Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, adottato il 14 marzo 2020, ha considerato alcuni adempimenti in materia di protezione dei dati personali, richiamando una particolare attenzione in relazione ai seguenti ambiti:
- controllo della temperatura corporea all’accesso;
- acquisizione delle dichiarazioni;
- misure di sorveglianza sanitaria;
- comunicazioni da effettuare in caso di riscontro dei sintomi da COVID-19.
La trasparenza informativa deve essere garantita sia relativamente alla somministrazione delle informazioni, la quale può essere ad esempio contestuale alla comunicazione fatta a tutti i visitatori in azienda in forza della quale si vieta l’accesso a chi abbia alcuno dei sintomi da COVID-19, o altrimenti sia stato in contatto con persone risultate positive o in zone a rischio negli ultimi 14 giorni, sia all’impiego di una forma facilmente comprensibile e coordinata con le procedure aziendali in essere.
Il primo elemento da considerare nella progettazione e messa in opera di tutte le attività di trattamento richiamate, è, immediatamente dopo il riscontro e verifica di sussistenza della base legale (che certamente sussiste in quanto si tratta di adempimenti di cui al d.lgs. 81/08 e implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020), la minimizzazione dei dati.
In accordo a tale principio cardine, i dati raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5.1 lett. c) GDPR), e qui giace l’esigenza di un legal design dei trattamenti. La verifica non può ovviamente prescindere dall’analisi delle finalità (determinate, esplicite e legittime ai sensi dell’art. 5.1 lett. b) GDPR)) perseguite dalle attività di trattamento, e di conseguenza il titolare del trattamento deve valutare, ad esempio, anche delle alternative di trattamento che considerato il volume o la natura dei dati, o altrimenti le modalità di svolgimento, siano meno invasive e di minore impatto nei confronti degli interessati.
Alcuni esempi pratici:
- registrare sistematicamente tutte le rilevazioni di temperatura non è coerente con la finalità di impedire l’accesso a soggetti con temperatura superiore a 37,5°C;
- documentare gli accessi preclusi per superamento della soglia della temperatura segue le necessità di documentare le ragioni che hanno impedito l’accesso ai locali aziendali, ma tale dato non può essere conservato oltre il termine dello stato di emergenza, salvo esigenze di tutela dei diritti (per contenzioso o contestazioni relative alla salute e sicurezza dei luoghi di lavoro;
- l’isolamento deve garantire la riservatezza del lavoratore, e dunque non è consentito diffondere all’interno dell’azienda indicazioni relativa al soggetto sintomatico al di fuori delle indicazioni da parte dell’Autorità sanitaria;
- la comunicazione dei dati relativi ad una persona sintomatica in azienda deve avvenire da parte dell’ufficio del personale informando il medico competente e il RLS/RSLT per contattare le Autorità sanitarie competenti, le quali forniranno indicazioni operative anche per la ricostruzione di una filiera del contagio (definendo i “contatti stretti”) e l’applicazione delle misure di quarantena;
- nel caso in cui sia richiesta un’attestazione scritta, non risponde a necessità acquisire l’indicazione specifica delle persone eventualmente positive al COVID-19; piuttosto va richiesta una dichiarazione che escluda: l’aver avuto contatti con persone positive al COVID-19, i sintomi tipici da infezione e la provenienza da zone a rischio epidemiologico negli ultimi 14 giorni.
Adottare un approccio secondo il principio di minimizzazione comporta la creazione di database di più agile gestione anche avendo riguardo a conservazione e sicurezza, in quanto non solo il volume di dati è ridotto allo stretto indispensabile ma, inevitabilmente, sono già progettati i flussi informativi (comprensivi di accessi e strumenti).
