Occorre aggiornare il Registro dei Trattamenti dei dati a seguito della pandemia da Coronavirus
Dall’aggiornamento del Registro dei trattamenti alle disposizioni sulla gestione dei dati, il Governo mette in campo le misure per la ripartenza delle attività produttive.
Le regole per la ripresa delle attività saranno, come abbiamo visto, stringenti, con l’obiettivo primario di tutelare la salute dei cittadini, scongiurando un nuovo rialzo della curva dei contagi da Coronavirus e una nuova serrata. La guardia è alta anche sul fronte privacy: vediamo come aziende e lavoratori dovranno adeguarsi.
La regola cardine per la tutela dei dati personali è dettata innanzitutto dal rispetto del principio di minimizzazione che, assieme a quello di proporzionalità, impongono al titolare il trattamento dei soli dati di cui ha realmente bisogno per raggiungere le finalità del trattamento, in questo caso dettate dalla necessità di prevenzione dei contagi.
Tra le varie misure di prevenzione emerge la possibilità per il datore di lavoro di sottoporre il personale alle sue dipendenze al controllo della temperatura corporea, da effettuarsi prima dell’ingresso nei locali aziendali.
Appare evidente che la temperatura corporea del lavoratore rappresenta un dato personale relativo alla sua salute, da considerarsi per questo quale dato particolare che richiede il consenso da parte dell’interessato.
All’esito del controllo in questione, qualora la temperatura rilevata del dipendente dovesse risultare superiore a 37,5 C°, sarà impedito l’accesso di quest’ultimo in azienda, indirizzandolo al proprio medico curante per seguirne le indicazioni.
Assume particolare rilevanza, proprio nell’ottica del principio di minimizzazione, il divieto di registrazione dei dati personali ottenuti dagli eventuali sistemi di rilevazione della temperatura corporea.
Questi ultimi strumenti non sono infatti di per sé in grado di diagnosticare la presenza o meno dell’agente patogeno nell’individuo oggetto della rilevazione, bensì permettono di misurare la sola temperatura corporea, che da sola non costituisce indice di infezione, ma che tuttavia impone, alla luce della normativa recentemente introdotta, la necessità di allontanamento del lavoratore dal luogo di lavoro in presenza di sintomi febbrili.
Per questi motivi, e ai fini del rispetto della normativa citata, il dato in questione potrà essere associato al lavoratore solo ed esclusivamente qualora sia necessario per documentare le ragioni che ne hanno impedito l’accesso ai locali aziendali.
Le rilevazioni sopra accennate, quali trattamenti di dati, comportano l’ovvia necessità per il titolare di fornire ai propri dipendenti la dovuta informativa sul trattamento dei loro dati personali.
Alla luce della natura e della contingenza del trattamento in questione, sarà inoltre opportuno dettagliare idonee misure di sicurezza e organizzative che risultino adeguate a proteggere i dati raccolti.
In particolare, quanto al profilo organizzativo, sarà necessario individuare i soggetti preposti al trattamento e fornire loro le relative istruzioni al fine di evitare, da un lato, trattamenti diversi da quello strettamente necessario per la limitazione del contagio da COVID-19 e, dall’altro, al fine di impedire la possibile diffusione dei dati trattati o la loro comunicazione al di fuori delle specifiche previsioni normative, quali ad esempio la richiesta di informazioni, da parte dell’Autorità sanitaria, per la ricostruzione della filiera del contagio, degli eventuali contatti stretti di un lavoratore risultato positivo al COVID-19, dovendosi tuttavia in quest’ultimo caso, evitare il riferimento a persone specificamente individuate ma riferendosi, più genericamente, a quelle che ha frequentato o ai luoghi ove la persona sintomatica sia transitato o abbia soggiornato nel periodo antecedente alla manifestazione della sintomatologia in questione.
Quanto sin qui considerato rende chiara un’ulteriore necessità per le aziende, costituita dall’aggiornamento del proprio Registro dei Trattamenti, tenuto ex art. 30 GDPR, che come noto costituisce uno dei più chiari indici di accountability e quindi di una corretta gestione dei dati personali trattati in azienda.
Oltre alle consuete attività di trattamento, la situazione epidemiologica attuale e la normativa da essa scaturente rendono le imprese costrette ad effettuare gli ulteriori trattamenti ai quali si è fatto sin qui cenno, i quali andranno debitamente indicati nel registro in questione, allo stesso modo di quanto già annotato dalle stesse aziende in ordine ai trattamenti, per così dire, abituali.