Autorità Garante: datori di lavoro e Coronavirus cosa NON fare

26 maggio 2020Ultimo aggiornamento 25 novembre 2020
  • Home
  • Blog
  • NOVITÀ
  • Autorità Garante: datori di lavoro e Coronavirus cosa NON fare
Tempo di lettura stimato: 19'
Coronavirus? No alle iniziative fai da te! Il 2 marzo 2020 l’Autorità Garante ha pubblicato un comunicato in cui chiarisce cosa NON devono fare i datori di lavoro pubblici e privati e quali obblighi ha il lavoratore che sospetta di essere malato. Bene. A distanza di un paio di mesi circa il Governo ha lanciato la fase 2. Sono stati adottati dei protocolli per la riapertura di alcuna attività e quindi sempre di più, oggi, si pone il problema di come gestire dipendenti, fornitori e visitatori tutelando i loro dati personali e rispettando il GDPR.
In PrivacyLab abbiamo organizzato un webinar proprio su questo tema. Abbiamo visto cosa si può fare e cosa non si può fare. Abbiamo anche dato consigli pratici per gestire la situazione e in questo approfondimento riprendiamo un po’ tutto quello che abbiamo detto e scritto, per ricostruire un percorso chiaro, completo e conforme di gestione dell’emergenza a norma GDPR.

Le richieste al Garante e le sue risposte del 2 marzo

Fin dall’inizio dell’emergenza Covid-19, l’Autorità Garante ha ricevuto molte richieste da parte di soggetti pubblici e privati, che chiedevano se fosse possibile raccogliere informazioni su sintomi e spostamenti recenti, per prevenire il contagio da Coronavirus. Anche molti datori di lavoro pubblici e privati, preoccupati dal virus, hanno chiesto all’Autorità se fosse possibile avere una “autodichiarazione” da parte dei dipendenti in cui attestare di di non avere sintomi influenzali e lasciando altre informazioni di carattere privato. 

Le risposte del Garante: no al fai da te

  • I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
Non sono attività di loro competenza. 

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Però, il lavoratore ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Al riguardo, il Ministro per la pubblica amministrazione ha dato indicazioni operative ai dipendenti pubblici e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati. 
  • I datori di lavoro hanno il compito di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.
Leggi il testo completo del comunicato dell’Autorità Garante qui


Nel frattempo, i chiarimenti e le indicazioni normative su come gestire il Covid-19 in azienda si sono moltiplicati e oggi abbiamo una serie di riferimenti da cui partire per avere un quadro chiaro, per agire cum grano salis e senza ansia da prestazione di fare le cose pur di raggiungere l’obiettivo. Che se ci facciamo prendere dall’asia da prestazione, se facciamo i fenomeni, poi ci ritroviamo con delle violazioni dei dati che avremmo dovuto prevedere, magari mettendo pure a rischio diritti e libertà fondamentali, perché non ci abbiamo pensato prima. 

Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa dice la legge

Come dobbiamo comportarci durante il lavoro quotidiano, in questo periodo di Coronavirus, per gestire le cose nel rispetto del GDPR? Per prima cosa non andando a casaccio, ma guardiamo le norme. 
È fondamentale sempre e comunque avere il riferimento normativo e quindi andare a guardare quello che ci dice la legge. Non dobbiamo cercare chissà dove, perché nel Regolamento europeo per la protezione dei dati troviamo già tutto quello che serve, tutto quello e che è necessario per riuscire a gestire le informazioni personali ed eventualmente gestire quelle aggiuntive – perché la situazione ci ha imposto dei cambiamenti organizzativi - che dovremo poi trattare.
I riferimenti normativi che devi avere sotto sono – macroscopicamente – solo 5:
  • 1 - Il GDPR 
  • 2 - Il Novellato 101 – cioè la modifica del decreto legislativo 196 italiano (Codice Privacy) - che ha aggiunto alcuni aspetti sul trattamento dei dati particolari legati al Coronavirus
  • 3 - Il Testo Unico sulla sicurezza dei lavoratori (D.lgs. 9 aprile 2008 n.81)
  • 4 – I decreti emanati dal Presidente del Consiglio dei Ministri 
  • 5 - Il Protocollo di Intesa firmato da sindacati ed associazioni di categoria, che è uscito il 14 marzo 2020 e che dà delle indicazioni precise - è un Protocollo d'Intesa, non una legge - su come ci dobbiamo comportare
Questo è il quadro normativo da tenere come riferimento. Fossi in te io mi stamperei le varie norme: il GPPR lo trovi anche sul nostro sito nell’area Risorse
È un consiglio. Da sempre tengo la norma stampata lì vicino, la sottolineo, vado a guardare le varie situazioni, me la tengo come riferimento. Nel dubbio me la vado a rivedere. 
Questo è molto importante, secondo me. 
Bene, adesso che hai stampato tutto e che hai il quadro normativo sotto gli occhi, riprendiamo il discorso e cerchiamo di capire una cosa importante: la situazione che stiamo vivendo ha alzato l’asticella nella gestione trattamento dei dati dei dipendenti? Dobbiamo fare più lavoro per essere GDPR compliant
La norma ci impone di fare di più? 
No. Nel GDPR c’è già tutto.


Il GDPR ha già previsto tutto

GDPR Prevede


In una logica di accountability, di responsabilità, la norma già prevede tutto quello che serve per gestire l’attività, sia prima che dopo il Coronavirus. 
Il concetto è essere consapevoli. Essere responsabili. Perché la norma al suo interno ci dà indicazioni precise che abbiamo sempre dovuto seguire e che dobbiamo seguire anche adesso:
  • Se fai qualcosa con i dati personali, devi indicarlo nell’informativa
L'articolo 9 del Regolamento europeo al punto B ci dice una cosa chiara. Ci dice: guarda titolare del trattamento, tu puoi trattare i dati particolari dei tuoi dipendenti (i dati ex sensibili), però, devi indicarlo nell'informativa e non devi chiedere nessun consenso. 
E poi, oltre a questo articolo, bisogna tenere presenti anche gli articoli 13 e 14 del GDPR che ci dicono come si gestiscono le informative.
  • Prima di fare qualcosa, pensaci!
Gli articoli 25 e 32 del GDPR invece parlano di privacy by design e by default. Cosa vuol dire? Vuol dire che, prima di fare qualsiasi cosa, devi pensare bene se i dati che stai trattando sono quelli giusti, se hai messo tutto a posto, se tutto funziona e se le misure di sicurezza sono giuste, in modo che i dati trattati non rischino nulla.
  • È il caso di fare una DPIA?
L’articolo 35 sulla DPIA (Data Privacy Impact Assessment), cioè la valutazione del rischio residuale, ci dice: caro titolare, se gestisce dei dati personali particolari legati al Coronavirus, devi fare una DPIA. 
  • Documenta tutto nel registro dei trattamenti
Sempre in tema di rischi, gli altri riferimenti da tenere sotto mano sono l’articolo 30 sul registro dei trattamenti e l’articolo 33 sulla gestione delle eventuali violazioni, perché, qualsiasi modifica o cambiamento che andrai a fare, impatterà sul tuo registro dei trattamenti, dovrai aggiornarlo e aggiornando il registro, dovrai mettere in piedi anche delle eventuali misure aggiuntive, per verificare possibili e potenziali violazioni che possono verificarsi durante il trattamento di questi dati aggiuntivi.
Dal punto di vista del GDPR, il fatto che noi possiamo trattare dei dati personali, quindi non solo nome e cognome del dipendente, del fornitore, del cliente che viene in azienda, ma anche dati relativi alla situazione sanitaria della persona, era già previsto dal Regolamento, che già dava indicazioni su cosa si poteva fare e su cosa non si poteva fare.


Indicazione generale: prima di fare un trattamento, pensaci


Bear Grylls,
Come sempre, come ripeto ogni volta a stufo, la cosa più importante nel trattamento dei dati personali è avere consapevolezza di dove stai andando. Perché, se non sai dove stai andando, è un problema. Non sei mica Bear Grylls, che viene buttato in una foresta amazzonica, ma riesce a trovare il modo di mangiare e di tornare a casa. Non puoi andare allo sbaraglio. Quindi, prima di fare qualsiasi cosa – Coronavirus o no – devi sapere:
1 - Dove sei e quali dati tratti 
2 – Dove vuoi andare
3 - Perché vuoi trattare quei dati 
4 - Come trattare i dati e con quali strumenti, per avere un trattamento filante in ottica di accountability 
Analizzi i provvedimenti e in base ai comportamenti da tenere, decidi cosa può essere applicato nella tua struttura e cosa no. Valuti se la misura che vuoi adottare – per esempio, misurare la temperatura ai dipendenti – è un trattamento di dati personali, oppure no, come farlo, come gestirlo e dove vuoi arrivare. È la logica dell'accountability. Logica già presente nel GDPR e che devi applicare esattamente nella stessa maniera, anche in questa situazione di pandemia, per i trattamenti che fai già e per quelli aggiuntivi, nel caso in cui dovessi farli. Bene.



Occhio agli strumenti!

Sapere cosa fare è fondamentale, così come scegliere gli strumenti per arrivare all’obiettivo. Devi avere il controllo degli strumenti. E qui, in queste settimane di pazzia, mi sono accorto che, prese dall’emergenza, prese dall’ansia da prestazione di raggiungere l’obiettivo di portare avanti l’attività, in condizioni di emergenza e in piena pandemia, molte aziende hanno scelto di usare strumenti inadeguati al GDPR. 
Uno fra tutti? Zoom! 
Zoom è uno strumento potenzialmente inadeguato ma lo hanno usato tutti, dall’aziendina alla scuola.
E questo, bada bene, è un discorso indipendente dal tipo di dati trattati. Sensibili o non sensibili, poco importa. Il problema sta proprio nella scelta degli strumenti, che non andava bene perché erano strumenti non adeguati o perché gratis o perché gliel'ha detto il cugino o perché non avevano nient'altro o perché il loro fornitore ha detto “No, no, tranquilli! Questo strumento va benissimo...”
Non c'è consapevolezza nella scelta dello strumento. Ma la scelta dello strumento è all'interno del contesto del GDPR, quindi vuol dire che anche prima del Coronavirus dovevi scegliere strumenti a norma con il Regolamento! 
Prima, adesso, domani, il GDPR ti dice che devi valutare gli strumenti, verificare i responsabili esterni e capire se sono adeguati o meno a trattare i dati che gli dai. Roba vecchia, nessuna novità. 

Sei un titolare del trattamento? Devi fare 3 cose

Quindi non va bene dire: “Ditemi quali documenti devo usare, che li stampo, li lascio ai miei dipendenti e poi buonanotte al secchio!” Non è così. Il concetto parte da prima. In quanto titolari del trattamento – mi ci metto dentro anche io è chiaro – dobbiamo:
1 – Decidere quali dati trattare
2 – Decidere quali strumenti utilizzare (verificando che siano conformi al GDPR)
3 – Verificare preventivamente se la strada che abbiamo intrapreso è una strada corretta o se stiamo guidando un po' alla cieca, che vuol dire che non abbiamo definito perché vogliamo usare certi dati e per quali finalità.

E adesso andiamo nel pratico, con un vademecum semplice e chiaro.


Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa devi fare?

Riepiloghiamo. Abbiamo detto che c'è una base normativa – il GDPR - che ci dà delle indicazioni importanti su cosa dobbiamo fare quando trattiamo dei dati personali. Ma non è l’unica, ci sono anche il Testo Unico sulla sicurezza nei luoghi di lavoro, i decreti del Presidente del Consiglio e il protocollo condiviso uscito il 14 marzo 2020 per il contrasto e per il contenimento del Covid-19. Il protocollo lo teniamo come indicazione, perché ci dice come dobbiamo comportarci nel momento in cui dobbiamo aprire e lavoriamo. Bene. 
Punto per punto, andiamo vedere cosa devi fare.


1 – Stabilisci il protocollo da seguire: poche regole, ma chiare 

Il Protocollo di Intesa ci dice come dobbiamo comportarci. Quindi in azienda, devi avere bene chiaro qual è il protocollo da seguire, che è semplice e che tocca tutti i dipendenti:
1) Se hai la febbre, stai a casa e chiama il tuo medico curante
2) Devi usare sempre la mascherina
3) Devi rispettare la distanza di sicurezza di almeno 1 metro dalle altre persone
4) Se sei entrato o entrata in contatto con persone in quarantena devi comunicarlo al tuo medico, perché è il tuo medico che ti dice se puoi andare a lavorare oppure no
5) Se durante la prestazione lavorativa stai male, hai la tosse e ti viene la febbre, dillo alla persona preposta, che dovrebbe essere il medico competente, se l’azienda ce l’ha, o un’altra figura incaricata di gestire la cosa



2 - Dai informazioni semplici e comprensibili  


Disegnini

Stabilite le regole, devi prima di tutto informare i dipendenti e le persone che entrano in azienda su quali sono queste regole e devi avere la sicurezza che le informazioni che dai siano semplici, chiare e comprensibili. 
Devi avere la certezza che l’altra parte abbia recepito come si deve comportare: fai dei cartelli con scritte e disegnini – la figurina dell’omino con la mascherina, quella della pistoletta che misura la temperatura, la freccina con la distanza di sicurezza eccetera - così le persone quando arrivano al primo turno li vedono, poi dai anche la mascherina e insieme alle mascherine dai un foglio in cui c’è scritto in modo chiaro quali regole bisogna seguire.
È fondamentale la chiarezza. È fondamentale perché viene richiesta anche dal Regolamento europeo. Poi verifichi che le persone abbiano capito. Non va bene dare 50 fogli ad Abdul che lavora nella catena di montaggio dell’acciaieria e dirgli: firma questi. Perché li firma, se glielo dici. Ma poi ha capito? Abdul, Antonio, Giulia, per la loro sicurezza e per quella degli altri, devono capire chiaramente come si devono comportare e a chi rivolgersi. 
Attenzione: le regole che ho elencato finora non toccano il trattamento dei dati personali! Perché, dare le informazioni con i cartelli e un foglio all’ingresso, significa informare e basta. Punto. Dici solo quali sono le regole. Non devi chiedere nient'altro: l'obbligo di erogare l'informazione a tutti non implica alcun trattamento di dati personali.



3 – Gestisci le persone

Bene. Adesso che le persone sanno come devono comportarsi, ogni giorno da qui a quando l’emergenza non sarà finita, vanno gestite. Come? Adesso lo vediamo.


Misurare la febbre sì, registrare le temperature no, a meno che…

Prima cosa: quando le persone arrivano, devi misurare la febbre a ognuno. 
Cosa succede se uno ha più di 37.5? Stop! 
Gli dici “No, non puoi entrare. Vai dal tuo medico curante per farti dare la malattia, deciderà lui se e quando potrai rientrare al lavoro”
E dove va scritta la temperatura? 
Secondo me, come mia indicazione personale, non va scritta da nessuna parte. Me se proprio la vuoi scrivere, allora sappi che stai iniziando a trattare dei dati personali. Il trattamento temporaneo nella testa della persona che prende la temperatura e poi non la riporta da nessuna parte – resta lì nella sua testolina - non c'entra nulla col GDPR. L’ha chiarito anche il Garante. 
Se però inizia a scrivere i dati e li riporta da qualche parte, allora sì che è un trattamento dei dati personali e quindi rientra nel GDPR e va gestito secondo il Regolamento.
Ma poi perché dico io, uno dovrebbe scrivere la temperatura delle persone. Perché
Ti serve davvero sapere questa cosa? 
L'articolo 5 del GPDR sulla minimizzazione del trattamento ci dice: prima di prendere delle informazioni, chiediti se ti serve davvero questa informazione o puoi farne a meno. 
A cosa ti serve avere un elenco con la temperatura dei tuoi dipendenti? 
Nel momento in cui uno ha la febbre non può entrare. Punto. È un po' come una persona che ha la gamba rotta e che quindi non può andare sopra il muletto. Secondo te ha senso che un’azienda registri chi ha la gamba rotta e chi no? Per me non ha nessun senso.
“Ah ma sapere se Peppino ha la febbre, mi serve per capire se è idoneo al lavoro oppure no…”
“Eh no! Mica è di tua competenza!” 


È il medico che decide se il dipendente è idoneo o non è idoneo, non tu 

La competenza di dire che Peppino è idoneo o non è idoneo al lavoro è del medico curante e del medico del lavoro. Non è del datore di lavoro. 
“Eh, ma se poi Peppino mi arriva in azienda e vedo che ha la febbre a 38?”
“Benissimo. Se ha la febbre sopra il 37.5 gli dici: Peppino, vai dal medico competente che così ti visita e stabilisce se puoi tornare al lavoro oppure no. Perché è il medico competente che dà l’idoneità e che valuta se è il caso di attivare i protocolli sanitari per il trattamento del Covid-19 oppure no. Lui avvisa l’ASL e gli enti preposti.”
Quindi direi che non c'è nessuna necessità di registrare le temperature. Anche perché, mica è detto che Peppino abbia il Coronavirus, potrebbe avere un’altra cosa, ma tu, titolare dell’azienda non devi saperlo, deve saperlo il medico curante. Potrebbe avere un ascesso, aver preso un colpo di calore, aver bevuto troppo e ha la cirrosi epatica. Non ti deve interessare! 
Lo dice anche il Garante: sulla idoneità al lavoro non è competente l'azienda, è competente il medico, che verifica in autonomia il dipendente malato perché è un titolare del trattamento - per i trattamenti che fa sul dipendente - mentre l’azienda, in quanto responsabile esterno, sa solo se Peppino è idoneo o non idoneo. Basta. 
Se la differenza tra titolare e responsabile esterno del trattamento non ti è chiara, dai un’occhiata all’approfondimento GDPR: Titolare, Responsabile, Addetto
Fatto? Bene. Andiamo avanti.


No alle autodichiarazioni: non servono e poi sono trattamenti di dati da gestire. Sicuri di volerle gestire?

Tutte le autodichiarazioni in cui il dipendente dice che non è in quarantena e che non ha il Coronavirus non hanno nessun senso. Anche il Garante dice: “Non prendete autodichiarazioni.” Perché?
Perché è il medico che avrebbe dovuto spiegare al dipendente che se ha dei sintomi da Coronavirus deve telefonargli per dirglielo. Poi, tu, azienda, glielo spieghi e glielo ricordi. Punto.
Non solo. Se tu come azienda chiedi l'autodichiarazione, allora stai gestendo anche dei dati personali!
Ricapitolo. Se prendi la temperatura e basta senza registrarla, se la valutazione dell'idoneità al lavoro la fa il medico, se non prendi autodichiarazioni del dipendente, allora significa che non stai trattando dati personali! Quindi viaggi via tranquillo come hai viaggiato fino adesso, per quanto riguarda il GDPR.



Smart Working: senza DPIA non lo puoi fare, lo sapevi?

Purtroppo o per fortuna, vista la situazione, c'è la possibilità di lavorare in Smart Working, che è un'opportunità, ma che tocca il trattamento dei dati personali. Quindi se alcuni dei tuoi dipendenti lavorano in Smart Working già da adesso, sappi che è quasi certo che tu debba aggiungere alcune cose sia sul registro dei trattamenti sia sulle informative che dai dipendenti. 
Anzi, dovresti fare la DPIA!
Io l'ho sempre detto per me la DPIA dovrebbero farla tutti, a prescindere. Ma sei fai Smart Working e se trattati dati legati al Coronavirus, hai la certezza: devi fare la valutazione di impatto su quel trattamento
È obbligatorio, altrimenti non puoi fare lo Smart Working!
“Eh, ma non sono mica trattamenti di dati su larga scala…”
“Chissenefrega! Il trattamento che fai può portare ad una grave discriminazione. Se Antonio che lavora in Smart Working è collegato con la VPN, tu azienda riesci a vedere tutto, perché vengono registrate le navigazioni: quando si collega, quando si scollega, che siti guarda. Riesci a vedere tutto.”
Se un giorno Antonio scopre che c’è l'abbonamento gratuito a Porn Hub e usa la VPN per collegarsi e guardare le donnine nude, è un rischio per lui, perché potrebbe essere discriminato e anche in maniera grave! Può ledere i suoi diritti e le sue le libertà
Se Antonio perde il lavoro perché l’azienda ha visto che usa Porn Hub è una discriminazione.
“E quindi cosa facciamo? Non registriamo?”
“Meglio! Se vuoi registrare, registra, ma nel momento in cui decidi di farlo, se tratti quei dati, devi fare la DPIA. Che comunque è necessaria in caso di Smart Working, perché l’azienda riesce a vedere quando i dipendenti si collegano, per quante ore, se si connettono dopo e si disconnettono prima dell’orario di lavoro, quante ore fanno… E possono dire: ho visto che hai lavorato solo 6 ore e mezza invece di 8. Adesso ti do meno soldi, oppure ti faccio una nota di demerito.”
Perché quel trattamento che stai facendo sulla persona che lavora in Smart Working può essere discriminatorio, a prescindere dal fatto che sia su larga scala oppure no.


Gestione della filiera dei contatti 

Ci sono alcune aziende che, per la gestione della sicurezza antincendio e altre esigenze, prendono nota di chi entra in azienda e di dove va, perché, se succede qualcosa, bisogna poter dire chi era presente: se viene giù tutto – per esempio c'è un terremoto - bisogna sapere dove sono queste persone per andarle a cercare. 
Questa cosa è già presente in diverse aziende ed è una prassi, quindi non è obbligatoria. 
Però, se vuoi, in questa fase di Coronavirus, puoi adottarla, segnando chi arriva in azienda, quanto rimane e dove lavora, perché tu possa dirlo se ti viene chiesto. Quindi solo se ti viene richiesto da chi è preposto, cioè i medici della ASL, i medici competenti, la Protezione Civile nelle persone indicate, per verificare i contatti di una persona infetta. 
La gestione della filiera dei contatti è una cosa semplicissima, non è che devi infilare un chip con la geolocalizzazione nel sedere dei dipendenti, per vedere se non rispettano la distanza di sicurezza di 1 metro. Basta prendere le presenze e avere il buon senso di poter dire che Antonio lavora in amministrazione, ha lavorato dalle 8 alle 18 in amministrazione in questi giorni. Dalle 8 alle 18 in amministrazione negli stessi giorni c'erano anche Francesco e Giulia. Semplice. 
Molte aziende ce l'hanno già e dovrebbero già avere questa informazione nel loro registro dei trattamenti, aver fatto le cose corrette e averlo anche scritto nell'informativa. Dovrebbero. Quelle che invece non hanno questo tipo di gestione, nel momento in cui decidono di mettere su questo tipo di controllo, devono inserirlo nel registro dei trattamenti, indicare questo trattamento nell'informativa dei dipendenti e consegnare loro l’informativa. 
Il controllo della filiera non prevede la DPIA però devi verificare le misure prima di fare il trattamento e rendere evidente di averle fatte. 
E come si fa a rendere evidente questa cosa? 
La rendi evidente perché hai messo nell'informativa che fai il trattamento, hai dato istruzioni a chi poteva vedere quei dati su come si doveva comportare, hai nominato gli addetti e adottato le misure di sicurezza. E perché su quel trattamento hai fatto l'analisi dei rischi, verificando che il rischio residuale è basso.
E quando ci sono dei visitatori esterni?
Quando in azienda arrivano dei visitatori esterni, il protocollo d’intesa ci dà alcune indicazioni banali: i visitatori devono avere dei bagni apposta per loro, dove non c'è nessuno, se sono dei padroncini devono scaricare e ricaricare in un certo modo eccetera. 
Ma non toccano il trattamento dei dati personali


Cosa succede se un dipendente sta male durante l’orario di lavoro?

Peppino alle 8 ha il primo turno di lavoro. Giulia, l’addetta, gli misura la temperatura: 36,8. Niente tosse. Peppino entra nel capannone e inizia a lavorare. Alle 14.30, dopo pranzo, Peppino inizia a stare poco bene. Tossisce. E adesso? 
Scatta il protocollo e quindi: 
1) Peppino deve avvisare la persona incaricata per seguire queste situazioni
Bisogna aver dato la regola chiara che dice: se il dipendente si sente male, deve andare a chiamare una certa persona definita dall'organizzazione. Se in azienda c’è il medico, va dal medico. Se è il responsabile sulla sicurezza, allora va dal responsabile sulla sicurezza. Se è una persona dello Human Resources, allora va dal nominato dello Human Resources.
2) Peppino si misura la febbre, se ha la tosse va in isolamento, l’incaricato chiama l’ASL
Misuri la febbre. Se la febbre è più alta di 37.5 e se Peppino ha la tosse, bisogna che vada in una stanza isolata. L’incaricato chiama l'ASL. Fine. Stop. 
Non scrivi niente da nessuna parte. Ti arriverà eventualmente il certificato di malattia, quando i medici avranno fatto le loro verifiche. 
Io per eccesso di paraculismo chiamo anche il medico competente e gli dico: “Sai, forse abbiamo un caso di Covid in azienda e l'abbiamo gestito così. Va tutto bene?”
La procedura è questa. Anche perché Peppino potrebbe non averlo il Covid: viene gestito come qualsiasi persona che non sta bene, con l'accortezza in più di tenerlo in isolamento e di chiamare l'ASL competente. Facendo così, non fai nessun trattamento in più rispetto alla normale gestione di un dipendente che sta male.



Minimizza i dati, perché se c’è un Data Breach legato al Coronavirus rischi una causa civile

Meno informazioni tratti, soprattutto se si tratta di dati sensibili, cioè quelli che adesso si chiamano dati particolari, è meglio perché se poi da qualche parte scappa qualcosa – se c’è una violazione – sono problemi grossi.
Se tratti dati personali legati al Coronavirus e c’è un Data Brach (una violazione) - le informazioni vengono perse, qualcuno che non doveva vederle le ha viste o uno degli altri casi violazione dei dati – il dipendente malato di Codiv-19, grazie al Novellato 101, può fare una causa civile contro l’azienda per responsabilità diretta sulla gestione del trattamento dei dati personali. 
Ecco perché la minimizzazione dei dati è fondamentale.
Quindi dal mio punto di vista bisogna:
1) Minimizzare il più possibile i trattamenti, cioè ragionare se è davvero necessario fare quel trattamento dei dati e se decidi di trattare quei dati, devi anche aggiornare il registro, l'informativa, usare l'adeguata base giuridica
2) Nominare gli addetti e gli incaricati nella gestione di chi presenta sintomi da Covid-19
3) Fare la DPIA, cioè fare la verifica e l’analisi dei rischi perché il rischio residuale sia basso
4) Fare le verifiche sulle misure di sicurezza fisiche, logiche e organizzative
Punto. Questo è quello che devi fare, per gestire la riapertura e le attività in questa emergenza.



RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy