PRIVACY E FASE 2: COME AFFRONTARE IL RIENTRO IN AZIENDA

Riferimenti privacy al Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali del 24 aprile 2020.

La Gestione dell’emergenza Covid-19 è diventata una realtà oramai tangibile per tutti noi. Dal 4 maggio molte aziende, indicate nell’allegato n.6 del DPCM del 26 Aprile 2020, riapriranno e col passare dei giorni, si spera, si potrà assistere a una riapertura di tutte le attività.

La ripresa non sarà facile poiché bisognerà mettere a disposizione dei dipendenti e di tutte quelle persone che possono in un qualsiasi modo, o motivazione, accedere alle sedi di lavoro specifiche modalità di accesso e di lavoro atte a prevenire il contagio da Covid-19.

In questa sede, non entreremo nel merito della disciplina di sicurezza del lavoro ma affronteremo le attività pratiche che devono essere svolte per gestire l’implementazione delle misure di sicurezza anti-contagio da Covid-19.

I 5 punti fondamentali da affrontare si focalizzano sulla protezione dei dati personali:

  1. Aggiornare il Registro delle attività di trattamento e DPIA in merito alle attività svolte per le misure di sicurezza definite dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali del 24 Aprile 2020;
  2. Fornire informativa per la rilevazione della temperatura e/o richiesta di autocertificazione;
  3. Nominare come soggetto designato l’individuo che esegue la rilevazione della temperatura e/o raccolta delle autocertificazioni o nominare la società esterna che eseguirà i controlli in qualità di responsabile esterno del trattamento;
  4. Prevedere una procedura specifica per la gestione dell’isolamento temporaneo in azienda;
  5. Tutelare la privacy nelle comunicazioni tra datore di lavoro - medico competente (comunicazione dei soggetti fragili e soggetti positivi al COVID).

1. AGGIORNAMENTO DEL REGISTRO DEI TRATTAMENTI E DPIA

L’aggiornamento della documentazione privacy in azienda è necessario per specificare il comportamento delle aziende in merito alle misure messe in atto.

Innanzitutto, dev’essere stabilito se esiste un trattamento di dati personali nella gestione delle misure:

Se esiste il suddetto trattamento dei dati personali allora bisognerà aggiornare il Registro delle Attività di Trattamento ed eseguire una valutazione d’impatto sui nuovi trattamenti.

La composizione del Registro delle Attività di Trattamento dev’essere ampliata aggiungendo tutte le specifiche del trattamento svolto: Raccolta dei dati, Categorie di interessati, Tipologia di dati trattati, Destinatari dei dati, Modalità del trattamento dei dati, eventuale Trasferimento dei dati al di fuori dell’UE, eventuali nuovi Responsabili Esterni del Trattamento.

La valutazione d’impatto è fondamentale nell’applicazione delle attività sopradescritte perché devono essere valutati i rischi sul trattamento e, non secondari, sugli archivi dove vengono conservati i dati. Nel caso in cui l’archivio utilizzato sia stato già censito e possieda un livello di rischio basso, allora dovremo solo più eseguire la valutazione sul trattamento (disponibilità del dato, comunicazione al di fuori dell’ambito definito, divulgazione a terzi al di fuori dell’ambito definito).

Invece, se l’archivio non è mai stato censito allora dovrà essere eseguita una valutazione del livello di rischio dell’archivio e del trattamento. Si consiglia di utilizzare degli archivi cartacei come quelli del personale dipendente che, in teoria, hanno la possibilità di chiusura a chiave, accesso limitato, ecc.; per gli archivi digitali si consiglia di prevedere delle politiche di accesso ai dati limitate alle persone addette al trattamento di quei dati, oltre ad utilizzare dei sistemi di archiviazione “sicuri” (ad es. non utilizzare servizi cloud gratuiti, ecc…).

2. INFORMATIVA PER LA RILEVAZIONE DELLA TEMPERATURA E/O RICHIESTA DI AUTOCERTIFICAZIONE

La richiesta di informare gli interessati riguardo il trattamento dei dati ai fini di prevenire il contagio in azienda da Covid-19 all’interno del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali del 24 Aprile 2020 nella nota 1 all’interno del paragrafo 2 – MODALITA’ DI INGRESSO IN AZIENDA: <<La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente. […] 2) fornire l'informativa sul trattamento dei dati personali. Si ricorda che l'informativa può omettere le informazioni di cui l'interessato è già in possesso e può essere fornita anche oralmente. Quanto ai contenuti dell'informativa, con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica può essere indicata l'implementazione dei protocolli di sicurezza anti-contagio ai sensi dell'art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e con riferimento alla durata dell'eventuale conservazione dei dati si può far riferimento al termine dello stato d'emergenza; […]>>.

Perciò, l’informativa deve contenere come finalità “prevenzione dal contagio da COVID-19”, come base giuridica “l'implementazione dei protocolli di sicurezza anti-contagio ai sensi dell'art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020” e periodo di conservazione “termine dello stato d'emergenza”. Ai sensi dell’art.13 del GDPR l’informativa deve contenere anche le informazioni riguardo la tipologia dei dati raccolti, categorie di interessati, modalità del trattamento dei dati, ecc.

Nella nota 2 del Protocollo è presente la seguente dicitura: <<Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l'assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, si ricorda di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l'acquisizione della dichiarazione costituisce un trattamento dati. A tal fine, si applicano le indicazioni di cui alla precedente nota n. 1 e, nello specifico, si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. […] >>, dunque anche in caso di richiesta di autocertificazione andrà fornita l’informativa e soprattutto si applicheranno tutti gli adempimenti che si attuerebbero con la rilevazione della temperatura.

3. NOMINA SOGGETTO DESIGNATO/RESPONSABILE ESTERNO PER LA RILEVAZIONE DELLA TEMPERATURA E/O RACCOLTA DELLE AUTOCERTIFICAZIONI

Anche in questo caso ci viene incontro il sopracitato Protocollo sempre nella nota 1 che definisce: <<[…] 3) definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell'Autorità sanitaria per la ricostruzione della filiera degli eventuali "contatti stretti di un lavoratore risultato positivo al COVID-19) […]>>. L’azienda per ottemperare a quest’obbligo dovrà nominare tutti i soggetti che svolgono i controlli all’accesso e che gestiscono questi dati:

4. PROCEDURA SPECIFICA PER LA GESTIONE DELL’ISOLAMENTO TEMPORANEO IN AZIENDA

La nota 1 del Protocollo definisce successivamente che: << […] 4) in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all'ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l'attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi (v. infra)>>.

Questo punto apre alla definizione di una procedura specifica per la gestione di un isolamento temporaneo in azienda, essa dev’essere redatta collaborando con gli altri soggetti che si occupano della gestione della prevenzione al contagio da Covid-19 come RLS aziendali e Medico Competente.

5. TUTELA DELLA PRIVACY NELLE COMUNICAZIONI TRA DATORE DI LAVORO - MEDICO COMPETENTE

Il Datore di Lavoro e il Medico Competente per svolgere le attività inerenti alla prevenzione del Covid-19 in azienda devono tutelare la privacy come definito nel quinto capoverso del paragrafo 12 del Protocollo del 24 aprile 2020: <<Il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy>>.

Tra le comunicazioni che il Medico Competente è tenuto a fornire al Datore di Lavoro è presente l’elenco dei dipendenti “fragili”: elenco all’interno del quale non saranno indicate patologie o eventuali altre problematiche, ma dove verranno unicamente inquadrati/identificati i soggetti ritenuti maggiormente a rischio. Inoltre, il Medico Competente si dovrà occupare del reinserimento lavorativo dei soggetti con pregressa infezione da Covid-19 previa presentazione di certificazione di avvenuta negativizzazione del tampone, rilasciata dalle Autorità competenti.

Si ricorda che l’elenco dei soggetti fragili è un trattamento di dati personali, perciò dovrà seguire tutte le valutazioni previste, come per la rilevazione della temperatura (aggiornamento Registro e DPIA, informativa, ecc…).

Tags: GRUPPO ALTEA