Con il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” le aziende di qualsiasi settore hanno dovuto ripensare la gestione della privacy aziendale nel Post Covid-19 a fronte dei nuovi obblighi nei confronti dei dipendenti e dei soggetti strettamente correlati all’azienda. Inoltre, il Garante ha specificato: “no a iniziative “fai da te” nella raccolta dei dati. Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti “.
Il messaggio è dunque chiaro: ogni organo svolga le attività di competenza, evitando di intraprendere iniziative di natura personale e rispettando tutte le disposizioni contenute nei vari atti ufficiali. Ed è proprio ai datori di lavoro che il Garante si rivolge, sottolineando:
“I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.”
Garantire la prevenzione della salute, specifica il Garante, è un’attività che compete agli operatori sanitari, che provvederanno alla raccolta di tutte le informazioni necessarie ad accertare la presenza di casi di positività. I datori di lavoro, invece, dovranno osservare il protocollo e le misure in esso contenute, nei confronti di clienti, dipendenti, fornitori e tutti coloro che in qualche modo entreranno in contatto con l’azienda stessa, operando nel rispetto della privacy dei lavoratori.
Una riflessione sulla privacy sorge dunque spontanea, in quanto l’introduzione di controlli sullo stato di salute dei dipendenti, sia al momento dell’accesso sia durante la permanenza nelle sedi di lavoro, fa sì che il datore di lavoro entri in possesso di informazioni sensibili relative al proprio personale o di chiunque abbia che fare con l’azienda.
Ma, entrando nel vivo del discorso, come deve comportarsi un’azienda per adeguarsi alle nuove disposizioni e non essere sanzionata per aver violato la privacy dei propri dipendenti?
Ecco quali sono gli accorgimenti che un’azienda deve considerare nell’applicazione del protocollo di prevenzione.
• Dopo aver comunicato preventivamente nel modo più efficace possibile tutte le misure da adottare, l’azienda dovrà fornire ai propri dipendenti un’apposita informativa sul trattamento dei dati personali. I contenuti dell’informativa dovranno prevedere: la finalità del trattamento (esigenza di prevenire il contagio), la base giuridica del trattamento per dipendenti ed esterni. La conservazione di tali dati dovrà quindi essere limitata alle finalità stabilite.
• Informare i dipendenti e chiunque faccia ingresso nei locali dell’azienda del divieto di accesso per chi negli ultimi 14 giorni abbia avuto contatti con soggetti positivi da Covid-19 (secondo quanto stabilito dall’OMS). In questo caso, la richiesta dell’autocertificazione è facoltativa, e comunque qualora venga richiesto al dipendente di compilare una dichiarazione apposita, questa deve essere creata richiedendo solo le informazioni necessarie e utili allo scopo. Tutte le informazioni aggiuntive devono essere escluse.
• Documentare la rilevazione di temperatura del dipendente solo qualora questa superi i 37,5 °. Questo perché il dato raccolto serve a giustificare il mancato accesso del dipendente ai locali aziendali. In caso contrario l’informazione non deve essere registrata in alcun modo o comunque non deve essere resa pubblica.
• In caso di isolamento dovuto al superamento della soglia del 37,5 ° l’azienda avrà l’obbligo di tutelare le informazioni del dipendente coinvolto per garantirne la riservatezza e la dignità. Quanto detto vale anche nei casi cui il lavoratore comunichi all’azienda di esser stato in contatto con soggetti affetti da Covid-19, oppure sviluppi i sintomi da Covid-19 durante la prestazione lavorativa e venga conseguentemente allontanato dagli ambienti lavorativi.
• Definire tutti gli accorgimenti utili alla protezione dei dati trattati. L’organizzazione in questo caso è alla base di una buona gestione degli obblighi. Per prima cosa sarà indispensabile che l’azienda individui e incarichi i soggetti preposti al trattamento dei dati in oggetto. Questi dovranno quindi essere istruiti in merito alle attività di trattamento, poiché i dati dovranno essere utilizzati solo per le finalità espresse e non potranno essere comunicati a terzi, senza che la normativa lo consenta.
• Aggiornare il registro dei trattamenti secondo quanto previsto dall’art. 30 del GDPR. Nello specifico dovranno essere riportate le modalità di trattamento dei dati raccolti secondo quanto disciplinato nel Protocollo.
• Adoperare tutti gli accorgimenti necessari nel caso in cui i dati vengano raccolti in forma digitale, affinché possano ridursi le possibilità di data breach che altrimenti comporterebbero una notifica al Garante ai sensi dell’art. 33 del Reg. UE n. 679/2016.
• Adoperare tecniche di pseudonomizzazione per i dati archiviati affinché siano difficilmente associati agli interessati.
Le aziende devono operare rispettando i limiti imposti dal Garante
Nonostante il Protocollo disciplini gli obblighi da adottare per le aziende, è importante ricordare che il Garante ha comunque imposto dei limiti all’azione che andranno rispettati pena l’incorrere in sanzioni davvero pesanti. Le aziende non posso agire in modo fortuito. Ricordiamo infatti che in caso di violazione delle norme GDRPR, il Regolamento privacy europeo (679/2016) prevede sanzioni pecuniarie fino al 4% del fatturato aziendale o a 20 milioni di euro.
In che modo gestisci la tua privacy aziendale? Quanto tempo e quanto denaro sprechi per gestirla? Se non sei soddisfatto potresti provare il nostro software On Privacy.
On Privacy è il software che ti consente di gestire la tua privacy aziendale in modo sicuro e semplice. Attraverso un account personale, infatti, è possibile creare e gestire moduli di informative privacy in formato digitale ed invitando l’utente privato ad apporre una semplice firma digitale per il consenso.