– Aggiornamento 16/03/2020 –
In attesa di aggiornarvi sull’importante provvedimento – anche in materia di lavoro – in questo momento in discussione al Consiglio dei Ministri, vi diamo qui di seguito alcune indicazioni in materia di privacy relative alla gestione dell’emergenza.
Ci riferiamo al “Protocollo di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14/03/2020 (che troverete, unitamente a un commento, sul nostro sito a questo Link)
L’art. 2 “modalità di ingesso in azienda” del Protocollo di regolamentazione per il contrasto del CODIV- 19 del 14 Marzo 2020, ai fini del contenimento dell’epidemia consente al datore di lavoro di:
- rilevare la temperatura corporea del personale (o di chi intende fare ingresso in azienda). Se la soglia supera il 37,5° non sarà consentito l’accesso in azienda;
- acquisire informazioni personali circa la provenienza da zone a rischio secondo l’indicazione dell’OMS o contatti con persone risultate positivi al CODIV – 19. Si segnala a tale fine che il datore di lavoro deve informare “preventivamente” i lavoratori e chi intende fare ingresso in azienda della preclusione all’accesso alle persone che negli ultimi 14 giorni hanno avuto contatti con soggetti risultati positivi al CODIV- 19 o provenga da zone a rischio;
- la registrazione, nei limiti che varranno nel prosieguo indicate, delle informazioni raccolte a giustificazione del rifiuto di accesso in azienda.
I trattamenti in oggetto devono tuttavia avvenire ai sensi della disciplina privacy vigente.
Sia la rilevazione della misurazione della temperatura, sia la richiesta di rilascio della dichiarazione di cui al punto ii) costituiscono, infatti, trattamento di dati.
A tale scopo, il Protocollo, ponendosi in linea di continuità con il Provvedimento del garante Privacy del 03/03/2020 
, in merito al divieto delle pratiche aziendali “fai da te” per la gestione dell’emergenza, suggerisce espressamente le modalità di trattamento alle quali i datori di lavoro devono attenersi che, qui di seguito si riportano.
Link
Al riguardo si precisa che con riferimento alla misurazione della temperatura corporea: la stessa deve essere rilevata, ma non deve essere registrato il dato acquisito. È possibile identificare l’interessato e registrare il superamento della soglia solo quanto sia necessario per documentare le ragioni che hanno impedito l’accesso ai locali aziendali.
Per quanto riguarda l’informazione preventiva alla preclusione all’ingresso in azienda e autodichiarazione (punto ii): l’informazione “preventiva” può essere fornita con l’adozione di cartelli informativi posti in zona visibile e nelle immediate vicinanze dell’ingresso dell’azienda. Si suggerisce inoltre di affiggere la stessa sulla bacheca e sull’intranet aziendale.
(1) L’informativa
Fornire l’informativa sui dati personali: l’informativa può omettere le informazioni di cui l’interessato è già in possesso e nel Protocollo vi è la facoltà di fornirla oralmente ciò ai fini della semplificazione come consente il GDPR, tuttavia la forma scritta rimane sempre la più tutelante.
Per quanto riguarda il contenuto, l’informativa dovrà necessariamente contenere le seguenti informazioni:
- finalità del trattamento: prevenzione dal contagio da COVID-19;
- base giuridica: implementazione di misure anti-contagio ai sensi dell’art. 1, numero 7, lettera d) del DPCM 11 Marzo 2020;
- durata eventuale conservazione dei dati: termine dello stato di emergenza.
(2) Le misure di sicurezza
Devono essere adottate e definite delle misure di sicurezza e organizzative adeguate per proteggere i dati; ciò sempre nel rispetto del principio di non eccedenza del trattamento rispetto alla necessità dello stesso.
A tale fine si rende opportuno:
a) trattare i dati raccolti esclusivamente per finalità di prevenzione dal contagio da COVID-19;
b) individuare soggetti preposti al trattamento e fornire loro idonee istruzioni;
d) In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire sempre la riservatezza e la dignità del lavoratore, adibendo locali ad hoc.
Le medesime garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di avere avuto, al di fuori del contesto aziendali, contatti con soggetti risultati positivi al CODIV-19;
e) evitare la diffusione o la comunicazione a terzi dei dati al dì fuori delle specifiche previsioni normative (es. in caso di richieste dell’Autorità Sanitaria per la ricostruzione della filiera degli eventuali “contatti stetti di un lavoratore risultato positivo al COVID-19”).
Si suggerisce di garantire modalità di comunicazione cifrata, come pure di attuare una archiviazione separata dei dati trattati.
f) Per quanto concerne il contenuto della dichiarazione di provenienza e di contatto con persone a rischio, dovranno essere richiesti unicamente i dati necessari, astenendosi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva.
In caso in cui la dichiarazione concerna il luogo di provenienza dalle zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alla specificità del luogo.