Il Garante, con comunicato del 2 marzo 2020, ha invitato “tutti i titolari del trattamento di dati personali – enti pubblici e privati:

• ad attenersi alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus”; 
• a non “effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”.

 A tale comunicato ha fatto seguito in data 14.03.2020 il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, contenente tra l’altro previsioni specifiche privacy relative al trattamento da parte di privati di possibili dati personali dei lavoratori derivanti da verifiche effettuate in relazione all’emergenza COVID-19.

Si impone infatti il corretto bilanciamento fra sicurezza e salute e privacy degli interessati; gli obblighi di tutela della pubblica salute non possono comportare violazioni indebite dei principi generali di necessità, proporzionalità, liceità e di protezione dei dati personali trattati nell’occasione, previsti dal GDPR – Reg. UE 679/16.

Al riguardo sono leciti:

• i regolamenti o avvisi aziendali che disciplinano l’ingresso, es. vietando l’ingresso a chi abbia sintomi influenzali o febbrili o comunque dichiari di trovarsi in determinate condizioni sospette;
• gli strumenti termici di rilevazione della temperatura corporea usati all’ingresso (termometri, termoscanner, etc) a condizione che non memorizzino dati personali ultronei, ovvero li cancellino immediatamente; sono invece vietati gli strumenti di rilevazione che conservano i dati;
• i moduli di auto-dichiarazione con cui le aziende private in relazione all’emergenza COVI-19 richiedono una autocertificazione di buona salute, di non aver contratto il Coronavirus, di non essere residente in zone rosse e di non aver contatti con soggetti infetti;

In relazione agli strumenti tecnici e ai moduli suddetti la liceità del trattamento dei dati si deve intendersi subordinata al contestuale rilascio al dichiarante ad una corretta informativa privacy ad hoc e alla adozione di tutte le altre misure di conformità al GDPR: nomine autorizzati, aggiornamento del registro del trattamento, contratti coi responsabili esterni, protezione dei dati, eventuale parere del DPO ove designato.

Per agevolare le aziende in questo frangente di emergenza operativa, sono disponibili in downloadi seguenti materiali.  Gli stessi sono da intendersi come una proposta di standard e non sostituiscono una consulenza personalizzata. La loro validità dovrà essere periodicamente verificata e Adacta si riserva di modificarne il testo in qualsiasi momento.

• Istruzioni di Accesso ai locali aziendali: il contenuto può essere adattato dall’azienda, avuto riguardo alle concrete decisioni aziendali di tipo organizzativo esistenti.
• Informativa privacy idonea a consentire la raccolta e successivo trattamento di dati in occasione delle verifiche aziendali ai fini COVID-19. Il contenuto del Modulo va completato secondo le istruzioni ivi contenute.