Privacy

Fase 2, le riaperture e qualche incognita sul trattamento dei dati personali

di |

Realtà più piccole ma estremamente diffuse nel contesto italiano appaiono impreparate a gestire una tale quantità di informazioni in modo adeguato.

La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.

Articolo di Andrea Broglia, Avvocato –  esperto in privacy e ICT Law

Il decreto legge n. 33 dello scorso 16 maggio nel consentire la ripresa di molte attività ha contemporaneamente imposto l’osservanza di una consistente, variegata e diffusa platea di prescrizioni, contenute in protocolli e linee guida adottati sia centralmente sia dalle Regioni e dalla Conferenza delle stesse (art. 1, n. 14).

Il 22 maggio quest’ultima ha aggiornato le “Linee Guida per la riapertura delle attività economiche e produttive” di qualche giorno precedenti.

Diverse Regioni hanno provveduto a precisare proprie specifiche indicazioni o a far proprie quelle adottate in sede nazionale (ad es.: Lombardia, Piemonte, Lazio, Campania).

Tutte queste pubblicazioni, coerentemente con i Protocolli per la ripresa delle attività produttive di fine di aprile, prevedono azioni tese a limitare il più possibile le circostanze di contagio e sono, fondamentalmente, finalizzate a rinforzare le tre misure principali di contenimento dell’epidemia: utilizzo di dispositivi protettivi (d.p.i., ossia le mascherine), mantenimento della distanza e igiene personale.

Rilevazione delle temperatura dei dipendenti

Come già indicato nel Protocollo nazionale, le misure prevedono la rilevazione della temperatura dei dipendenti al fine di, eventualmente, impedire l’accesso a coloro che presentino un valore superiore a 37,5 gradi, oppure di intervenire senza ritardo laddove i sintomi si manifestino durante lo svolgimento dell’attività lavorativa.

Tale operazione costituisce, come del resto indicato anche nel protocollo (si veda la nota 1 dello stesso) un’attività di trattamento di dati personali, anche laddove essa sia effettuata mediante la sola rilevazione e senza registrazione.

Tenuto conto che in diverse Regioni l’operazione è obbligatoria, ne derivano importanti conseguenze da un punto di vista gestionale.

L’azienda dovrà pertanto rilevare la temperatura senza registrare il dato ma anche fornire un’adeguata informativa, implementando quelle già circolarizzate ai dipendenti; precisare le finalità di prevenzione del contagio e indicare quale base giuridica l’adempimento dell’obbligo di legge costituito dall’applicazione del Protocollo e/o delle Linee Guida della rispettiva Regione di appartenenza; oltre a ciò sarà opportuno precisare il termine massimo di conservazione, rappresentato al momento solo genericamente con il “termine” del periodo emergenziale o, al più al 31 dicembre 2020.

Ma le necessità di compliance non terminano qui perché, evidentemente, sarà opportuno predisporre una adeguata integrazione della specifica autorizzazione al trattamento già fornita al dipendente incaricato della rilevazione e individuare misure di sicurezza fisiche e tecniche, oltre che organizzative, adeguate al trattamento dei dati così raccolti (non si dimentichi che la necessità di registrazione può sorgere al fine di documentare l’impedimento all’accesso o il superamento delle soglie durante lo svolgimento della prestazione).

Laddove i soggetti incaricati siano esterni rispetto all’azienda, come avviene nel caso delle società di sicurezza, sarà invece necessario procedere alla contrattualizzazione di tale incarico ai sensi dell’art. 28 del Regolamento Europeo n. 679/2016.

Non per ultimo è opportuno predisporre adeguate modalità per garantire dignità e riservatezza in relazione ai dati di coloro che risultino sintomatici.

Al necessario aggiornamento del registro delle attività di trattamento di cui all’art. 30 del GDPR si aggiunge quanto previsto dall’art. 35 in tema di valutazione di impatto e tutto quanto previsto in relazione alle necessità derivanti dalle cautele e procedure in tema di rientro di personale già positivo o sottoposto a quarantena (si veda, nello specifico, quanto previsto dal Protocollo 24 aprile).

Rilevazione della temperatura dei clienti

Le linee guida delle Regioni prevedono, in molti casi, sempre ovviamente con finalità di contenimento del contagio e, pertanto, per uno scopo del tutto condivisibile, la raccolta e la conservazione non solo della temperatura dei dipendenti, ma anche dei clienti e dei visitatori: ciò avviene ad esempio per il settore della ristorazione, per il settore delle piscine e delle palestre, per le attività turistiche come stabilimenti balneari e spiagge nonché per molti servizi alla persona (estetisti, acconciatori, barbieri).

In tali casi la prescrizione è quella della registrazione della temperatura e del mantenimento di tale dato per un periodo minimo di 14 giorni (nel Lazio il termine giunge al minimo di 30 giorni).

Si tenga presente che nei locali con posti a sedere ma anche in tante altre realtà (si pensi ai parrucchieri o agli estetisti) l’invito è, anche, alla previa prenotazione, con ulteriore, connesso, trattamento di dati.

Comprensibili gli scopi contenitivi, sembrano peraltro leciti alcuni dubbi in punto formulazione di tali obblighi, di rispetto delle indicazioni del Garante Privacy e, non per ultimo, di notevole appesantimento delle realtà che vorranno adempiere rispettando alla lettera i dettati normativi.

Non risultano, infatti, precisate, molte delle necessità che tali modalità e tipologie di trattamento comportano: la necessaria informazione, la raccolta, la conservazione, l’eventuale comunicazione di tali informazioni, l’effettiva cancellazione, la necessità di adozione di misure tecniche adeguate per la conservazione appaiono tutti, come già visto per quanto riguarda i dipendenti e per limitarsi a minime osservazioni, aspetti completamente (o volutamente?) ignorati dalle autorità ma di cui i titolari dovrebbero farsi carico in un periodo di faticosa ripresa e con molteplici problemi da affrontare.

Senza dire che una tale vasta, generalizzata e indiscriminata raccolta di una moltitudine di dati personali relativi a molte e diverse attività degli utenti, correttamente analizzata, consentirebbe precise profilazioni e puntuali tracciamenti di una gran mole di soggetti su larga scala, v’è soprattutto da evidenziare che non è stata fornita agli operatori alcuna indicazione sulle corrette modalità di adempimento (anche qui: volutamente o per “dimenticanza”?).

Se è da credere che realtà più grandi e strutturate sono certamente abituate a procedure e modalità adeguate per il trattamento di dati di vaste porzioni di clientela (si pensi alle strutture ricettive, alle catene di ristoranti, alle aziende operanti nel campo dei servizi alla persona), non sembra invece esagerato ritenere che realtà più piccole ma estremamente diffuse nel contesto italiano appaiono impreparate a gestire una tale quantità di informazioni in modo adeguato.

Spiace dunque, in definitiva, rilevare che il buon proposito del contenimento di una epidemia subdola e pericolosa finisca per essere gestito, sotto taluni aspetti, in modo assai poco consapevole e foriero di ulteriori svilimenti delle informazioni e dei dati personali di tutti noi “utenti”: alla ricorrenza dei due anni di applicabilità del Regolamento 679 i passi da fare per una reale consapevolezza e, in fin dei conti, per una effettiva tutela di un diritto riconosciuto dalla Carta dei diritti fondamentali dell’Unione Europea, deve ancora faticare per raggiungere il posto che merita, che è di pari rango rispetto a tanti altri diritti. 

Articolo di Andrea Broglia, Avvocato –  esperto in privacy e ICT Law