Dalla teoria alla pratica: trattamento di dati personali, misure di contenimento e prevenzione del contagio da COVID-19 nei luoghi di lavoro, nella ristorazione, nelle attività commerciali, nelle spiagge e nelle palestre | TUTELA PRIVACY | GDPR | DPO
PROFESSIONISTI NELLA TUTELA DELLA PRIVACY PER LE IMPRESE Il nostro team di esperti inter funzionale affianca professionisti, aziende artigiane, imprese pubbliche e private, nella protezione dei dati personali e nella tutela della privacy durante tutte le fasi di sviluppo aziendale. Per essere tutelato e GDPR Compliant scopri tutti i nostri servizi.
tuitela privacy, gdpr, dpo, torino
347
post-template-default,single,single-post,postid-347,single-format-standard,bridge-core-3.3.3,qode-page-transition-enabled,ajax_fade,page_not_loaded,,qode-title-hidden,qode_grid_1300,footer_responsive_adv,qode-child-theme-ver-1.0.0,qode-theme-ver-30.8.6,qode-theme-bridge,disabled_footer_bottom,wpb-js-composer js-comp-ver-8.3.1,vc_responsive
Privacy e Covid-19

15 Lug Dalla teoria alla pratica: trattamento di dati personali, misure di contenimento e prevenzione del contagio da COVID-19 nei luoghi di lavoro, nella ristorazione, nelle attività commerciali, nelle spiagge e nelle palestre

Posted at 12:06h in News by

In questi ultimi mesi segnati dalla pandemia da Covid-19 (Coronavirus) non è stato facile per imprese ed attività commerciali districarsi tra i Decreti-legge, i Decreti del Presidente del Consiglio dei ministri (DPCM), gli atti emanati Ministeri, dalla Protezione Civile e dagli enti locali (Comuni, Regioni, etc.).

Le misure di contenimento del contagio che sono state adottate hanno determinato per le imprese e per la maggior parte delle attività commerciali in genere, la necessità di svolgere alcune operazioni di trattamento di dati personali (verso dipendenti, clienti, fornitori) legati alle prescrizioni per la prevenzione del contagio.

Questo articolo ha l’intento di offrire alcune indicazioni di carattere generale in merito alle caratteristiche di questi nuovi trattamenti e dei relativi adempimenti e in gran vuole richiamare i provvedimenti che contengono prescrizioni specifiche legate alla tipicità delle attività produttive e all’appartenenza a specifici luoghi geografici.


Il protocollo siglato tra Governo e Parti sociali

La prima versione del “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” (nel prosieguo anche “Protocollo”) è stata sottoscritta il 14 marzo 2020; aggiornato il 24 di aprile, il Protocollo è stato allegato al D.P.C.M. del 26 aprile 2020 (e successivamente anche al D.P.C.M. del 17 maggio 2020), allo scopo di fornire linee-guida per agevolare l’adozione, da parte delle imprese, di misure anti-contagio.

Il Protocollo è suddiviso in 13 parti, ciascuna delle quali disciplina aspetti particolari del rientro in azienda; se ci focalizziamo esclusivamente sui possibili “nuovi” trattamenti di dati personali, e quindi sugli adempimenti ad essi collegati, sono quattro i “momenti” della riapertura che ci interessa prendere in considerazione.

Coerentemente con il principio di accountability previsto al Regolamento UE 2016/679 noto anche con l’acronimo “GDPR”, ciascuna organizzazione deve esaminare il proprio contesto e prendere le decisioni operative più opportune per una riapertura sicura e deve, quindi, predisporre il proprio specifico protocollo per il rientro al lavoro.

Dal punto di vista della protezione dei dati personali, ogni nuovo trattamento comporta almeno la necessità di:

  • redigere una apposita informativa per gli interessati, dopo aver deciso in che modo sarà svolto il trattamento (analisi del processo);
  • inserire il trattamento nel Registro delle attività di trattamento (che deve essere aggiornato con data verificabile);
  • fornire istruzioni al personale incaricato di trattare i dati personali;
  • aggiornare l’analisi dei rischi e adottare misure di sicurezza tecniche e organizzative adeguate al proprio profilo di rischio.

Qualora uno dei trattamenti sia delegato ad un soggetto esterno (ad esempio, tutte le società con sede all’interno di uno stesso stabile possono aver delegato le operazioni di controllo all’accesso alla società proprietaria dell’edificio o a quella che si occupa normalmente dei servizi di ricevimento), è necessario stipulare con esso uno specifico accordo per il trattamento.

Modalità di ingresso dei dipendenti in azienda

Il Protocollo prevede che il datore di lavoro possa effettuare una serie di controlli per consentire l’accesso ai locali di lavoro; a meno che non ci siano diverse e più stringenti indicazioni delle Regioni, le modalità di effettuazione dei controlli – e la possibile raccolta di dati personali che ne consegue – sono scelte dal datore di lavoro in relazione al proprio specifico contesto.

Se il datore di lavoro decide di effettuare il controllo della temperatura dei lavoratori, può farlo in due modi: all’esterno del perimetro aziendale (ad esempio, al di fuori della porta d’ingresso, quindi senza che l’individuo sia stato “riconosciuto”, anche mediante un badge) oppure all’interno; nel primo caso, il rilevamento di una temperatura corporea superiore alla soglia non consente l’ingresso all’individuo ma non comporta un trattamento di dati personali.

Nel secondo caso, invece, e solo quando la febbre è al di sopra del valore di soglia (in caso contrario nessuna informazione deve essere raccolta), il riconoscimento dell’individuo e l’annotazione della sua temperatura corporea costituiscono un trattamento di dati personali; se l’organizzazione decide quindi di verificare la temperatura corporea di tutti i dipendenti (o è obbligata a farlo da disposizioni locali) deve preventivamente fornire a tutti i lavoratori una informativa sul potenziale trattamento dei loro dati personali.

Trattamento che si configura anche nel caso in cui l’ingresso sia condizionato al rilascio di un’autodichiarazione contente informazioni personali (anche di tipo generico) sullo stato di salute e su potenziali contatti con individui positivi al COVID-19 dell’interessato. Prima di compilare il modulo di autodichiarazione (nel quale si raccomanda di non raccogliere informazioni sovrabbondanti e non necessarie per la specifica finalità), l’interessato deve ricevere l’informativa sul trattamento.

Ovviamente l’ingresso in azienda può avvenire senza controlli specifici da parte del datore di lavoro, se la situazione lo consente e se le regole di accesso sono state chiaramente comunicate (niente febbre, niente sintomi, niente contatti potenzialmente pericolosi, mantenimento delle distanze di sicurezza, utilizzo dei DPI); in questo caso il datore di lavoro non effettua alcun trattamento di dati personali in fase di accesso ai locali aziendali.

Modalità di accesso dei fornitori in azienda

L’accesso dei fornitori può avvenire con modalità analoghe a quelle utilizzate per l’accesso del personale dipendente; è bene informare preventivamente i fornitori delle regole che l’organizzazione ha adottato, soprattutto nel caso in cui le visite dei fornitori avvengano su base regolare e continuativa.

La raccolta dell’autodichiarazione di fornitori e/o visitatori o la registrazione della loro temperatura corporea, qualora questa risulti superiore al valore di soglia stabilito, sono, come abbiamo visto nel caso dei dipendenti, un trattamento di dati personali che deve avvenire in conformità alle norme.

Il fornitore (appaltatore) che, per ragioni di servizio, invii propri addetti nei locali di una società terza (committente) – come potrebbe per esempio accadere per l’erogazione di un servizio di pulizia quotidiana degli uffici – e che ha notizia di un contagio da COVID-19 di uno dei propri addetti, ha l’obbligo di informare immediatamente il committente in modo che entrambi possano collaborare con l’autorità sanitaria per fornire elementi utili all’individuazione di eventuali contatti stretti del contagio; attenzione, la necessità di collaborare al contenimento della pandemia non comporta la possibilità di rivelare l’identità del dipendente affetto dalla malattia, né all’interno né all’esterno dell’azienda.

Questo aspetto è stato ampiamente chiarito dall’Autorità Garante: spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

Gestione di un sintomatico in azienda

Nella malaugurata ipotesi in cui un individuo (dipendente, fornitore o visitatore) manifestasse sintomi di contagio da COVID-19 (temperatura corporea superiore a 37,5° deve essere accompagnata da altri sintomi) all’interno degli spazi aziendali, l’organizzazione dovrà necessariamente trattarne i dati personali; garantendo il rispetto della dignità e del diritto alla riservatezza di ogni persona, dovrà infatti avvertire immediatamente le autorità sanitarie (secondo le indicazioni rilasciate dalle singole regioni riguardo alle modalità di contatto e ai canali da utilizzare), individuare i possibili contatti e collaborare alla definizione di eventuali “contatti stretti” per le azioni del caso.

Dovrà inoltre interagire con il medico competente, informandolo dell’evento.

Il medico competente assume ovviamente un ruolo centrale nel momento di emergenza pandemica; a questo proposito, si faccia riferimento alla circolare del Ministero della Salute del 29 aprile 2020 (“Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettività.”)  e alle indicazioni della Società Italiana di Medicina del Lavoro.


Sorveglianza sanitaria /medico competente /RLS

Nel caso di riammissione al lavoro di un dipendente guarito dal COVID-19, il medico competente è tenuto a stilare il certificato di idoneità secondo quanto previsto dal D.Lgs. n. 81/2008.

Dal punto di vista del datore di lavoro, il fatto che al dipendente sia stata diagnosticata una patologia COVID-19 non richiede alcun “nuovo” o “ulteriore” trattamento.

Infatti, il trattamento di questi dati sanitari è di spettanza del medico competente, che agisce in qualità di titolare autonomo; il datore di lavoro deve soltanto informare i propri dipendenti che, in caso di patologia COVID-19, prima di rientrare al lavoro dovranno contattare il medico competente.

Il Protocollo prevede una stretta collaborazione tra datore di lavoro, medico competente e rappresentante dei lavoratori per la sicurezza (RLS) per l’individuazione e la verifica delle misure di regolamentazione legate al COVID-19.

Giova ricordare, come ben chiarito dalle FAQ del Garante Privacy, che non è previsto che il datore di lavoro comunichi i nominativi del personale eventualmente contagiato all’RLS; quest’ultimo, quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni delicate – che di regola tratta in forma aggregata (come, ad esempio, quelle riportate nel documento di valutazione dei rischi) – deve rispettare le disposizioni in materia di protezione dei dati nel caso in cui sia possibile, anche indirettamente, l’identificazione di alcuni interessati.


Modalità di trattamento e istruzione agli addetti

In moltissimi casi, i “nuovi” trattamenti indotti dallo stato emergenziale sono svolti in modalità manuale; annotazione dei dati sul registro di ingresso e autocertificazione comportano quasi sempre l’uso di carta e penna.

Le imprese devono quindi organizzarsi per custodire le informazioni raccolte in modo sicuro e per eliminarle, in modo altrettanto sicuro ed efficace, al termine dello stato di emergenza.

Un altro aspetto da non trascurare è quello relativo alla necessità di rispettare un obbligo preciso del titolare del trattamento, cioè quello di istruire le persone a cui assegna il compito di svolgere le operazioni di trattamento; l’obbligo deve essere onorato non solo quando sono addetti interni a compiere le operazioni sui dati, ma anche quando il compito è affidato a soggetti esterni all’organizzazione del titolare.

Inoltre, tutti i trattamenti di dati personali che abbiamo descritto fin qui comportano la raccolta di informazioni relative allo stato di salute dell’interessato; esse devono quindi essere gestite con la massima cautela per garantire la riservatezza e il rispetto degli individui a cui si riferiscono.

La diffusione non autorizzata, anche involontaria, di questi dati potrebbe avere significative conseguenze sugli interessati (discriminazione, diffamazione, persecuzioni) e potrebbe esporre il titolare del trattamento a sanzioni; è bene quindi che, indipendentemente dalla modalità scelta per la loro trasmissione, le istruzioni alle persone autorizzate al trattamento siano chiare e dettagliate.

Le linee guida della Conferenza delle Regioni per la riapertura di alcune attività produttive

In data 25 maggio 2020, la conferenza delle Regioni ha aggiornato e ampliato le linee guida per la riapertura di attività produttive e esercizi commerciali; al di là di possibili differenze locali – che possono riguardare l’obbligatorietà della rilevazione della temperatura o anche la durata di conservazione degli elenchi dei clienti –  in molti casi la ripartenza dell’attività economica richiede che il gestore effettui trattamenti di dati personali che non erano usuali per quel determinato settore merceologico prima dell’inizio della pandemia.

Chi ha quest’obbligo non può sottrarsi e deve essere consapevole che il trattamento deve avvenire in conformità alla normativa sulla protezione dei dati; è estremamente probabile che molti dei gestori non si siano mai cimentati con la protezione dei dati personali (perché non avevano avuto motivo di farlo o anche perché non si erano mai posti il problema di rispettare la normativa pur essendo tenuti a farlo).


Rilevamento della temperatura corporea all’accesso

Alcuni gestori sono tenuti a rilevare la temperatura corporea o possono farlo, se lo desiderano, come condizione per l’accesso ai propri esercizi commerciali. Per alcune attività (noleggio veicoli) tale controllo è fortemente raccomandato. Inoltre, come già detto, alcune Regioni rendono obbligatorio ad alcuni settori merceologici il rilevamento della temperatura che invece, a livello nazionale, è facoltativo. Se la temperatura è rilevata senza l’identificazione del soggetto e la conseguente registrazione dei dati a lui riferiti, il trattamento è anonimo. Nessuna azione è quindi richiesta al gestore dal punto di vista della protezione dei dati personali. Infatti, per definizione, il dato anonimo non permette l’identificazione di un individuo.


Elenco delle presenze

I gestori di alcuni esercizi sono obbligati a svolgere trattamenti di dati personali che anche in questo caso potremmo, in un certo senso, definire come “nuovi”; devono infatti raccogliere i dati dei clienti e conservarli per un periodo di tempo predefinito.

La Conferenza delle Regioni ha stabilito un periodo di conservazione degli elenchi di presenza pari a 14 giorni. Si tratta di una indicazione relativa a un tempo minimo, perché alcune regioni hanno fissato tempi di conservazione più lunghi; per esempio, la Regione Lazio ha disposto un tempo di conservazione pari a 30 giorni.

Se la conservazione dell’elenco dei clienti era già contemplata, per alcune attività, anche nel periodo pre-pandemia (pensiamo per esempio agli alberghi), per molti si tratta di un fatto completamente nuovo.

Quali sono dunque i settori merceologici che devono registrare e conservare le visite dei propri clienti?

Tutti coloro che gestiscono:

  • attività di ristorazione
  • l’accesso a spiagge attrezzate e spiagge libere
  • stabilimenti balneari
  • attività di servizi alla persona (parrucchieri, estetisti e tatuatori)
  • piscine e palestre
  • servizi di pernottamento presso rifugi alpini
  • circoli culturali e ricreativi
  • cinema o spettacoli dal vivo
  • parchi tematici o di divertimento
  • strutture termali e centri benessere
  • servizi su prenotazione (guide alpine, maestri di sci e guide turistiche)

devono organizzarsi per adempiere l’obbligo in conformità alla normativa sulla protezione dei dati personali.

In questo momento, l’attenzione dei clienti è elevata ed è possibile che molti di loro si aspettino di ricevere l’informativa sul trattamento dei dati personali al momento del loro ingresso nell’esercizio commerciale.

Al di là delle operazioni di trattamento obbligate dalla pandemia, i trattamenti di dati personali svolti abitualmente dai gestori meritano la stessa cura e attenzione e, soprattutto, devono essere effettuati rispettando la normativa vigente.

 

A cosa si va incontro in caso di violazione: le sanzioni 

  • Violazione degli obblighi relativi ad informazioni, comunicazioni e modalità trasparenti

Fattispecie: Violazione degli obblighi riguardanti le informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato a norma dell’articolo 12, regolamento (UE) 27 aprile 2016, n. 2016/679  il quale, al paragrafo 1, stabilisce che devono essere adottate misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 del regolamento, relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Soggetto Sanzionato: Titolare del trattamento

Entità della sanzione: Sanzione amministrativa pecuniaria fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore

  • Trattamento illecito dei dati – Categorie particolari di dati

Fattispecie: il Regolamento prevede sanzioni per chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, salvo che il fatto costituisca più grave reato, arreca nocumento all’interessato, procedendo al trattamento dei dati personali di cui all’articolo 9 del GDPR ( dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona)

Soggetto Sanzionato: Titolare del trattamento

Entità della sanzione: Sanzione amministrativa pecuniaria fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Sanzione penale: reclusione da uno a tre anni.

Per informazioni e maggiori dettagli sulle attività da implementare nella vostra azienda nel rispetto della normativa vigente, è possibile contattarci al numero 011.5534737 oppure via e-mail: info@tutelaprivacy.com 

Tags:
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,