In riferimento all’ articolo pubblicato in data 11 marzo 2020 relativo alla gestione dei dati personali in emergenza sanitaria, vorrei entrare nel merito delle modalità operative utili ai fini del trattamento dei dati personali da parte dei Datori di lavoro presso le proprie aziende.
Premesso che attualmente, anche alla luce del nuovo D.P.C.M. del 26 aprile 2020, ad eccezione dei cantieri, la rilevazione della temperatura corporea all’ingresso della struttura rimane una facoltà del Datore di lavoro e non un obbligo, è chiaro che il trattamento dei dati ad essa connessa richieda l’adozione di misure preliminari e una valutazione delle attività di corretta gestione dei dati personali; ciò ancor prima di iniziare la vera e propria raccolta dei dati, proprio al fine di evitare una gestione casuale e un trattamento senza controllo di dati tanto più a rischio in quanto dati particolari, ovvero atti a rilevare lo stato di salute degli interessati.
Ecco, quindi, le azioni consigliate:
1. valutazione preliminare e documentata della necessità e proporzionalità del trattamento dei dati: sulla base di criteri definiti, tra cui, a titolo di esempio, l’organizzazione del lavoro e l’attività svolta, l’area geografica e la presenza di casi accertati di Covid-19, il livello di rischio dei lavoratori che accedono alle strutture in relazione all’età e alla presenza di patologie pregresse, la conformazione degli ambienti di lavoro, etc. sussiste realmente il bisogno di procedere alla rilevazione della temperatura corporea? Oppure è possibile adottare misure alternative che permettono comunque di garantire la tutela della salute delle persone che hanno accesso alla struttura?
2. valutata l’effettiva necessità di raccogliere i dati, è necessario informare gli interessati in merito, pertanto dovrà essere predisposta un’apposita informativa sul trattamento dei dati, consegnarla e assicurarsi che venga recepita e compresa (ad esempio attraverso la sottoscrizione della stessa da parte di ogni singolo interessato);
3. l’obiettivo alla base è garantire la privacy degli interessati, perciò si procede con l’individuazione e nomina formale di incaricati addetti alla rilevazione della temperatura e al trattamento dei relativi dati e alla conseguente formazione, anche attraverso la consegna di procedure e istruzioni operative, sulle modalità di trattamento dei dati; non solo, è utile la richiesta di sottoscrizione da parte degli incaricati individuati e formalmente nominati di accordi di riservatezza affinchè i dati non vengano comunicati a terzi non autorizzati o diffusi;
4. sempre con l’obiettivo di garantire la privacy degli interessati, dovrà essere istituito un canale di comunicazione unico e sicuro per l’invio e la ricezione di eventuali comunicazioni;
5. dovranno essere predisposte procedure e istruzioni operative relative alle modalità di rilevazione dei dati, alle modalità di registrazione, di conservazione e di eventuale comunicazione a terzi sempre tenendo come riferimento il concetto di protezione della privacy dell’interessato, equilibrandolo con la necessità di tutelare la salute delle persone che hanno accesso alla struttura (ad esempio, assicurandosi che la registrazione del dato venga effettuata solamente nel caso in cui vi sia un effettivo superamento della temperatura corporea di 37,5° C, che la registrazione avvenga su supporti cartacei o digitali comunque protetti da accessi non autorizzati, che la conservazione dei dati rispetti i limiti indicati all’interno dell’informativa, etc.)
In attesa di maggiori chiarimenti da parte del Garante…
Insomma, non è possibile pensare ad un trattamento dei dati in emergenza sanitaria senza effettuare una più ampia analisi delle modalità pratiche necessarie a tutelare la privacy dei lavoratori e delle misure che devono essere preliminarmente adottate al fine di garantire comunque il rispetto delle disposizioni legislative applicabili.
Per maggiori dettagli, rimaniamo in attesa dei pareri del Garante della privacy sul tema.