Protocollo sulla sicurezza nei luoghi di lavoro: via libera del Garante alla raccolta dei dati personali.

Il protocollo delle misure di contrasto e contenimento del virus Covid-19 negli ambienti di lavoro (DPCM 11/03/2020) aveva provocato dubbi e obiezioni in materia di Privacy (vedi Comunicazione Garante Privacy del 02/03/2020 – Doc- Web 9282117). Infatti, il Garante aveva messo in guardia le aziende su iniziative “fai da te” poco rispettose delle disposizioni del GDPR.

In seguito, il Garante Privacy ha dato il suo benestare ai trattamenti dei dati connessi al Protocollo DPCM dell’11/03 purché si tratti di misure straordinarie, proporzionate e temporanee (vedere interviste del Garante Privacy dal 17 al 20/03/2020 Doc- Web 9292565 e successive).

Tra le misure previste dal Protocollo, oltre a quelle organizzative relative al lavoro agile, utilizzo delle ferie, mantenimento delle distanze interpersonali, ecc., le seguenti hanno un importante impatto sulla gestione dei dati.

Informazione ai lavoratori e visitatori

L’azienda ha l’obbligo di informare lavoratori e visitatori sulla necessità assoluta di rimanere al proprio domicilio in presenza di febbre o altri sintomi influenzali e di rivolgersi, in tal caso, alle autorità sanitarie.

L’adempimento può essere facilmente assolto con cartelli ben visibili affissi all’ingresso e nei locali aziendali più frequentati o anche con appositi opuscoli informativi.

È opportuno considerare che il divieto è duplice: sia di entrare con i sintomi, sia di permanere in azienda con sintomi insorti in seguito.

Misurazione della temperatura corporea

L’azienda ha facoltà (non l’obbligo) di misurare la temperatura corporea di chi entra; se questa temperatura supera i 37,5° l’accesso è vietato; in tali casi le persone saranno isolate e fornite di mascherine, senza indirizzarle al pronto soccorso ma contattando l’autorità sanitaria.

Dal punto di vista della Privacy occorre notare che la rilevazione della temperatura corporea rappresenta un trattamento di dati personali, anzi “sensibili”: adottando il principio della minimizzazione dei dati (GDPR Art. 5, comma 1, lettera c) appare appropriato registrare la febbre e identificare l’interessato solo se è stata superata la soglia di temperatura.

È necessario, comunque, fornire un’informativa sul trattamento di tali dati, in linea di principio anche orale, ma meglio se scritta, dove indicare la base giuridica di tale trattamento, la durata dell’eventuale conservazione dei dati, le figure autorizzate al trattamento e le misure tecniche e organizzative adottate per tali dati “sensibili” (es. sicurezza dei dati, metodi d’accesso, salvataggi, ecc.).

Ricapitolando, se si vogliono rilevare le temperature, sono necessari tre moduli:

  1. l’informativa specifica
  2. la nomina, corredata delle istruzioni, per le persone autorizzate alla rilevazione
  3. il registro dei dati.

Richiesta di informazioni ai lavoratori e visitatori

È possibile chiedere ai lavoratori e ai visitatori che entrano in azienda la compilazione di modulistica riferita agli spostamenti effettuati dal soggetto e al suo stato di salute.

In questo caso sono necessari:

  • un’adeguata informativa scritta
  • una nomina delle persone autorizzate a raccogliere i dati.

Per approfondimenti contattare: privacy@sametica.it