La litania Bene Gesserit, in Dune, recitava in un passaggio: “la paura uccide la mente”. Ora, sebbene non si arrivi a conseguenze così estreme, la paura di contagio del Coronavirus ha portato all’improvvisa(ta) creazione di alcuni database di dipendenti e soggetti che accedono agli ambienti aziendali in parziale o totale violazione delle prescrizioni della normativa in materia di protezione dei dati personali.
Andando con ordine, tutto inizia con un buon proposito: evitare un contagio che coinvolga la propria azienda. L’intento è dei migliori, ma lo svolgimento spesso ha portato alla creazione di moduli di “autocertificazione” da far sottoscrivere a dipendenti, collaboratori, clienti, agenti, fornitori etc. che raccolgono in modo sistematico e massivo:
- dati identificativi dell’interessato (in alcuni casi anche la copia del documento, o i suoi estremi)
- dati relativi ai recenti spostamenti dell’interessato (volendo escludere dunque recenti visite o passaggi all’interno o in prossimità della c.d. “zona rossa”);
- dati relativi allo stato di salute;
- dati relativi ai propri familiari o conviventi (circa gli spostamenti, lo stato di salute, etc.).
Relativamente ai dati di categorie particolari (ovverosia: i dati relativi allo stato di salute), in alcuni moduli si va a coprire una gamma piuttosto ampia di ipotesi spesso di carattere piuttosto discrezionale fra cui campeggia a titolo di esempio il “non sentirsi molto bene recentemente”. Non solo: spesso si chiede ai propri clienti/fornitori di far sottoscrivere tale modello a tutti i dipendenti o collaboratori che possono avere accesso agli ambienti fisici della propria azienda.
Saltano all’occhio due evidenti criticità di carattere operativo. Prima di tutto, per compiere tale raccolta di dati quanto meno occorrerebbe:
- svolgere una valutazione di impatto ai sensi dell’art. 35 GDPR e così individuare la base giuridica che legittimi tale attività di raccolta, trasmissione e conservazione;
- individuare misure di sicurezza adeguate ai sensi dell’art. 32 GDPR;
- aggiornare i registri delle attività di trattamento e redigere, di conseguenza, le informative da somministrare agli interessati.
Purtroppo, però, la necessità di tali passaggi non ha trovato una diffusione analoga rispetto all’impulso reattivo di dover “far carte” per fronteggiare un’emergenza. A pensar male si potrebbe dire che l’impulso primevo non sia stato la paura del contagio bensì la paura della responsabilità eventualmente derivante da un contagio, con la ricerca di un qualche tipo di “espediente” scritto, timbrato, (auto)certificato. A pensare più lucidamente, invece, la paura (derivante da qualsivoglia movente) ha generato nella maggior parte dei casi dei database incontrollati dallo stesso titolare del trattamento sotto i molteplici aspetti del rispetto, dei principi e delle prescrizioni del GDPR.
In secondo luogo, non si è considerata una soluzione più semplice in ossequio alla minimizzazione dei dati e alla valutazione di alternative al trattamento che non prevedano la raccolta di alcuna categoria di dati: inviare una comunicazione a tutti i soggetti che potenzialmente possono accedere alla propria azienda, con l’invito di astenersi da tale accesso qualora rilevino uno o più fattori di rischio (specificamente elencati) che possano far ritenere il sospetto di contagio da Coronavirus.
Un approccio di progettazione è lo strumento fondamentale anche per affrontare situazioni emergenziali, soprattutto per un approccio di metodo. E dove c’è metodo, c’è meno spazio per la paura e per la perdita di controllo.
