Studio Athena | Emergenza COVID 19 e adempimenti Privacy
582
post-template-default,single,single-post,postid-582,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,hide_top_bar_on_mobile_header,qode-child-theme-ver-1.0.0,qode-theme-ver-16.4,qode-theme-bridge,wpb-js-composer js-comp-ver-5.4.7,vc_responsive
 

Emergenza COVID 19 e adempimenti Privacy

06 Mag Emergenza COVID 19 e adempimenti Privacy

Posted at 12:10h in News, Senza categoria by
0 Likes

MISURE ANTI COVID-19 NEGLI AMBIENTI DI LAVORO ED ADEMPIMENTI PRIVACY

Il 24 Aprile scorso il Governo e le Parti Sociali hanno provveduto ad integrare il “Protocollo condiviso di regolazione delle misure nper il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” già sottoscritto in data 14 marzo 2020, documento che contiene indicazioni operative finalizzate ad incrementare negli ambienti di lavoro misure precauzionali di contenimento per contrastare l’epidemia.

Il Protocollo indica quindi varie misure in materia di:

  1. Informazione
  2. Modalità di ingresso in azienda
  3. Modalità di accesso dei fornitori esterni
  4. Pulizia e sanificazione degli ambienti di lavoro
  5. Precauzioni igieniche personali
  6. Dispositivi di protezione individuale
  7. Gestione di spazi comuni (mense, spogliatoi, aree fumatori, distributori di snack ecc)
  8. Organizzazione aziendale (turnazione, trasferte e smart working ecc)
  9. Gestione entrata ed uscita dei dipendenti
  10. Spostamenti interni, riunioni, eventi interni e formazione
  11. Gestione di persone sintomatiche in azienda
  12. Sorveglianza sanitaria, medico competente, rls

Andando ad esaminare gli adempimenti in tema di trattamento dei dati personali correlati alle misure indicate nel Protocollo, rileva innanzitutto l’obbligo informativo.

L’azienda ha infatti l’obbligo di informare i propri lavoratori così come chiunque altro entri nei locali aziendali (clienti, fornitori, soggetti che svolgono manutenzioni ecc.) sulle disposizioni delle Autorità; in particolare le informazioni devono riguardare:

  • L’obbligo di rimanere al proprio domicilio in presenza di febbre superiore a 37,5° o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria.
  • L’obbligo di dichiarare tempestivamente condizioni di potenziale pericolo, quali provenienza da zone a rischio o contatto con persone positive nei 14 giorni precedenti
  • L’impegno a rispettare tutte le disposizioni dell’Autorità e del datore di lavoro nel fare accesso nei locali aziendali

Tali informazioni potranno essere rese consegnando o affiggendo all’ingresso e nei luoghi maggiormente visibili appositi depliants informativi.

Prima dell’accesso nei locali aziendali il personale potrà inoltre essere sottoposto al controllo della temperatura corporea; tale operazione comporta il trattamento di dati personali relativi alla salute, con la conseguenza che saranno richiesti specifici adempimenti, richiamati anche dal Protocollo.

In particolare il datore di lavoro dovrà innanzitutto fornire ad ogni lavoratore specifica informativa ai sensi dell’art. 13 del Regolamento  UE 679/2016; tale informativa può omettere le informazioni di cui i dipendenti siano già in possesso (poiché contenute nell’informativa fornita al momento dell’assunzione o nel corso del rapporto di lavoro), ma deve indicare le finalità per le quali l’azienda tratta i dati relativi alla temperatura corporea e la base giuridica che legittima tale trattamento, nonché i soggetti che potranno avere conoscenza di tali dati ed il tempo di conservazione degli stessi.

Sotto il profilo organizzativo il datore di lavoro dovrà definire adeguate misure di sicurezza per proteggere i dati; in particolare devono essere individuati i soggetti preposti al trattamento e devono essere loro fornite specifiche istruzioni operative da rispettare nell’esecuzione delle operazioni di rilevamento della temperatura e successivo trattamento delle informazioni acquisite.

L’indicazione fornita anche dal Garante per la protezione dei dati personali è quella di procedere nel rispetto del principio di minimizzazione del trattamento di dati, e quindi di registrare la temperatura rilevata solo in caso di superamento della soglia, al fine di documentare le ragioni che hanno impedito l’accesso del dipendente ai locali di lavoro. Nel caso invece di rilevazione della temperatura a soggetti diversi dai dipendenti, quali clienti o fornitori, o visitatori occasionali, non è di regola necessario provvedere alla registrazione anche quando la temperatura risulti superiore alla soglia, non essendo necessario documentare il diniego dell’accesso ai locali aziendali.

In ogni caso i dati acquisiti non potranno mai essere oggetto di diffusione o comunicazione a terzi al di fuori delle specifiche previsioni normative.

Il Garante Privacy ha indicato come in base al quadro normativo nazionale il datore di lavoro abbia specifici obblighi di comunicazione dei nominativi del personale contagiato alla autorità sanitarie competenti, al fine di favorire la tempestiva attivazione delle misure di prevenzione e profilassi; non è invece previsto nessun obbligo di comunicazione al Rappresentante dei lavoratori per la sicurezza, né agli altri dipendenti, in quanto spetta solo alle autorità sanitarie competenti informare i contatti stretti del contagiato.

Tutte le operazioni di rilevamento della temperatura, soprattutto nel caso di superamento della soglia e conseguente isolamento e/o allontanamento del soggetto, devono avvenire quindi in modalità tali da garantire la riservatezza e la dignità del lavoratore.

Medesimi obblighi informativi e di adeguate misure organizzative e di protezione sussistono anche nel caso in cui venga richiesta dall’azienda una dichiarazione attestante la non provenienza da zone a rischio e/o l’assenza di contatti negli ultimi 14 giorni con soggetti risultati positivi al Covid-19. Anche in tal caso dovranno essere raccolti, previa specifica informativa, solo i dati necessari, adeguati e pertinenti rispetto alle finalità preventive per le quali è ammessa tale dichiarazione; è quindi opportuno evitare di chiedere informazioni aggiuntive in merito alla persona risultata positiva o in merito alla specificità dei luoghi frequentati.

Infine si ricorda che una volta aggiornate le misure informative ed organizzative sul trattamento di questi dati occorrerà procedere altresì all’aggiornamento del Registro dei Trattamenti, integrandolo con i nuovi trattamenti che il Titolare effettua in virtù della misurazione della temperatura e/o della acquisizione della dichiarazione, nonché, laddove prevista, si dovrà provvedere ad aggiornare altresì la Valutazione d’impatto di cui all’art. 35 Reg. UE tenendo conto della natura particolare dei dati oggetto di questi specifici trattamenti.

SMART WORKING: ADEMPIMENTI PRIVACY DEL DATORE DI LAVORO

Anche nel recente aggiornamento del Protocollo condiviso tra Governo e parti sociali di regolamentazione delle misure di contrasto e contenimento della diffusione del Covid-19 negli ambienti di lavoro si invita al massimo utilizzo di modalità di lavoro cosiddetto agile, per tutte quelle attività che possono essere svolte presso il domicilio del dipendente o a distanza; nel caso in cui il datore di lavoro opti per soluzioni di smart working diviene necessario adottare specifiche misure organizzative e tecniche in grado di garantire il pieno rispetto delle Policy aziendali in materia di corretto utilizzo degli strumenti informatici al fine di garantire la sicurezza e la riservatezza dai dati e delle informazioni aziendali, ma al contempo anche il rispetto degli obblighi dei dati riferiti ai lavoratori.

Occorre innanzitutto ricordare come l’attivazione dello smart working debba essere preceduta da apposita comunicazione al dipendente di collocamento in lavoro agile ai sensi del DPCM 11 marzo 2020, nonché specifica comunicazione da inviare al Ministero del Lavoro.

Dal punto di vista degli adempimenti privacy, è opportuno provvedere all’adozione di specifiche istruzioni operative sulle modalità di corretto utilizzo degli strumenti aziendali messi a disposizione del lavoratore aventi l’obiettivo di proteggere tutti i dati aziendali trattati durante la prestazione lavorativa a distanza.

In particolare, andranno previste regole in tema di utilizzoe custodia degli strumenti di lavoro, nonchè indicazioni sul corretto utilizzo e gestione delle password, sull’operatività dell’Antivirus, sulla conservazione di file e documenti, sulla protezione dei dispositivi portatili e sulle modalità di utilizzo di Internet e della posta elettronica.

Al dipendente devono essere inoltre fornite informazioni sull’eventuale utilizzo di sistemi di monitoraggio e sulle conseguenze disciplinari in caso di violazione delle regole di comportamento.

In particolare, ai dipendenti, ad integrazione dell’informativa sul trattamento dei dati personali già fornita in sede di assunzione o nel corso del rapporto di lavoro, dovrà altresì essere fornita un’adeguata e specifica informativa ai sensi dell’art. 13 del Regolamento Ue relativa al trattamento dei suoi dati personali raccolti mediante gli strumenti ed i software utilizzati per la prestazione lavorativa a distanza, dai quali possa derivare, anche indirettamente, un controllo da parte del datore di lavoro. L’informativa dovrà riportare le finalità del trattamento, la base giuridica che lo rende legittimo, nonché modalità, tempi di conservazione ed indicazione dei soggetti che possono aver accesso ai dati.

Ricordiamo che in ogni caso, anche nel contesto emergenziale che stiamo vivendo, le eventuali attività di controllo del lavoratore sono da realizzarsi nel rispetto dei principi di necessità e proporzionalità e nel rispetto dei limiti posti da libertà, dignità e diritto alla privacy del lavoratore, dunque non devono concretizzarsi in controlli continui e indiscriminati dell’attività del lavoratore. Il datore di lavoro, infatti, deve essere in grado di dimostrare che l’utilizzo delle tecnologie informatiche non rientri in un programma volto esclusivamente al controllo dell’attività del lavoratore.

È necessario valutarne la compatibilità con le previsioni in tema di privacy, una volta effettuata la necessaria valutazione alla luce dell’art. 4 Statuto dei Lavoratori che in linea generale vieta espressamente i controlli a distanza sui dipendenti, a meno che non siano finalizzati e necessari per esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale, ed in tal caso solo in presenza di preventivo accordo sindacale o, in mancanza, autorizzazione amministrativa  della Direzione territoriale del lavoro, previa adeguata e specifica informativa ai dipendenti. Tali garanzie non si applicano agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (es. smartphone, tablet, personal computer), e agli strumenti di registrazione degli accessi e delle presenze. In tali casi l’installazione, pur dovendo sempre essere oggetto di specifica informativa da portare a conoscenza dei lavoratori, non richiede l’accordo sindacale o l’autorizzazione amministrativa, ma l’eccezione è limitata agli strumenti che “immediatamente servono al lavoratore per adempiere alle mansioni assegnate”. Il Ministero del Lavoro, con nota del 18 giugno 2015, ha stabilito che nel momento in cui lo strumento viene modificato (ad esempio, con l’aggiunta di software di localizzazione o altri software in grado di acquisire maggiori informazioni sulle modalità di svolgimento della prestazione lavorativa), non si considera più rientrante nella categoria e soggiace quindi agli obblighi sopra citati.

L’azienda dovrà inoltre provvedere all’aggiornamento della Valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 GDPR con riferimento al trattamento di dati effettuato mediante lo smart working ed ai relativi rischi, al fine di potere adottare tutte le misure di sicurezza idonee a prevenirli.

Sarà infine necessario predisporre e portare a conoscenza dei dipendenti una specifica procedura di data breach, che consenta al datore di lavoro di avere tempestiva informazione nel caso in cui si verifichi una violazione di dati, al fine di consentirgli il rispetto degli obblighi di notifica all’Autorità di controllo e di eventuale comunicazione agli interessati previsti dagli artt. 33 e 34 GDPR.

( Avv.to Francesca Corvi- riproduzione riservata)