Coronavirus fase 2: come gestire la riapertura a norma GDPR

09 giugno 2020Ultimo aggiornamento 29 febbraio 2024
Tempo di lettura stimato: 14'
È partita la fase 2. Ma come si gestisce la riapertura a norma con il GDPR e con le disposizioni previste per il contenimento del Coronavirus? Bisogna stare attenti all’ansia da prestazione, che potrebbe farci eccedere nelle modalità e nei trattamenti! Quindi, per agire cum grano salis, bisogna prima guardare le norme, capire come le misure di contenimento impattano sui dati personali e poi decidere come muoversi. 
Le norme di riferimento sono sempre le stesse. Le abbiamo già viste quando abbiamo parlato di cosa NON devono fare i datori di lavoro nell’emergenza Coronavirus. Bene. Queste norme sono: 
  • GDPR
  • Novellato 101 (l’ex Codice Privacy che è stato novellato)
  • D.lgs 9 aprile 2008 n.81 – Testo Unico sulla Salute e Sicurezza sul lavoro
  • Decreti del Presidente del Consiglio dei Ministri
  • Protocollo condiviso di regolamentazione per il contenimento della diffusione del Covid-19 negli ambienti di lavoro del 24 di aprile 2020, concordato con le parti sociali
Quindi, sostanzialmente, da una parte c’è il Regolamento europeo e dall’altra ci sono le leggi sulla sicurezza sul lavoro, i DPCM ed il Protocollo condiviso. Per capire come e dove vengono toccati i dati personali, basta metterli insieme. Andiamo a vedere cosa dice il Protocollo condiviso del 24 di aprile.

Cosa dice il Protocollo condiviso del 24 di aprile: 13 punti da rispettare

Sono fondamentalmente 13 i punti che le aziende devono rispettare per poter riaprire in sicurezza e garantire la salute dei lavoratori. Ma il GDPR li tocca tutti? No. Vediamo quindi quali sono i 13 punti e quando impattano sul Regolamento europeo per la protezione dei dati personali:
1) Informazione: non tocca il GDPR, ma è molto importante perché il Protocollo ci dice che, alla riapertura, l’azienda deve informare i dipendenti sulle regole fissate per gestire il Coronavirus
2) Modalità di ingresso in azienda: tocca il GDPR
3) Modalità di accesso dei fornitori esterni: tocca il GDPR
4) Pulizia e sanificazione in azienda
5) Precauzioni igieniche personali
6) Dispositivi di protezione individuale
7) Gestione degli spazi comuni
8) Organizzazione aziendale: tocca il GDPR
9) Gestione di entrata ed uscita dei dipendenti: tocca il GDPR
10) Spostamenti interni e riunioni: tocca il GDPR
11) Gestione sintomatici in azienda: tocca il GDPR
12) Sorveglianza sanitaria, medico competente e Responsabile sulla Sicurezza dei Lavoratori: tocca il GDPR
13) Aggiornamento del protocollo 
Non tutti i punti chiaramente si uniscono con il Regolamento europeo, ma solo alcuni. Per questi, dobbiamo capire se ci serve aggiungere dei trattamenti, se ci serve aggiungere delle misure di sicurezza, se ci serve aggiungere delle informazioni. 
Prima però bisogna fermarsi e guardare all’accountability.

Accountability: prima di riaprire l’azienda, chiediti “So che cosa sto facendo?”


Riaprire Fase 2 - Coronavirus

Prima di mettere in moto il baraccone, prima di aprire la saracinesca, devi essere consapevole di quello che stai facendo e di quello che stai per fare. Il GDPR e il Protocollo ti danno delle indicazioni per lavorare in sicurezza, ma tu puoi scegliere come farlo
Non c’è un modo solo. 
Ci sono scelte differenti, che però porteranno a verifiche e modalità di trattamento dei dati personali differenti. Per esempio, puoi decidere di gestire tutto e più di tutto con la carta, puoi decidere di raccogliere informazioni aggiuntive, puoi fare scelte che, a fronte anche degli strumenti che andrai ad utilizzare, ti porteranno a fare un certo tipo di percorso col GDPR, oppure no. 
Su questo fondamentalmente ci sono 3 grandi aree da considerare:
1) La gestione degli strumenti
Quali strumenti utilizzerai per gestire la riapertura e la sicurezza dei lavoratori? 
Questo implicherà una serie di attività in più o no? 
Ci saranno nuovi trattamenti di dati da fare? 
 
2) La scelta di come organizzare l’azienda
Quali informazioni recupererai? 
Come le recupererai e come le gestirai definirà un percorso di adeguamento al GDPR oppure un altro. 
3) Gestirai la situazione con la carta o senza carta?
Segni gli ingressi con una App?
Misuri la febbre con un termoscanner?
Fai segnare l’idoneità su un taccuino?
A seconda del supporto che scegli, devi valutare l’impatto sui trattamenti.
Bene. Adesso che abbiamo visto che non c’è un unico modo, guardiamo come gestire la riapertura in sicurezza e a norma GDPR, toccando uno per uno i punti del Protocollo che impattano sul trattamento dei dati personali. 


PUNTO 1 – Informazione ai dipendenti

Questo punto non tocca il trattamento di dati personali – e quindi non ha impatto sul GDPR – ma è molto importante, perché il Protocollo ci dice che, alla riapertura, noi aziende dobbiamo informare i dipendenti. Dobbiamo informarli ed essere sicuri che sappiano quali sono le regole che abbiamo deciso di applicare nella nostra organizzazione. 
È semplice e lineare. Prima di venire a lavorare, ognuno di loro deve essere informato e sapere che: 
  • se hai la febbre stai a casa e chiama il medico curante
  • quando arriverai in azienda devi mantenere le distanze 
  • durante la prestazione lavorativa, se per caso stai male, ricordati che la procedura da seguire è questa e quest’altra (la vediamo a breve)
E ogni azienda sceglierà i modi e le tipologie da comunicare nell’informativa che, attenzione, non è un’informativa privacy! Ma è un’informativa sui protocolli e sulle modalità di lavoro e di gestione del Covid-19.
Bene. Adesso che i dipendenti sono informati, devono entrare in azienda. 
E come si gestisce l’ingresso in sicurezza e a norma GDPR?
Vediamolo subito.


PUNTO 2 – Gestione dell’ingresso dei dipendenti

Cosa dice il Protocollo del 24 aprile? Il Protocollo dice che tu (azienda):
1) Puoi misurare la febbre ai dipendenti prima di farli entrare
Puoi farlo, non hai l’obbligo. Se poi è superiore a 37.5 il dipendente non può entrare. 
Per i canteri invece la misurazione della febbre è obbligatoria. 
2) Devi rendere evidenti le regole che servono per entrare in azienda
Quindi devi avere una procedura: i dipendenti devono sapere quali sono le regole, magari compilando un questionario, che è una delle modalità per accertare questa cosa. Inoltre, deve essere ben chiaro che è il medico competente a gestire gli ingressi delle persone che hanno avuto il Covid-19. Non spetta all’azienda decidere. È il medico che dice “Sì puoi entrare, no non puoi entrare in azienda.” 


Misurazione della febbre e GDPR: hai 3 possibilità

Hai la possibilità di scegliere. Le opzioni sono 3. Tutte e 3 sono valide sia per la legge che per il Protocollo e ciascuna ha un diverso impatto sul GDPR:
Opzione 1 - Non misurare la febbre 
Puoi decidere di non misurare la febbre (salvo i cantieri, in cui c’è l’obbligo), ma poi ricordati che il dipendente si deve misurare la temperatura tutti i giorni e ogni giorno – per dare evidenza di aver rispettato il Protocollo - devi dargli un questionario che dice: “Ti sei misurato la febbre stamattina? Guarda che se hai 37.5 non puoi entrare e devi chiamare il medico curante.” 
Se non misuri la febbre non hai nessun impatto sul GDPR
Opzione 2 - Misurare la febbre e registrare da qualche parte l’idoneità all’accesso
Misuri e poi registri su carta, digitale, dove vuoi che Peppino, Antonio, Giulia, Francesco, Aziz hanno una temperatura sotto il 37.5 e che quindi sono idonei, possono entrare.
Attenzione! L’unica cosa che puoi registrare è l’idoneità
Se Tizio e Caio hanno una temperatura sopra o sotto il 37.5 puoi segnare che sono idonei, ma non puoi registrare la temperatura. L’ha detto il Garante!
Quindi puoi registrare questo:
Antonio Rossi, idoneo
Peppino Bianchi, non idoneo
Ma non puoi registrare questo:
Antonio Rossi, 36.5 
Peppino Bianchi, 38
Occhio anche allo strumento che usi per misurare la febbre! 
Un conto è il termometro vecchio stile, che metti sotto l’ascella e via, o il termometro a infrarossi. Un altro conto è usare uno strumento come il termoscanner. Il termoscanner salva la foto col valore della temperatura. Ma è vietato dal Garante! Quindi attenzione!
Poi, sappi che se decidi di misurare la febbre e registrare l’idoneità, stai facendo un trattamento di dati personali ed è una scelta che ha un impatto sul GDPR. Quindi devi: 
Opzione 3 - Misurare la febbre e non registrare l’idoneità, ma renderla evidente in un altro modo: con una procedura. Questa è la mia scelta preferita ed è quella che io chiamo “passa e avanti!”
Il Garante ha detto che c’è trattamento di dati personali solo se da una parte c’è l’idoneità e dall’altra un Nome e Cognome: Antonio Rossi – idoneo, per esempio.
Ma io posso anche fare in un altro modo: misuro la febbre e vedo se è superiore a 37.5 o no e quindi se la persona è idonea o non idonea, senza associare Nome e Cognome con l’idoneità
Se faccio così, non sto facendo nessun trattamento di dati personali. 
Quindi, prima di timbrare il cartellino, io ti misuro la febbre – puoi essere un mio dipendente, una scimmia o il fattorino, non mi interessa chi sei - se so che hai meno di 37.5 bene, passi allo step successivo: la timbratura del cartellino. Altrimenti via, torna a casa e chiama il medico. 
Ma come faccio a dimostrare che così tutelo i lavoratori? 
Lo dimostro con un piccolo protocollo che dà evidenza del fatto che, per accedere alle porte dell’azienda, si deve passare dalle Forche Caudine della verifica anonima dell’idoneità del dipendente. Questa cosa non impatta dal punto di vista privacy, perché non sto associando il nome della persona con l’idoneità.


Come dimostrare che il dipendente ha capito quali sono le regole? Per esempio, puoi prevedere un questionario all’ingresso

Il questionario non è l’unico metodo. È uno dei metodi per dare evidenza che i dipendenti sanno cosa devono fare. Va compilato tutti giorni, ogni volta che entrano in azienda, perché tu devi avere la certezza che ogni dipendente sappia come deve comportarsi. 
E come gestire il fatto che il dipendente, quando entra in azienda, a prescindere dalla temperatura, sappia come deve comportarsi? Anche qui le possibilità sono 3:

Opzione 1 - Non fare nessun questionario 
Ma se non fai nessun questionario, rischi. Non impatta niente sul GDPR, però non sei sicuro di riuscire a tutelare i tuoi lavoratori. 
Opzione 2 - Fai il questionario e registri
Quindi fai un questionario con delle domande che servono per rendere evidente ai tuoi dipendenti, prima di entrare in azienda, quali comportamenti devono avere, e lo registri su App, carta, web, vedi tu. Sappi però che, se registri il questionario da qualche parte, dovrai anche:
  • aggiornare il registro dei trattamenti
  • nominare gli addetti che vedranno quelle informazioni
  • verificare i responsabili esterni del trattamento, se ci sono
  • fare la DPIA ed eventualmente aggiornare l'informativa
Oppure, c’è la terza via, che è quella che mi piace di più. 
Opzione 3 - La terza via, quella che mi piace di più, è quella che io chiamo il registro di idoneità
In PrivacyLab abbiamo lanciato una App che i dipendenti possono compilare – senza raccogliere alcun dato! – e che ci permette di rendere evidente che il dipendente è idoneo, perché riusciamo a rendere evidente il percorso cognitivo, il percorso di consapevolezza, prima che entri in azienda. 


Quali domande porre nel questionario? 

Le domande giuste da fare non sono “Autocertifichi che non sei entrato in contatto col Covid-19?” No, non si può chiedere l’autocertificazione! 
Il questionario deve rendere evidente una cosa fondamentale: quali sono le situazioni di pericolo. E il Covid è una situazione di pericolo.
Hai la febbre superiore a 37.5? 
Sei entrato in contatto con qualcuno che ha il Covid-19? 
Sei in quarantena? 
Queste sono situazioni di pericolo. E la legge 81, all’articolo 20, dice che il dipendente è obbligato a segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.
È importante. Perché il dipendente non deve autocertificare nulla e tu in quanto azienda devi dare evidenza che abbia chiaro che se ha la febbre, deve stare a casa. Che se è in quarantena non può andare a lavorare. Se ha dei familiari col Covid-19 o che sono entrati in contatto con qualcuno che ha il Coronavirus non doveva andare a lavorare. Deve sapere che, quando entra in azienda, deve mantenere la distanza sociale, non può baciare né abbracciare nessuno.
Ci sono delle domande obbligatorie de inserire nel questionario?
Sì e non sono tantissime. Le cose obbligatorie da chiedere nel questionario sono:
  1. Che tu sappia, negli ultimi 14 giorni, hai avuto contatti con soggetti risultati positivi al Covid?
  2. Provieni da una zona rossa?
  3. Sai che ci sono delle procedure interne da seguire se stai male? Le hai guardate bene?


Ricapitoliamo: se registri l’idoneità o il questionario o entrambi, hai degli obblighi rispetto al GDPR

Nel momento in cui decidi di registrare i questionari e l'idoneità (dopo aver misurato la temperatura), hai degli adempimenti. Li ricapitolo qui:
1) Aggiornare l’informativa al dipendente 
Le finalità e la base giuridica da inserire nell'informativa al dipendente sono queste:
  • finalità: prevenzione dal contagio da COVID-19
  • base giuridica: implementazione dei protocolli di sicurezza anti-contagio 
2) Aggiornare il registro
3) Fare la DPIA
4) Nominare gli addetti ai trattamenti 
5) Verificare i responsabili esterni


PUNTO 3 – Gestione degli ingressi di clienti e fornitori 

Clienti e fornitori possono entrare in azienda? Sì, seguendo le stesse regole applicate ai dipendenti
1) misurazione della febbre, anche qui sta a te decidere se farla o no
2) rispetto delle regole per poter entrare in azienda
Quindi, anche ai visitatori puoi proporre un questionario, dove chiedi: lo sai che non puoi entrare se sei stato in contatto con persone che hanno avuto il Covid-19? Lo sai che se vieni da una zona a rischio non puoi entrare? Sai che sei obbligato a dirmelo?
Anche in questo caso, se registri queste informazioni dovrai: aggiornare il registro del trattamento, aggiornare l’informativa dei visitatori, dei clienti, dei fornitori; dovrai aggiornare e fare la DPIA, nominare gli addetti per gestire questa cosa. Dovrai eventualmente verificare se i responsabili esterni sono adeguati. 
Come con i dipendenti.
La scelta che fai, anche in questo caso, determina l’impatto che hai sul GDPR. 


PUNTI 8, 9 e 10 del Protocollo: organizzazione interna, entrate e uscite, riunioni e spostamenti


Punti 8,9,10 Coronavirus

Adesso andiamo a vedere gli altri punti del Protocollo toccati dal GPDR e che tendiamo a scordare a volte. Sono principalmente questi: 
PUNTO 8 – Gestione dell’organizzazione interna
PUNTO 9 – Gestione di entrate ed uscite
PUNTO 10 – Gestione degli spostamenti interni e delle riunioni, che si applica sia ai dipendenti che ai visitatori
Il Protocollo ci dice che bisogna riorganizzare i turni, le presenze, le sale mense, gli spostamenti eccetera eccetera, in modo da non fare assembramenti all’interno dell’azienda e di avere una gestione fluida delle persone durante l’orario di lavoro.
Per fare queste cose, i modi sono duecentocinquantamilaecento e potrebbero essere erogati tramite degli strumenti nuovi e delle modalità nuove in azienda. Strumenti nuovi e modalità nuove che, chiaramente, vanno a impattare sui trattamenti di dati personali e sul registro dei trattamenti. 
Quindi nel momento in cui userai nuovi strumenti per la gestione degli ingressi, delle prenotazioni, della sala mensa, dei turni e così via, dovrai ricordarti di aggiornare anche il registro


PUNTO 11 – Gestione della persona sintomatica in azienda

Un dipendente viene a lavorare, gli hai provato la febbre e stava bene ma, durante il turno di lavoro, inizia a sentirsi male – si chiama sfortuna – cosa bisogna fare? Questa persona - ogni persona che lavora in azienda - deve avere già chiara la procedura da seguire.
Prima della riapertura, insieme al medico del lavoro e al Responsabile per la sicurezza dei lavoratori devi definire chi bisogna chiamare e come bisogna comportarsi quando si sta male. Fermo restando che devi già avere una stanzettina in cui infilare dentro la persona sintomatica perché sia isolata. 
E se ha la febbre che cosa succede? 
Primo, non devi scrivere niente da nessuna parte - e quindi non hai impatti sul GDPR - poi chiami la ASL di competenza e dici: "Guarda, in azienda ho una persona che sta tossendo, ha la febbre a più di 37.5. In questo momento è isolata nella stanzetta. Diteci voi che cosa dobbiamo fare."
Basta la procedura. 
Non devi registrare che alla persona è stata provata la febbre eccetera.
Basta attenersi alle istruzioni che danno i sanitari.


PUNTO 12 - Sorveglianza sanitaria / medico competente / responsabile sulla sicurezza dei lavoratori

Anche qua vediamo quali sono sul GDPR e in particolare sul ruolo del medico competente e del Responsabile sulla sicurezza dei lavoratori. 
1) Medico competente
Secondo il Protocollo, il medico competente segnala l’idoneità o la non idoneità al lavoro del dipendente. Bene. È quello che fa già! Non c’è nessun addendum. Come medico competente aveva già il compito di decidere l’idoneità al lavoro. Quindi dal punto di vista del GDPR, per le idoneità, non bisogna nominarlo responsabile esterno, perché è titolare autonomo ed è già inserito nel registro dei trattamenti.  
È il medico competente che gestisce il reintegro del dipendente, non l’azienda, e dice solo chi è idoneo e chi no, punto. Non può andare a dire chi è malato di Covid, come non può andare a dire chi si droga, chi si ubriaca, chi ha la gotta e chi le emorroidi. 
Per il reintegro di una persona che è negativa – e se è negativa vuol dire che era positiva e se era positiva vuol dire che era in malattia – il medico verifica le carte della certificazione di negativizzazione e l’azienda non deve vedere questi dati. Non li vede perché non li può gestire ai sensi del GDPR e il medico competente non deve essere una bella statuina in questo processo, deve essere proattivo. Interviene su richiesta per verificare l’idoneità e per certo sul reintegro, dopo la malattia.
Nel mio piccolo, io ritengo che tutti i rientri da malattie, in questa fase, debbano essere valutati dal medico competente. Perché non posso sapere chi ha il Covid-19 e chi no, lo ha detto il Garante. È il medico competente che lo sa, non io che sono l’azienda. 
Quindi, se Antonio e Peppino rientrano dalla malattia, prima di tornare devono sapere che bisogna andare dal medico competente o mandare una mail e chiedere: “Oh, posso rientrare a lavorare?” 
E il medico: “Ma cosa avevi avuto?” 
E Antonio: “La gotta e le emorroidi” 
Il medico: “Va be’ puoi rientrare, quelle non sono contagiose”
E Peppino:“Ho avuto il Covid”
E il medico: “Allora mandami quello che serve per la pesudo negativizzazione e poi al datore di lavoro comunicherò se puoi rientrare oppure no.”
Questo è compito del medico competente. Era compito anche prima, ma diciamo che adesso è certo
2) Responsabile sulla sicurezza dei lavoratori
Non deve sapere nulla. Ha la bocca tappata. Interviene solo sulle procedure. Per esempio, oltre alla febbre, può chiedere al dipendente malato se ha avuto la tosse o la perdita dell’olfatto. Oppure, all'interno della stanzetta dove isolare i soggetti sospetti di avere il Covid, può prevedere che ci sia una bella locandina con l'indicazione dei comportamenti da tenere e che dice: "Sei qui dentro, non perché sei brutto e cattivo, ma perché c'è potenzialmente un problema di sicurezza e tu sei obbligato a dirmelo ai sensi dell'articolo 20 della legge 81."
Punto. Questo è quanto. 
Semplice, chiaro e preciso. 
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy