Fase 2: Privacy e salute pubblica, il trattamento dei dati in azienda.

CORONAVIRUS - FASE 2:

Le responsabilità del titolare nella scelta delle misure di accountability, tra la necessità di tutelare la salute dei dipendenti e il rispetto della riservatezza e la dignità del lavoratore.
covid-19-dariomarchese-ptivacy-fase2

Il DPCM annunciato nella giornata di ieri dal Presidente del Consiglio Conte, per il quale attendiamo soltanto la pubblicazione in Gazzetta Ufficiale, ha annunciato la tanto attesa “Fase 2” decretando la ripresa di buona parte delle attività produttive seppure nel rispetto delle regole.

Era stato già anticipato e diffuso dai media il documento “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” che indica le misure di sicurezza che sarà necessario rispettare fino al prossimo provvedimento. 

E’ bene sottolineare, come indicato nelle premesse, che

 

La mancata attuazione del Protocollo che non assicuri adeguati livelli di protezione determina la sospensione dell'attivita' fino al ripristino delle condizioni di sicurezza

Tutte le procedure indicate dovranno avvenire ai sensi e nel rispetto della disciplina privacy vigente.

Tra le misure di sicurezza previste dal documento, c’è la possibilità per il titolare di richiedere delle dichiarazioni attestanti la non provenienza da zone a rischio e l’assenza di contatto negli ultimi 14 giorni con soggetti risultati positivi al COVID-19 e/o di “rilevare” la temperatura prima dell’accesso nei luoghi di lavoro. 

Tali misure vengono poste come possibilità e non come obbligo. 

Mi chiedo però, quali possano essere le conseguenze in relazione alla responsabilità del titolare, nel caso in cui vi dovesse essere un decesso tra i suoi dipendenti a causa del Coronavirus qualora fosse accertata la correlazione tra l'infezione e la mancanza di misure di sicurezza idonee.

Proprio per questo motivo ho seguito con particolare attenzione tutte le indicazioni fornite dagli organi ufficiali nazionali ed internazionali oltre al lavoro di molti preparati colleghi e avvocati che hanno fornito ottimi spunti operativi e di riflessione ed ho ritenuto doveroso stilare un semplice Vademecum utile anche alle società per le quali non svolgo il ruolo di Consulente o DPO

VADEMECUM PER IL TITOLARE DEL TRATTAMENTO
IL RISPETTO DELLA PRIVACY DURANTE
LA FASE 2

Aggiornamento del registro dei trattamenti

E’ necessario che tutte le aziende provvedano ad inserire nel loro registro, il trattamento dei dati legato all’emergenza COVID-19.

Nel registro devono essere inserite tutte le misure di sicurezza legate al trattamento dei dati straordinario, descrivendone l’organizzazione operativa.

E’ necessario, inoltre, definire con precisione le tempistiche di conservazione dei dati rispettando il tempo minimo di conservazione necessario al singolo trattamento rispetto alle finalità e che non dovrebbe essere superiore in tutti i casi al termine dello stato di emergenza.

Informare tutti i dipendenti

E’ importante che sia preparata, diffusa tra i dipendenti e resa pubblica per chiunque entri in azienda un’informativa la cui finalità del trattamento sia la limitazione della diffusione del virus e la cui base giudica sia la tutela della salute pubblica e della sicurezza del luogo di lavoro, l’informativa dovrà essere chiara e trasparente.

E’ possibile prevedere prima dell’accesso ai luoghi di lavoro, un’informativa breve ove dovrà essere indicato il collegamento all’informativa estesa.

L’informativa dovrà essere accompagnata dal Regolamento Straordinario concordato con il RSPP e l’RLS aziendale.

Nominare dei Responsabili per il trattamento per l'emergenza​

Se tra le misure di sicurezza l’azienda opterà per il rilevamento della temperatura e/o la raccolta di dichiarazioni da parte dei dipendenti, sarà necessario nominate un responsabile ( o più di uno in base alla grandezza aziendale) che si dovrà occupare del rilevamento della temperatura all’ingresso.

Il responsabile avrà l’incarico di prendere nota in un apposito registro esclusivamente delle temperature superiori a quella di guardia indicate dal protocollo. (> 37,5°) 

Il responsabile si coordinerà con il datore di lavoro o la direzione del personale che si occuperà di allontanare o isolare il soggetto, avendo cura di rispettarne la dignità e la riservatezza. 

Creare delle procedure coinvolgendo DPO, RSPP e RLS

Il titolare del trattamento, coadiuvato dal DPO, dal RSPP e dal Medico Competente dovranno stabilire le idonee procedure per l’accesso in sicurezza nei posti di lavoro o la tutela nel rispetto della privacy, di eventuali soggetti che si trovino in situazioni di particolari fragilità .

Le procedure dovrebbe essere integrate all’interno del modello organizzativo aziendale e/o portate a conoscenza di tutti i dipendenti dopo aver consultato il Responsabile della sicurezza per il lavoratori.

 

Medico competente e Autorità sanitarie territoriali

E’ importante che il medico competente sia coinvolto, non solo nella fase di realizzazione delle procedure, ma anche e sopratutto qualora sia stata accertata la presenza in azienda di una persona risultata positiva al COVID-19. Quest’ultimo sarà coordinato dalla Autorità sanitarie

Il titolare del trattamento, sempre nel rispetto della dignità e della privacy dei soggetti coinvolti ha l’obbligo di segnalare alle autorità sanitarie tutti i casi in cui sia presente in azienda una persona che presenti i sintomi descritti dal documento “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” ,

Non sostituirsi alle autorità

E’ utile ribadire la necessità di trattare soltanto i dati strettamente necessari rispetto alle finalità previste per la salvaguardia della salute pubblica e dei lavoratori. Saranno poi le Autorità sanitarie per il controllo territoriale ad indicare le azioni idonee.

I titolari del trattamento ed i consulenti dovranno collaborare con le autorità, se necessario.

No a iniziative "fai da te" nella raccolta dei dati. Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti

Garante Privacy "chiarimento del 2 marzo 2020"
ICON light back - dario marchese
Dario Marchese
Privacy Officer e Consulente della privacy certificato TUV Italia al n°438 (Schema sviluppato in accordo alla ISO/IEC 17024:2012), si occupa di privacy dal 2003, oltre ad essere il Presidente della DM Consulting Soc. Coop A R.L. ricopre diverse cariche nel CDA di alcune importanti società con la qualifica di DPO e Responsabile della Privacy.
E’ Socio FEDERPRIVACY (FP-8742) ed è in possesso dell’attestato di qualità con la qualifica di Data Protection Officer (DPO)