Regole per la raccolta e il trattamento di dati personali
connesso alle finalità di prevenzione da contagio Covid-19
Nell’attuale situazione d’emergenza sanitaria, la raccolta e il trattamento dei dati personali si rendono necessari per ragioni di accertamento e prevenzione da contagio Covid-19, ma occorre seguire e rispettare regole ben precise. Sul tema è intervenuto anche il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti lavoro” del 14 marzo 2020.
Modalità di ingresso in azienda per dipendenti, visitatori e fornitori
Secondo quanto disposto dal “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti lavoro” del 14 marzo 2020, il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso in azienda.
La rilevazione della temperatura corporea sul luogo di lavoro costituisce un trattamento di dati personali. Per tale motivo è fondamentale che la raccolta del dato da parte del datore di lavoro avvenga in conformità con quanto stabilito dalla normativa privacy vigente (GDPR 2016/679 e Codice della privacy).
In relazione a tale trattamento, il datore di lavoro dovrà:
- registrare la temperatura corporea solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali, ossia quando la temperatura rilevata sia superiore ai 37,5°;
- fornire l’informativa privacy, in forma scritta e/o orale, sul trattamento dei dati personali.
Raccolta di informazioni sugli spostamenti – Autodichiarazioni
Come stabilito dal “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti lavoro” del 14 marzo 2020, il datore di lavoro può richiedere al personale e/o a chi intende fare ingresso in azienda informazioni sugli spostamenti.
Il datore di lavoro che intende attestare la non provenienza del dipendente e/o di chi intende far ingresso in azienda dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19 deve:
- prima di tutto informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio, secondo le indicazioni dell’OMS;
- potrà richiedere il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19. La dichiarazione integra un trattamento di dati personali, per cui sarà necessario raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19 e dovrà essere fornita apposita informativa privacy circa tale trattamento.
Misure di sicurezza e organizzative
In relazione a tali nuovi trattamenti di dati personali, laddove effettuati, il datore dovrà adottare ed implementare le seguenti misure di sicurezza ed organizzative.
- Il datore di lavoro dovrà assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore in caso di isolamento momentaneo e di allontanamento dal posto di lavoro dovuto al superamento della soglia di temperatura, oppure qualora il lavoratore comunichi all’ufficio del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 oppure, ancora, nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria;
- Il datore di lavoro dovrà individuare ed autorizzare i soggetti preposti al trattamento, fornendo loro istruzioni adeguate, così da poter garantire la protezione dei dati personali;
- I dati personali non potranno in alcun modo essere diffusi o comunicati a terzi, al di fuori delle specifiche previsioni normative (es. Autorità sanitaria);
- I dati raccolti dovranno essere adeguatamente protetti: i supporti cartacei dovranno essere accessibili esclusivamente dal personale autorizzato e conservati in armadi e/o cassetti chiusi a chiave, mentre i supporti elettronici dovranno essere protetti da apposite credenziali di autenticazione conoscibili solo dal personale autorizzato;
- I dati dovranno essere conservati per il tempo strettamente necessario alle finalità di prevenzione da contagio Covid-19;
- L’azienda dovrà valutare l’impatto dei nuovi trattamenti sulla protezione dei dati personali: in particolare dovrà essere aggiornata la DPIA – Valutazione d’impatto sulla protezione dei dati personali;
- L’azienda dovrà aggiornare il Registro dei trattamenti, andando ad includere i nuovi trattamenti di dati personali effettuati.
Smart working e misure di sicurezza
Nello stato di emergenza il datore di lavoro deve incentivare, laddove possibile, lo smart working (lavoro agile), tenendo in considerazione le seguenti regole e adottando le seguenti misure di sicurezza.
- Sicurezza del Pc aziendale: l’azienda deve fornire dispositivi dotati di adeguate misure di sicurezza (antivirus, credenziali di autenticazione…) e deve avvalersi esclusivamente di software affidabili;
- Sicurezza del PC personale: ove il lavoratore non abbia a disposizione un PC aziendale, occorre assicurarsi che il sistema operativo del PC personale sia aggiornato e di avere un antivirus valido;
- Custodia dei dispositivi: il lavoratore deve adottare ogni cautela a protezione dei dispositivi usati per l’espletamento dell’attività lavorativa, soprattutto in caso di spostamenti e deve sospendere la postazione in caso di assenza o di allontanamento anche momentaneo;
- Vpn: l’azienda deve predisporre una connessione vpn dotata di credenziali (che non devono essere memorizzate) per consentire ai dipendenti di accedere alla rete in modo sicuro e tracciabile;
- Formazione: l’azienda deve assicurarsi che il personale sia informato sui rischi e pericoli connessi alla rete;
- Chiamate: il lavoratore deve verificare di essere solo quando effettua chiamate o videochiamate di lavoro e, se possibile, deve utilizzare gli auricolari;
- Distruzione di documenti cartacei: il lavoratore deve evitare di gettare la documentazione nel cestino della carta straccia senza aver previamente provveduto a rendere inintelligibile il contenuto. Qualora sia necessario distruggere i documenti contenenti dati personali, questi devono essere sminuzzati in modo da non essere più ricomponibili;
- Credenziali di autenticazione (Password): le credenziali di accesso al PC ed agli applicativi lavorativi non devono essere memorizzate su dispositivi personali e occorre evitare di memorizzarle su fogli lasciati vicino alla postazione. Le password devono essere aggiornate periodicamente adottando le classiche regole di complessità;
- Data breach – Violazione dei dati personali: il lavoratore deve comunicare tempestivamente ogni ipotesi di incidente da cui possa derivare una violazione dei dati personali.
Per ulteriori informazioni in merito, sarà possibile contattare i nostri uffici all’indirizzo: info@studioquality.it