Articolo a cura dell’Avv. Monica Rachele Carrettoni

Potete contattarmi ai seguenti riferimenti:

Tel 327.63.977.58

Email:milano.conciliazione@alassistenzalegale.it oppure sassuolo@alassistenzalegale.it

Gli obblighi in materia di GDPR e Privacy si sono fatti ancora più stringenti rispetto all’epoca emergenziale in cui stiamo vivendo a causa del Coronavirus: nella fase 2, le aziende possono riaprire a condizione che siano in grado di garantire il distanziamento sociale e le misure di prevenzione del contagio stabilite dal “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, siglato il 24.4.2020.

Molte delle misure impattano però sulla Privacy, con l’alto rischio di violare le norme in materia.

Nell’attesa dei prossimi correttivi, è necessario per l’azienda comprendere ad oggi quali dati personali possono essere trattati in epoca di Coronavirus e con che modalità, per non incorrere nelle gravi sanzioni previstedal GDPR.

Come illustrato durante i miei interventi ai due webinar dell’8.4.2020 e del 28.4.2020 sulla tutela dell’azienda in epoca COVID, organizzati da A.L. Assistenza Legale, occorre partire da una premessa: il trattamento di dati personali relativi ai sintomi da COVID-19 è consentito, in quanto il trattamento di dati relativi alla salute è possibile:

-“in presenza di gravi minacce per la salute e sicurezza sociale” e “per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione” (art. 9, par. 2, lett i, art. 46 dei Considerando GDPR)

– in presenza di “interesse vitale”e di un “obbligo legale” (Comitato europeo per la protezione dei dati. c.d. “EDPB”.

Tuttavia ci sono limiti imprescindibili per il trattamento dei dati che non possono essere travalicati:

-necessità, minimizzazione, proporzionalità dei dati raccolti (art. 5 GDPR, per cui non si possono raccogliere dati in più rispetto a quelli che soddisfano le finalità della raccolta);

-riservatezza e rispetto dignità dell’interessato (art. 5 GDPR)

Come quindi l’azienda deve adottare le misure previste dai Protocolli anti-contagio, nel rispetto della privacy?

Qui di seguito brevi FAQ messe a punto per rispondere ai principali quesiti che le aziende clienti hanno manifestato allo studio in questi giorni. Le stesse vanno in ogni caso rimodulate sulla base delle peculiarità aziendali (es. settore pubblico o privato, enti locali, attività svolta, livello di rischio ecc).

1) L’azienda ha obblighi informativi nei confronti dei dipendenti, fornitori, visitatori, clienti?

SI.

Depliants informativi

L’azienda dovrà affiggere dei depliants all’ingresso in azienda e nei luoghi più strategici all’interno dei locali, contenenti le modalità concrete di adozione delle misure anti-contagio (anche per fornitori, appaltatori, visitatori): es. iter seguito nel caso di rilevamento del soggetto positivo, soggetti autorizzati al trattamento, ecc.

Aggiornamento informativa Privacy ex art. 13 GDPR

Necessità dettata dalla novità dei dati trattati (es. temperatura, ecc.), delle finalità (es. prevenzione anti-contagio), della durata (fine del contagio), della base giuridica (es. implementazione protocollo anti contagio) e delle misure di sicurezza (es. smartworking, ecc.).

2) L’azienda può chiedere la misurazione corporea della temperatura e vietare l’accesso se superiore a 37.5° a dipendenti, fornitori, visitatori, clienti?

SI, con dei limiti

E’ un trattamento di dati sensibili, occorre quindi la previa informativa.

E’ fatto divieto di registrare i dati; ciò è consentito solo per giustificare le ragioni del diniego all’accesso nel caso di soggetti non occasionali (segretezza in ogni caso dei dati registrati).

L’operazione è svolta sotto la guida del medico competente, affidando allo stesso il trattamento dei dati, prevedendo accessi singoli e procedure di isolamento del soggetto positivo, nel rispetto della privacy.

3) L’azienda può chiedere un’ autocertificazione sulla provenienza da zone a rischio e contatti con casi sospetti nei 14 giorni antecedenti?

SI, con dei limiti.

E’ un trattamento di dati sensibili, occorre quindi la previa informativa.

Il trattamento è consentito nel rispetto del principio di “segretezza” nella conservazione delle autocertificazioni e di “minimizzazione” delle informazioni richieste (es. non posso chiedere le generalità dei contatti stretti).

4) Ci sono dei limiti nella comunicazione dei soggetti sintomatici?

SI.

La comunicazione dell’identità può essere effettuata solo ai soggetti istituzionalmente autorizzati (es. Forze di Polizia, Protezione Civile, SSN, medico di base, medico sorveglianza sanitaria ecc) e soggetti delegati (previo, consigliato, impegno alla segretezza).

Nell’individuazione dei “contatti stretti” con soggetti positivi/sintomatici, occorre preservare la privacy del soggetto sintomatico.

Vige un dovere di collaborazione fra datore di lavoro/SSN/medico sorveglianza, restando comunque fermo l’obbligo del soggetto sintomatico di segnalare il suo stato

5) L’azienda deve aggiornare la documentazione Privacy?

SI, per l’assoluta novità dello stato emergenziale.

A mero titolo esemplificativo e non esaustivo, occorre predisporre/integrare:

– la mappatura delle diverse attività dell’azienda;

– la valutazione rischi con aggiornamento DPIA;

– i contratti e nomine quali responsabili esterni ex art. 28 GDPR (es. con aziende di sanificazione);

– la formazione dipendenti e personale autorizzato;

– la documentazione Privacy (es. registro trattamenti, nomine responsabili, misure di sicurezza, ecc.), cd. principio “privacy by design e by default”, ex art. 25 GDPR e di “accountability”, ex art. 24 GDPR.

6) Quali trattamenti dei dati personali coinvolgono il medico di sorveglianza?

La sorveglianza sanitaria permane e anzi, il medico assume un ruolo fondamentale nell’attuazione delle misure anti-contagio (collabora con il datore di lavoro e il SSN).

Occorre stabilire le procedure per il trattamento dei dati di cui al certificato di avvenuta “negativizzazione” del tampone (previsto dal Protocollo del 24.4.2020 per la riammissione in azienda del soggetto risultato positivo) e dei test sierologici/screening (nomine, informazione, conservazione, ecc.).

Parimenti, occorre individuare procedure per l’individuazione dei casi sospetti in azienda, nonchè dei soggetti fragili e il reinserimento dei guariti, nel rispetto della privacy e della riservatezza.

7) Posso chiedere ai miei dipendenti di effettuare test sierologici, utilizzare app o altri sistemi tecnologici?

Si, con dei limiti.

I test sierologici sono da effettuarsi su base volontaria (attenzione non sono ancora stati validati: rischio di falsi positivi e falsi negativi):

. conservati dal medico di sorveglianza nel rispetto della privacy;

. conoscibilità limitata alla idoneità alla mansione.

Per quanto riguarda le misure tecnologiche, occorre distinguere tra:

a) app di tracciamento: essendo un trattamento di dati, occorre stabilire le procedure per l’utilizzo nel rispetto della Privacy e dell’ art. 5 Statuto Lavoratori (uniche finalità del trattamento: salute e sicurezza);

b) sistemi tecnologici che non tracciano dati personali (es. braccialetti con allarme in caso di violazione distanze)

Basta adottare le misure previste dal Protocollo anticontagio del 24.4.2020?

NO

Il Protocollo del 24.4.2020 non detta misure esaustive, ma solo quelle minime: è necessaria l’integrazione con i provvedimenti nazionali, le Ordinanze Regionali, i provvedimenti dell’Autorità Garante Privacy e del Comitato Europeo per la Protezione dei Dati secondo le peculiarità della propria realtà aziendale (”privacy by design e by default”) e i rischi privacy correlati.

Ci sono sanzioni nel caso di violazione degli obblighi Privacy?

SI

– ex art. 83 GDPR (fino a euro 20.000.000,00 o 4% fatturato annuo mondiale dell’esercizio precedente, se superiore; si valuteranno vari fattori per l’entità: es. gravità, durata, dolo o colpa, misure di sicurezza adottate, categorie di dati, eventuali precedenti, ecc….)

– civili (es. risarcimento danni)

CONCLUSIONI

Il mondo si trova ad affrontare una grave crisi sanitaria che richiede risposte forti, il cui impatto si manifesterà anche oltre il termine di questa emergenza.

Alto è il rischio che non venga effettuato un uso responsabile dei dati personali per la gestione della salute, erodendo i diritti e le libertà individuali.

Le FAQ sinora illustrate contengono delle linee generali, ma misure più stringenti sono state dettate in relazione della specificità di alcuni settori: ad es. per gli enti locali, per il settore pubblico rispetto al privato, per il contesto scolastico e quello sanitario (ed ancora di più rispetto a quello delle ricerche e sperimentazioni sanitarie).

Pertanto è necessario partire dall’analisi delle peculiarità aziendali per elaborare protocolli ad hoc, verificando in concreto che siano sempre conformi alle prescrizioni regionali, nazionali ed europee dettate in ambito Privacy, in continuo divenire.

Nonostante tutte le difficoltà del periodo di pandemia, è dunque importante affidarsi a un professionista che sia esperto della materia e in grado di offrire soluzioni  concrete per rispettare le norme emanate nel rispetto della privacy delle persone.

Vuoi sapere se la tua azienda è in regola con il diritto della Privacy e i Protocolli anti-contagio? Contattami e lo scopriremo insieme.

Avv. Monica Rachele Carrettoni

Tel 327.63.977.58

Email:milano.conciliazione@alassistenzalegale.it oppure sassuolo@alassistenzalegale.it

AL Assistenza Legale

Sede Milano Conciliazione, viale S. M. Del Carso 13- Sede di Sassuolo, Via C. Menotti 14