Trattamento dati personali relativi al contagio da COVID-19 nelle aziende

Sempre più aziende stanno tornando a svolgere la loro regolare attività, seguendo ed applicando le linee guida e le misure di sicurezza previste per il contenimento del coronavirus.
Come abbiamo più volte detto nei nostri articoli precedenti, alcuni dei provvedimenti indicati dal Protocollo Covid-19 prevedono il trattamento dei dati personali del dipedente, dei clienti, dei fornitori, e di tutti gli individui che effettuino l'ingresso nella sede dell'azienda.
Di seguito affronteremo l'argomento fornendo ai nostri lettori delle indicazioni per la gestione in conformità alla normativa sul trattamento dei dati personali durante l'emergenza Covid-19, partendo proprio dalla definizione di dati personali contenuta nel GDPR.

Trattamento dei dati personali: la definizione del GDPR

Il GDPR (General Data Protection Regulation) è il regolamento europeo che sancisce i diritti dei cittadini europei circa il trattamento dei propri dati personali da parte delle aziende.
Ai fini di una maggiore comprensione del contenuto dell'articolo, esporremo due definizioni importanti contenuti nell'articolo 4 di tale regolamento:

  • Dato Personale
    "Qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale";
  • Trattamento
    "Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione";

Trattamento dei dati personali Covid-19: il controllo della temperatura corporea all'ingresso

La normativa, ai fini della prevenzione e del contenimento, attribuisce al datore di lavoro la facoltà di rilevare la temperatura dei dipendenti, o di tutte le persone che hanno accesso alla struttura aziendale.
La legge è ben chiara, sulle modalità secondo cui tali misurazioni devono avvenire in modo da garantire la riservatezza e tutelare la dignità del soggetto.
In primo luogo il controllo della temperatura dovrà essere effettuato da soggetti nominati responsabili del trattamento dati personali, o che abbiamo ricevuto specifiche istruzioni circa le modalità in cui effettuare tale operazione.

La temperatura rilevata non dovrà essere registrata, anche nel caso di superamento della soglia dei 37,5°, sarà possibile identificare l'interessato e registrare il superamento della soglia di temperatura solo per documentare le ragioni che hanno impedito l'accesso ai locali aziendali.

Informativa sul trattamento dei dati personali COVID-19

Il Datore di lavoro è tenuto a fornire un'informativa sul trattamento dei dati personali relativa al COVID-19 che sia efficace e trasparente, che avere le seguenti caratteristiche:

Finalità del Trattamento prevenzione dal contagio da COVID-19 e tutela delle persone che accedono alla struttura
Base giuridica del trattamento implementazione dei protocolli di sicurezza anti-contagio ai sensi dell'art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020
Durata dell'eventuale conservazione 28 giorni dalla comunicazione del contagio o del contatto con il contagiato di cui al punto 1 e/o dalla rilevazione di cui al punto 2, fermo restando l'ulteriore conservazione dell'informazione al fine di riscontrare richieste da parte delle autorità sanitarie e/o per difendere gli interessi dell'azienda rispetto a possibili contestazioni ai sensi dell'articolo 9, comma 2, lettera f) del GDPR

Si ricorda che l'informativa può omettere le informazioni di cui l'interessato è già in possesso.

Comunicazione e trattamento dei dati personali

La comunicazione o la diffusione dei dati personali di eventuali soggetti risultati positivi al COVID-19 potranno avvenire soltanto per specifiche previsioni normative, ovvero:

  • da parte dell'autorità sanitaria competente per la ricostruzione della filiera del contagio;
  • per la comunicazione a individui eventualmente venuti in contatto con il soggetto positivo;

In quest'ultimo caso, per tutelare la dignità dell'interessato da possibili discriminazioni o altre ripercussioni sociali, la comunicazione non dovrà contenere l'identità di quest'ultimo, ma dovrà segnalare agli altri lavoratori il dipartimento o l'area di competenza o l'area dell'edificio presso la quale si trovava la persona sintomatica.

Garanzia della riservatezza

É chiaro che non è possibile evitare che i dipendenti comunichino tra di loro informazioni relative ad eventuali contagi di cui, per vie traverse, sono venuti a conoscenza, tuttavia l'azienda nel garantire il massimo della riservatezza possibile dovrà minimizzare il rischio di accesso non autorizzato alle informazioni.
Questo potrà essere fatto custodendo la documentazione relativa alle informazioni in luoghi non accessibili ai dipendenti o utilizzando pseudonimi per indicare gli eventuali soggetti positivi evitando così che si possa risalire alla loro identità.

Lascia un commento