CORONAVIRUS E PROTOCOLLI ANTI-CONTAGIO: PERCHÉ LA PRIVACY NON VA IN QUARANTENA

Le aziende, le imprese, le società e i professionisti che, ad oggi, non hanno ancora trattato la questione privacy, dovrebbero, cambiare rotta adeguandosi definitivamente alla normativa.
Il rischio è che, oltre alla crisi economica scatenata dalla pandemia, si sommino altri costi da sostenere per le aziende dovuti ai mancati adeguamenti previsti già da tempo in materia di privacy dal regolamento EU sopra citato che oggi non può più essere sottovalutato o ignorato (come già prima). La privacy è un diritto fondamentale di ciascuno di noi e come tale va garantito da tutti gli attori coinvolti.

 

Le FAQ del Garante Privacy sul trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria da Covid-19

 L’emergenza sanitaria seguita alla diffusione dell’ormai tristemente noto virus Covid-19, ancora in essere, ha determinato il proliferare di numerose disposizioni normative, in vari settori, volte alla prevenzione e al contenimento della diffusione del virus. Il susseguirsi di un sempre crescente numero di disposizioni normative ha, conseguentemente, comportato la necessità, avvertita dagli stessi soggetti che hanno emanato le disposizioni, di esemplificare e rendere più comprensibile ai cittadini i comportamenti imposti dalle suddette disposizioni. Ecco, quindi, che negli ultimi mesi il governo, i vari ministeri, ma anche gli enti locali e altri organismi pubblici, hanno diffuso su internet, nelle proprie pagine istituzionali, una serie di risposte alle domande che gli stessi organismi hanno redatto in considerazione di quelle che gli potrebbero essere poste dai cittadini alle prese con la comprensione delle nuove disposizioni. Il 14 maggio anche il garante per la protezione dei dati personali ha pubblicato sul proprio sito Internet www.garanteprivacy.it una serie di domande e conseguenti risposte www.garanteprivacy.it/temi/coronavirus/faq#lavoro con cui fornisce ai propri utenti e in generale ai cittadini le informazioni per poter trattare in maniera corretta i dati personali durante l’emergenza sanitaria.

Il garante ha pubblicato anche una serie di domande e risposte, al trattamento dei dati nel contesto lavorativo pubblico e privato sempre nell’ambito dell’emergenza sanitaria.

In particolare una domanda che i nostri uffici sono a chiamati spesso a rispondere in questo periodo è legata alla gestione dei dati dei clienti (certificazione, misurazione della temperatura etc).

Il protocollo stabilito tra Governo e parti sociali autorizza la misurazione della temperatura ma in nota recepisce la posizione del Garante del 2 marzo, nella quale vietava la raccolta indiscriminata. Il protocollo non parla di registro della temperatura. Se la struttura vuole registrare qualcosa (la conservazione caso mai è prevista solo per l’autocertificazione è comunque non oltre i 14 giorni) si suggerisce di registrare il mero evento di superamento della temperatura di 37,5 gradi senza conservare la misurazione in sé. Ciò rientra nella finalità di documentazione della ragione del diniego all’accesso alla struttura stessa della persona sopra indicata.

Il protocollo indica inoltre che l’esercente è tenuto a informare le persone su ciò che sta facendo. Dietro quell’informare c’è tutto il GDPR e le indicazioni addizionali del Garante (in linea con quanto concordato con l’EDPB - Comitato europeo per la protezione dei dati) per la gestione atipica di dati particolari da parte di soggetti normalmente non autorizzati.

È importantissimo che l’attività informi i clienti prima di compiere l’operazione. Lo può fare a voce in modo semplificato o esponendo un’informativa - anche in forma grafica - applicata come vetrofania. L’informativa semplificata deve avere in sé gli elementi minimi previsti dal GDPR (titolare, finalità, dati trattati, base giuridica, diritti dell’interessato e come esercitarli, indicazioni su come raggiungere l’Autorità Garante, eventuale DPO).

In ogni caso l’esercente deve avere a disposizione un’informativa cartacea in forma completa qualora l’interessato la chiedesse.

La raccolta della temperatura (per chi la fa) o dell’autocertificazione (per chi non raccoglie la temperatura) viene effettuata ed è possibile solo per le parziali deroghe introdotte dal Garante, alle condizioni informative e di conservazione sopra indicate.

Quanto alle basi giuridiche, per questi trattamenti non possono che essere esigenze di pubblico interesse e l’obbligo di legge.

Per quanto riguarda i protocolli sanitari delle attività in generale, la norma di riferimento è l’Ordinanza della Giunta Regionale Toscana n. 57 del 17 maggio 2020 che, sul punto rimanda al DPCM 17 maggio 2020 contenete un elenco di allegati con indicazioni esaustive di comportamenti da adottare.

Attenzione sempre alla distinzione tra il protocollo sanitario (che varia in base alla categoria merceologica) e la privacy che invece è comune a tutti.

Nel momento in cui si trattano dati personali aventi anche natura sanitaria, vigono le indicazioni fornite dal Garante e gli obblighi concordati in sede di EDPB.

Altra considerazione che quasi nessuno sta prendendo in considerazione ma sulla quale il Garante è stato esplicito, è che trattandosi di dati particolari è OBBLIGATORIO effettuare la valutazione d’impatto privacy e relativa adozione del GDPR aziendale.

Il Garante inoltre invita a non intraprendere iniziative fai da te. Per quanto un protocollo possa discostarsi dalle garanzie previste in tema di privacy, prima di discostarvi da un protocollo previsto dalla legge è opportuno pensarci molto bene.

La differenza tra l’adottare tutte le misure, anche in chiave cautelativa, e il non farlo si porta dietro l’eventuale responsabilità penale per l’esercente.

 

Per maggiori informazioni e/o per adeguarsi alla normativa GDPR contattare lo 0564419606