News
Archivio newsEmergenza Covid-19 e fase 2: come riorganizzare la privacy in azienda
Con l'avvio della Fase 2 dell'emergenza sanitaria Covid-19 introdotta dal D.P.C.M. 26 aprile 2020, le imprese si accingono ad affrontare la sfida della progressiva riapertura delle aziende e della ripresa delle attività. Il nuovo e mutato contesto economico e sociale comporta considerevoli ricadute in tema di trattamento dei dati personali in vari ambiti quali quello sanitario, lavorativo e privato. Uno dei profili di maggiore criticità è senz'altro rappresentato dall'introduzione di controlli e verifiche sullo stato di salute dei dipendenti (o di terzi) al momento dell'accesso e durante la permanenza nei luoghi di lavoro. Come cambia, quindi la privacy compliance e quali sono le figure professionali chiamate a riorganizzare e a gestire i nuovi flussi di dati?
Le disposizioni normative emanate dal Governo per il contenimento dell’epidemia da Covid-19 hanno comportato, già dalla prima fase dell’emergenza sanitaria, considerevoli ricadute in tema di trattamento dei dati personali in vari ambiti quali quello sanitario, lavorativo e privato.
Sicuro rilievo rispetto alle norme in materia di trattamento dei dati personali, assumono le nuove modalità operative adottate dalle imprese per adeguarsi al mutato scenario normativo e sociale, sia nell’ambito dei rapporti con i propri dipendenti e collaboratori (es. lavoro a distanza) che in relazione ai rapporti con i propri clienti (es. implementazione di nuove modalità di marketing, e-commerce, etc.).
Uno dei profili di maggiore criticità è senz’altro rappresentato dall’introduzione di controlli/verifiche sullo stato di salute dei dipendenti (o di terzi) al momento dell’accesso e durante la permanenza nei luoghi di lavoro, peraltro già oggetto del Protocollo condiviso del 14 marzo 2020, sottoscritto dalle parti sociali in esecuzione delle raccomandazioni governative contenute nel DPCM dell’11 marzo 2020 e dei nuovi Protocolli di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19, condivisi tra il Governo e le parti sociali, di cui agli Allegati 6 (ambienti di lavoro), 7 (cantieri) e 8 (trasporto e logistica) al nuovo DPCM del 26 aprile 2020.
Tra gli strumenti di contenimento del contagio di cui ai suddetti Protocolli, oltre a quelli diretti a ridefinire le modalità concrete di organizzazione del lavoro, è stata infatti prevista la possibilità di adottare alcune misure di controllo, come, ad esempio, la possibilità di verificarne lo stato di salute mediante la rilevazione della temperatura corporea al momento dell’ingresso nei luoghi di lavoro o di richiedere il rilascio di una dichiarazione di non provenienza da zone a rischio contagio o di assenza di contatti con soggetti risultati positivi nei 14 giorni precedenti.
Inoltre, il datore di lavoro potrebbe venire in contatto con dati personali particolari del dipendente in caso di gestione di situazioni in cui il lavoratore lamenti, durante la permanenza sul luogo di lavoro, una sintomatologia compatibile con l’infezione da Covid-19.
Il trattamento di questi dati personali, pur trovando fondamento giuridico - anche in assenza di consenso - nel necessario contemperamento dei diritti degli interessati con altri diritti personali fondamentali (ai sensi degli articoli 6 e 9 del GDPR, in presenza di disposizioni nazionali autorizzative) dovrà in ogni caso essere organizzato e gestito nel rispetto di alcuni principi fondamentali relativi, tra l’altro:
I. all’obbligo di fornire agli interessati una specifica informativa chiara, precisa e circostanziata sulle finalità del trattamento,
II. alle modalità e alla durata del trattamento in questione e
III. alla conformità con i principi di necessità, adeguatezza e proporzionalità del trattamento medesimo (come precisato dal Gruppo di Studio Europeo in materia di Privacy, intervenuto sul punto con la dichiarazione resa il 19 marzo 2020).
Tanto nel contesto di sospensione delle attività fino ad oggi preponderante, quanto nella fase di graduale “riapertura” delle attività produttive e commerciali introdotta dal DPCM 26 aprile 2020, le imprese sono e saranno tenute ad adottare particolari modalità organizzative del lavoro al fine di limitare i rischi di contagio, funzionali, ad esempio, a garantire la salubrità degli ambienti e il distanziamento sociale.
Le norme emergenziali emanate (e i Protocolli condivisi sopra citati) hanno inoltre inteso privilegiare (ove compatibile con la struttura organizzativa aziendale) il ricorso, anche in via straordinaria, allo smart working o, più in generale, al lavoro a distanza.
Oltre alle inevitabili implicazioni giuslavoristiche (ad es. in relazione al divieto di controllo a distanza dei lavoratori mediante software o altri strumenti), tale modalità di svolgimento della prestazione lavorativa determina la necessità di gestire alcune problematiche in materia di trattamento dei dati personali (sia dei dipendenti, che dei clienti e/o terzi i cui dati vengano trattati dai lavoratori al di fuori dai locali dell’azienda), che dovrà in ogni caso essere organizzato ed effettuato nel rispetto dei principi di minimizzazione, adeguatezza e pertinenza di cui al GDPR.
Nell’ottica della privacy compliance, le imprese devono quindi opportunamente procedere, con il coinvolgimento del Responsabile della Protezione dei Dati (RPD) ove nominato, ad una (ri)valutazione (c.d. Privacy Impact Assessment) dell’adeguatezza, anche ai sensi dell’art. 32 del GDPR, delle misure tecnico-organizzative e di sicurezza in relazione al lavoro a distanza, verificando, integrando e portando a conoscenza dei dipendenti (anche tramite opportuna formazione integrativa) ad esempio:
I. il regolamento aziendale per l’utilizzo dei sistemi informatici e dei devices aziendali;
II. le regole per l’utilizzo lavorativo di devices personali dei dipendenti (c.d. policy BYOD) e per l’adozione dei necessari sistemi di sicurezza;
III. le regole e le modalità tecniche per l’accesso in sicurezza degli smart workers alla rete aziendale;
IV. l’autorizzazione ai dipendenti al trattamento di dati fuori dai locali aziendali e le relative istruzioni tecniche e organizzative per garantire la sicurezza dei dati;
V. il registro dei trattamenti.
Il Responsabile della Protezione dei Dati (RPD), ove nominato ai sensi del GDPR, ha svolto nella fase di lock-down e continuerà a svolgere nella c.d. “Fase 2” un’importante funzione rispetto alla privacy compliance aziendale, fornendo supporto al Titolare nella progettazione e nel coordinamento di nuovi flussi di dati che si rendano necessari o opportuni ed esercitando attività di vigilanza sulla loro regolare gestione.
Il RPD ed il Titolare devono quindi cooperare per rendere anche gli strumenti organizzativi di contenimento del contagio conformi alla normativa in materia di trattamento dei dati personali, tenuto conto della specificità e della complessità che caratterizzano ogni realtà produttiva.
Inoltre, in tali circostanze, il RPD potrebbe essere considerato una risorsa per organizzare e pianificare la ripresa del business e la riconquista del mercato, magari proprio con quei nuovi strumenti informatici di trattamento di dati personali che oggi la tecnologia offre.
Ove per adeguarsi al mutato contesto normativo e sociale si effettui una riorganizzazione dell’attività aziendale che dia luogo alla modifica della natura o dei rischi dei trattamenti effettuati e/o ad un rilevante incremento dei relativi flussi, potrebbe peraltro rendersi opportuna per il Titolare una nuova verifica dei presupposti che rendono obbligatoria, ai sensi del GDPR, la nomina di un RPD.
In un così delicato contesto, pertanto, le imprese dovranno opportunamente organizzarsi per far fronte al cambiamento, senza mai perdere di vista la privacy compliance anche nell’eventuale ri-progettazione delle proprie attività.