche pubblicato le risposte alle domande più frequenti in tala senso, che vi consiglio di andare a leggere (clicca qui per le faq) e che riporto brevemente di seguito.

• Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?
  Si fa riferiemento al "protocollo per tutelare la salute e la sicurezza dei lavoratori in ordine all’emergenza sanitaria da “Covid-19” integrato il 24 aprile 2020" (clicca qui per scaricare il pdf) relativamente alla rilevazione della temperatura corporea. La rilevazione non significa anche registrazione del dato ed associazione con un individuo,  nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento EU 2016/679.
• L’impresa può richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?
  In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). E' quindi possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti). In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, sempre nel rispetto del gdpr.
• Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?
  Sostanzialmente gli adempimenti del medico competente non cambiano e valgono le disposizioni delle norme in materia.
• Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?
  No. Il datore di lavoro ha l'obbligo di comunicare alle autorità sanitarie e non ad altri.
• Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?
  No. Questo compito spetta alle autorità sanitarie.

Non si sottovalutino questi aspetti poiché, solo seguendo regole precise è possibile rendere effettiva la protezione dei dati senza correre il rischio di inciampare in conseguenze molto gravi.

Fonte: In4mati  Autore: Luigi Duraccio