Covid-19: la scelta degli strumenti per gestire la Fase 2

22 luglio 2020Ultimo aggiornamento 10 marzo 2021
Tempo di lettura stimato: 13'
I protocolli per la riapertura Covid-19 ci consigliano dei comportamenti da adottare per garantire la sicurezza di chi entra in azienda - dipendenti, clienti, fornitori – ma anche per chi entra in palestra, al circolo, nei negozi e così via. Per adottare questi comportamenti, dobbiamo gestire dei trattamenti di dati personali ed eventualmente adottare degli strumenti

Quando abbiamo parlato di GDPR, Coronavirus e fase 2 e di come gestire la riapertura, infatti, abbiamo visto quali sono questi trattamenti e quali sono le norme da rispettare, che sono sempre quelle. Breve ripasso. Le norme da tenere sempre presenti sono: GDPR, Novellato 101, D.lgs 81 del 9 aprile 2008 e i vari DPCM e protocolli che servono per la gestione del Covid e della riapertura.
Bene. In questo articolo cerchiamo di capire come vanno scelti e verificati gli strumenti per la gestione della Fase 2. Perché bisogna essere sicuri e tranquilli di usare lo strumento corretto per garantire la sicurezza delle persone e gestire il trattamento dei dati in modo conforme al GDPR.
Uno dei busillis grossi è la verifica della temperatura
Per entrare in azienda, i protocolli di sicurezza ci dicono che è possibile misurare la temperatura e vedere se è più alta o più bassa di 37.5: se è minore, la persona è idonea e può entrare; se è superiore a 37.5 non può entrare, deve tornare a casa e avvisare il medico.
Attenzione. Misurare la temperatura non è un obbligo. Puoi anche decidere di non farlo!
 
Poniamo che tu decida di misurare la febbre dei dipendenti. Come scegliere gli strumenti?


Come scegliere gli strumenti per misurare la temperatura all’ingresso

Prima di guardare gli strumenti per la misurazione della temperatura, c’è una cosa importante da avere ben chiara: la temperatura corpora non si può tenere registrata da nessuna parte, lo dice il Garante. E dice anche che, se proprio vuoi registrare qualcosa, allora puoi registrare l’idoneità all’accesso. Punto. Chiaro?
Bene. Detto questo, devi scegliere lo strumento. E in giro ci sono strumenti che promettono mari e monti, ma che potrebbero non essere compliant nella gestione del GDPR. Quindi fai attenzione.
Fondamentalmente, ci sono 3 tipologie di strumenti e quindi 3 diversi impatti sul GDPR:

1 – Termometro a infrarossi
Il termometro a infrarossi non ha nessun impatto sul GDPR, a meno che non registri quel dato da qualche parte. Ma se non lo registri, il termometro a infrarossi, di per sé, come strumento non tocca il GDPR. Perché la temperatura resta nella testa di chi legge
È chiaro che se Peppino, l’addetto che misura la temperatura, non segna nulla, poi torna in ufficio e scrive una mail la titolare per dirgli “Guarda che Antonio è venuto a lavorare anche se aveva la febbre a 38 e l’ho rimandato a casa”, allora è un problema. Perché c’è un trattamento di dati personali. Quindi chi misura la temperatura deve essere formato e deve sapere che non deve scriverla da nessuna parte, neanche su carta di formaggio, altrimenti passa dei guai!

2 – Misuri la temperatura e registri su carta l’idoneità
Puoi decidere di misurare la temperatura con il termometro a infrarossi, chiedere ai dipendenti se si sono provati la temperatura, prendere un infermiere che usa il termometro tradizionale. Decidi tu. Dopodiché, per dare evidenza che in azienda non siano entrate persone sintomatiche, puoi decidere di registrare l’idoneità – non la temperatura, mi raccomando! - sulla carta, su un foglio excel, sul database, sul gestionale. 
Qui, invece, l’impatto sul GPDR c’è. E ti obbliga ad aggiornare il registro, a nominare gli addetti perché avrai un archivio in più ed un trattamento aggiuntivo. Ti obbliga a verificare che il trattamento sia a norma, a fare la DPIA (Data Privacy Impact Assessment) e ad aggiornare eventualmente le informative, perché potrebbe essere un trattamento aggiuntivo che non avevi previsto. E chiaramente devi anche scrivere un protocollo per dare evidenza che tutti quelli che sono entrati, sono stati sottoposti ad una procedura per capire se fossero idonei all’ingresso oppure no. Se decidi di registrare l’idoneità è una cosa che va fatta. 

3 – Termoscanner o sensori
Sono dispositivi di varia natura e funzionano tutti in maniera molto simile. Sappi che il termoscanner ha un impatto sul GDPR. Ha un impatto nel momento in cui registra l’idoneità e quindi ti obbliga ad aggiornare il registro - perché hai uno strumento digitale che ti gestisce i dati sull’idoneità -, a fare la DPIA, a nominare gli addetti, a verificare la sicurezza dello strumento. Trattandosi di uno strumento digitale, dovrai anche verificare il fornitore. Devi controllare se fa quello che dice di fare e se lo fa nella maniera corretta. E se il fornitore fa la manutenzione, lo dovrai nominare anche responsabile esterno al trattamento e amministratore di sistema. 
Idem per il fornitore del Cloud (perché ci sono dei termoscanner che addirittura salvano in Cloud i dati!). E poi dovrai creare un protocollo, per dare evidenza di aver gestito in maniera puntuale le misure di sicurezza per la riapertura.

Quindi hai fondamentalmente 3 modi per misurare la temperatura. 
Di questi, il termoscanner è quello potenzialmente più problematico per il GDPR


Termoscanner e GDPR: occhio allo strumento che scegli!

In queste ultime settimane è venuto fuori un disastro. Termoscanner come se piovesse.
Ti do una notizia: il 99,99% dei termoscanner è – chiaramente! - fabbricato in Cina.
Non c’è niente di male di per sé. Però, quando scegli i tuoi strumenti, ci sono delle domande che ti dovresti fare, prima di adottarli e questo vale per qualsiasi strumento che può trattare dei dati! 
Quindi, anche quando scegli un fornitore di termoscanner, devi chiederti:
  • Quali dati gestisce il termoscanner?
  • Dove risiedono fisicamente queste informazioni? Sono salvate nel termoscanner? Il termoscanner non salva niente? Se è fatto in Cina, salva i dati in Cina?
  • Il termoscanner salva dei video e delle immagini, oltre alle idoneità? 
  • Il termonscanner spara l’idoneità in Cloud?.
  • Chi vede queste informazioni? E come le vede? 
Poi, chiaramente, devi nominare il fornitore del dispositivo come responsabile esterno al trattamento e verificare la sua adeguatezza
Bene. Adesso cerchiamo di capire quali dati vengono trattati. Perché mi sono accorto che molti produttori di termoscanner hanno i reparti marketing che hanno l’ansia da prestazione – il mio termoscanner tonifica, lubrifica, fa tutto: ti registra il viso, fa la face recognition, spara i dati in Cloud. Ha tutto! – e quindi eccedono in descrizioni e funzionalità che potrebbero non essere a norma GDPR.
Facciamo qualche esempio. Ecco alcune funzioni presenti nei termoscanner che ho analizzato. 

1 – Face recognition
Molti dei termoscanner che ho studiato hanno la funzione di face recognition, il riconoscimento facciale. La funzione di face recognition ha un impatto sul GDPR? Acciderbola se ce l’ha! Ha un impatto fortissimo sul GDPR. Ha un impatto così grande, che ti obbliga a chiedere l’autorizzazione ai sindacati. Ma, soprattutto è un’attività biometrica, e con l’attività biometrica, è sempre meglio chiedere l’autorizzazione al Garante. E il Garante, interpellato su questa cosa, spesso dice: “Guarda, se non è necessaria, non farla!”
Io mi chiederei: a cosa serve la face recognition per la prevenzione del Covid? 
Secondo me a poco. La vuoi usare? 
Va bene. Ricordati però che, se la vuoi usare, devi attivare il protocollo con l’Ispettorato del lavoro, con le organizzazioni sindacali e devi chiedere il permesso al Garante. 
E ricordati che poi bisogna anche chiedere il consenso agli interessati, cioè a tutte le persone che passi col temoscanner. Diventerebbe una follia! Come fai a chiedere il consenso ad ogni persona che si presenta all’ingresso dell’azienda, ogni giorno?
Quindi, la funzione di face recognition è una di quelle bellissime cose che, per poterle usare, devono essere disabilitabile. 

2 – Salvataggio di immagini o video sul dispositivo
Moltissimi termoscanner hanno il salvataggio delle immagini e dei micro-filmatini di quando passa la persona. Allora devi verificare quali immagini e quali video vengono salvati
C’è la faccia e basta? 
Mmmm…
C’è la faccia più la temperatura? 
No! La temperatura non può essere salvata insieme al dato della persona e la faccia identifica la persona. Non può essere salvata da nessuna parte. Lo ha detto il Garante.
Ci vedi scritto: 36.5?
Non va bene!
Ci vedi scritto IDONEO oppure RESPINTO?
Va be’…
L’idoneità, come abbiamo visto, la puoi registrare. 
Però poi devi aggiornare il registro, l’informativa, fare la DPIA eccetera eccetera. Sta a te decidere.

Se vengono registrate immagini e video c’è un impatto sul GDPR?
Certo! Perché, oltre alla gestione del Covid, devi gestire la cosa anche come videosorveglianza.
È inutile che mi dici “Eh ma io non videosorveglio…”
Perché stai videosorvegliando. Più videosorveglianza di quella del termoscanner non c’è niente! Perché Peppino entra in azienda solo se gli hai fatto la foto e hai guardato se è idoneo.
Quindi devi attivarti per gestire il termoscanner come se avessi attivato la videosorveglianza, oltre a tutto quello che riguarda i trattamenti Covid. 

3 – Salvataggio in Cloud
Molti di questi strumenti, non solo salvano i dati sul dispositivo, ma ti danno anche la possibilità di salvare in Cloud. Lo puoi fare? Sì, però, anche qui hai degli adempimenti imposti dal GDPR e cioè:
  • Devi verificare che i dati che vengono salvati in Cloud siano esattamente quelli corretti. Quindi, non deve essere salvata la temperatura, deve essere salvata solo l’idoneità.
  • Devi fare tutta la trafila per il Cloud per verificare il fornitore, nominarlo responsabile esterno, verificare che sia adeguato e devi gestirlo come un fornitore di videosorveglianza che salva i dati in Cloud. È una cosa che si può fare – basta che non ci sia registrata la temperatura, se c’è la temperatura: no, non si può fare! – ma io tenderei personalmente a non farlo. Se decidi di farlo, l’importante è che tutta la catena di responsabilità sia stata resa chiara, evidente, gestita, condivisa e sicura. Cioè devi avere una responsibility chain chiara. 

4 – Salvataggio dell’idoneità 
Fare il salvataggio dell’idoneità ha un impatto sul GDPR?
Sì, e se la salvi in Cloud, ha un impatto maggiore perché devi nominare il responsabile esterno.
Se lo salvi sui tuoi sistemi aziendali, in teoria, l’idoneità al lavoro dei dipendenti è già un’informazione che gestisci. Magari c’è da lavorare sull’informativa dei visitatori, perché l’idoneità all’accesso non era stata gestita. Ma per i dipendenti, se hai lavorato bene prima, forse non devi aggiungere niente nell’informativa. 
Forse devi aggiungere qualcosa anche nel registro dei trattamenti, indicando l’archivio in cui sono registrate le idoneità. Se poi l’archivio è in Cloud, dovrai nominare responsabile esterno chi gestisce il Cloud. 

5 - Salvataggio della temperatura corporea
Non si può fare! Te l’ho detto 70 volte, te lo dico la 71esima. Non si può fare da nessuna parte, su nessun asset digitale o cartaceo che sia. Da nessuna parte ci deve essere scritta la temperatura di Antonio, di Francesco, di Maria. Anche se è pseudo-anonimizzata. È importante questo. Perché ne stanno venendo fuori veramente tantissime di situazioni dove vengono registrate le temperature come se non ci fosse un domani!

6 – Mask recognition
Molti termoscanner hanno la mask recognition. Cos’è? È un algoritmo che vede se sulla tua faccia c’è una mascherina, un foulard, una sciarpa o qualcosa del genere e se ce l’hai ti permette di entrare. Quindi, oltre al misurare la temperatura, ti dà l’ok: idoneo/non idoneo
Se non viene salvato nessun dato biometrico, ma viene solo rilevato che Peppino, Aziz e Giulia sono idonei all’ingresso, e il dispositivo non salva nulla, non hai impatti sul GDPR. Perché l’idoneità l’hai già salvata precedentemente: il fatto che Peppino abbia la mascherina o meno cambia poco, perché rendi idonei solo quelli che hanno la mascherina
Le persone non idonee sono quelle che non hanno la mascherina e/o hanno una temperatura superiore a 37.5. Quindi, salvando l’idoneità, sei assolutamente a posto. 

Attenzione - È chiaro che, se per fare la mask recognition, viene fatta una foto, che viene salvata sul device, a quel punto stai facendo videosorveglianza e quindi devi seguire la stessa trafila che abbiamo già visto più su.


Gestione dei dati e termoscanner che salvano le immagini: io ci starei lontano

Chiaramente, la gestione dei dati raccolti con il termoscanner – ovvero, chi vede queste informazioni, chi può accedere al device, chi può fare manutenzione - necessita obbligatoriamente di profili di visualizzazione e autorizzativi differenti. Quindi servono profili diversi, per ogni addetto nominato che può vedere questi dati. Ecco perché, personalmente io ti dico: “Stai lontano come la peste dai device che salvano le immagini!” 
Non ne hai la necessità. È un dato in più che non ti serve. 
Perché devi mettere in piedi una gestione complicata?
Vale sempre il principio della minimizzazione del trattamento: prima di prendere delle informazioni, chiediti se ti servono davvero o se puoi farne a meno.
Come vedi, la scelta dello strumento diventa veramente fondamentale, perché uno strumento che in automatico ti salva le immagini, ti fa la face recognition e ha un profilo di accesso unico – al termoscanner ci accedi con “admin - admin” - non va bene, perché hai dei trattamenti non necessari da gestire e non riesci a testimoniare in maniera chiara, che a quel device lì può accedere solo una persona. 


Attenzione agli strumenti col bollino! Non è detto che siano conformi al GDPR

Un’altra cosa che ho visto in questo periodo: tutti questi dispositivi venduti su internet sono GDPR Ready, GDPR Compliant, GPDR Ok…Allora. Chiariamo una cosa: non è detto che il termoscanner che ha il bollino, sia GDPR compliant. Non vuol dire che lo sia! Ed è obbligo del titolare del trattamento verificare che lo strumento sia ok e che abbia le caratteristiche corrette per poter gestire e trattare le informazioni che il titolare ha scelto di trattare. 
Io posso avere tutti i bollini del mondo, ma non hanno nessun valore. Devi verificare il fornitore.
E come si verifica il fornitore? 

Come si verifica il fornitore del dispositivo che misura la temperatura?

Non devi verificare la qualità tecnica del fornitore. Devi verificare che l’azienda e il suo prodotto abbiano le caratteristiche adeguate a trattare i dati che tu, come titolare, hai scelto di trattare. Quindi:

1 – Deve autonominarsi responsabile esterno
Un fornitore che fa la manutenzione di sistemi un po’ complicati e che non si nomina responsabile esterno, mi fa drizzare le orecchie!
Nel contratto ci devono essere delle clausole, da te verificabili, in cui dice quali dei tuoi dati tratterà, in cui ti spiega non tanto le misure di sicurezza ma se i trattamenti che fa sono a rischio residuale basso e ti dovrà dare un suo documento di compliance al GDPR
Perché tu devi sapere se i dati sono in Cloud, se sono trattati in Europa, in Italia o all’estero. 
E se vanno all’estero, hai un altro problema. Visto che molti di questi che producono termoscanner sono cinesi, fanno anche il backup in Cina!

2 – Deve indicare come viene gestito il Data Breach
Nel contratto devono esserci le clausole del Data Breach perché, se viene craccato il Cloud dove dentro ci sono tutte le temperature dei dipendenti, cosa succede? Se il fornitore è nominato responsabile esterno, non decide lui di fare la comunicazione al Garante, lo decidi tu, in quanto titolare del trattamento. E questo deve essere ben evidente nel contratto. 
Per scegliere il fornitore, chiaramente non basta dire: “Fammi vedere la tua valutazione d’impatto. Fammi vedere la nomina da Data Processor e le clausole contrattuali. Fammi vedere dove tratti i dati. Li tratti fuori dall’Europa? Via, non ti voglio!”
Tutto questo non basta. 
Ogni tot di tempo hai l’obbligo di verificare il fornitore. Verifichi se i trattamenti che sta facendo per te sono ancora compliant. E come fai a verificarlo? Ad esempio, chiedendo il documento di Compliance aziendale. Se poi è un fornitore che fa la manutenzione, serve anche la nomina da amministratore di sistema, che è tornata prepotentemente fuori, perché la Guardia di Finanza sta iniziando a chiederla in maniera puntuale e precisa. 

Come scegliere gli strumenti digitali che registrano i questionari

Il protocollo per la riapertura ci dice che tu, azienda, devi assicurarti che i dipendenti abbiano capito quali sono i comportamenti da adottare per la gestione del Covid: non si entra con la febbre superiore a 37.5, bisogna tenere la distanza, bisogna sapere con chi parlare e cosa fare se si sta male, insomma, tutte le misure da prendere per la fase 2 e la gestione della riapertura.
Uno dei metodi per dare evidenza di questa cosa è far compilare tutti i giorni un questionario prima di entrare in azienda
Come si gestisce il questionario ai dipendenti? 
In molti modi: a voce, su carta e anche in digitale.
E infatti, sono venuti fuori una serie di App, Software e Web App che gestiscono i questionari per il contenimento del Covid. Bene. Deve essere chiaro che, nel momento in cui fai un questionario e registri le risposte, le risposte sono un trattamento di dati personali
Quindi, oltre a scrivere un protocollo per riuscire a gestire la cosa, dovrai aggiornare il registro, dovrai fare la DPIA, dovrai nominare gli addetti a quei trattamenti, dovrai verificare le misure di sicurezza, dovrai aggiornare le informative – se necessario – perché molto probabilmente dovrai fare dei trattamenti aggiuntivi, che prima non facevi. 
Se gestisci i questionari in digitale, va da sé che stai facendo dei trattamenti aggiuntivi. 
Quindi, prima di scegliere l’App, il Software o la Web App che ti gestisce il questionario all’ingresso, dovrai:
  • capire se salva i dati
  • e se salava i dati, quali dati sono e dove li salva
  • chi li vede e come
  • nominare il fornitore responsabile esterno
  • verificare l’adeguatezza del fornitore
Stessa trafila e stessa verifica che abbiamo visto per i termoscanner. 


Verifica anche se puoi cambiare le domande che vengono fatte nel questionario.
Perché ci sono dei sistemi in cui sono preimpostate delle domande fatte dal Marchese de Sade
Il Marchese de Sade fa le domande e tu sei obbligato a tenertele e i dipendenti a dare risposte a della roba che non c’entra praticamente nulla col GDPR, il Covid ed i protocolli di sicurezza. E magari queste risposte vengono salvate dentro il database. 
Non è detto che servano, non va bene e non è necessario!
Quindi, occhio agli strumenti che scegli per la riapertura.
Lo strumento ha il bollino? Dice di essere GDPR compliant?
Non fidarti! 
Scava e verifica effettivamente quali informazioni salva, dove, come e chi accede. 
È una cosa che va fatta sempre.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy