• CM

GDPR e Business Continuity ai tempi del Coronavirus

In una situazione che vede ancora diverse incertezze, molte aziende hanno un obiettivo chiaro: cercare di mantenere l’operatività, nei limiti consentiti e/o consigliabili data la presenza del virus nel nostro territorio, per limitare i danni economici potenzialmente irreparabili.

Continuità aziendale. Tra le misure per proteggere il proprio personale molte aziende hanno implementato controlli per l’accesso ai locali, sia dei dipendenti che dei visitatori, con richieste di informazioni rispetto agli spostamenti e agli incontri dei giorni precedenti, oppure sullo stato di salute, e conseguenti limitazioni all’ingresso.


La posizione del Garante

Questo tipo di iniziative è stato commentato anche dal Garante, che il 2 marzo ha pubblicato “Coronavirus: Garante Privacy, no a iniziative ‘fai da te’ nella raccolta dei dati Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti” (disponibile qui).

In estrema sintesi, il Garante evidenzia come la normativa di urgenza imponga ai soggetti a rischio epidemiologico di comunicare le circostanze di tale rischio all’azienda sanitaria territoriale, che provvederà agli accertamenti e alle misure del caso. Nella visione del Garante, i datori di lavoro – sia pubblici che privati – devono astenersi da tali indagini in quanto la prevenzione della diffusione del coronavirus è affidata ai soggetti istituzionalmente deputati allo scopo. Il Garante evidenzia poi come sia obbligo del lavoratore segnalare al datore di lavoro eventuali rischi per la salute e la sicurezza sui luoghi di lavoro (inclusi quelli derivanti da possibili contagi).

La posizione primaria e incontrastata riservata alle autorità sanitarie e agli altri organismi istituzionali è assolutamente condivisibile. Mantenendo questa premessa era forse possibile fornire alle imprese qualche suggerimento costruttivo per rispondere ad una situazione di evidente, e fondata, preoccupazione.


Le tipologie di dati trattati e la base giuridica

Nel tipo di misure all’accesso ai locali accennate sopra vengono richieste due tipologie di dati personali: (i) dati personali ‘ordinari’, per esempio quelli relativi agli spostamenti; e (ii) dati personali ‘particolari’, come quelli relativi allo stato di salute proprio, o di persone vicine. I trattamenti di tutti i dati personali sono sottoposti al GDPR, ma nel caso di dati ‘sensibili’ come quelli medici/sanitari, accorgimenti ed obblighi si fanno più stringenti.

Una conseguenza pratica nel caso in esame: la raccolta e il trattamento delle informazioni sugli spostamenti di un soggetto (dipendente o mero visitatore), nella situazione particolare in cui ci troviamo, potrebbe considerarsi legittimata in considerazione di un interesse legittimo del titolare del trattamento (art. 3, comma 1, lett. f. GDPR), interesse che consiste nella protezione della continuità aziendale e della promozione di salute e sicurezza sul luogo di lavoro. In questo caso, non sarebbe richiesto un consenso dell’interessato (fermo che comunque un’informativa sul trattamento dei dati dovrebbe essere consegnata, in adempimento agli obblighi di trasparenza, artt. 12 e 13 GDPR). L’accentuarsi della situazione emergenziale rispetto al momento in cui il provvedimento del Garante è stato adottato, unitamente al DL approvato l’8 marzo con la classificazione quale ‘zona rossa’ dell’intera Lombardia e di diverse altre provincie di Piemonte, Emilia Romagna e Veneto potrebbero deporre per un maggior favore al titolare nella valutazione del suo interesse a proteggere la continuità aziendale.

Lo stesso non vale, e le maglie sono molto più strette, nel caso di raccolta e trattamento di dati di natura medica. Questo tipo di informazioni non possono essere trattate per ragioni di interesse del titolare del trattamento, ma richiedono il consenso dell’interessato o motivi di interesse pubblico. Nella maggior parte dei casi, i soggetti privati trattano questi dati basandosi sul consenso – anche se possono esserci condizioni di legittimità diverse.


Accorgimenti GDPR compliant?

Facciamo l’ipotesi che, per l’accesso ai locali, un addetto dell’azienda misuri la febbre di dipendenti e ospiti e chieda informazioni relative ai loro spostamenti e/o contatti con zone o persone a rischio, decidendo così se ammettere o meno la persona agli uffici. La temperatura viene comunicata solo al diretto interessato e nessuna di queste informazioni viene annotata.

Consideriamo l’art. 2, comma 1, GDPR, secondo cui “il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

Quello descritto sopra non rientrerebbe nella definizione di trattamento automatizzato (neppure parzialmente) e le informazioni non sono oggetto di alcuna archiviazione. Ci potremmo trovare in una fattispecie che ricade al di fuori dell’applicazione del GDPR. Rimane comunque che una gestione accurata di questa misura vorrebbe la previsione, per lo meno, di un incarico per l’addetto dell’azienda che valuta gli accessi, accompagnato da obblighi di confidenzialità e dagli altri necessari per non far scattare l’applicazione integrale del GDPR, per esempio quello di non registrare/archiviare con nessun mezzo le informazioni raccolte. Con alcuni accorgimenti, potrebbe quindi essere una modalità che permette alle aziende di trovare protezione nel rispetto della normativa sul trattamento dei dati.


In conclusione

Le misure per la business continuity adottate per la prevenzione di contagi da coronavirus sono le più varie e comprendono smartworking, presenze ridotte e/o alternate in azienda e altre. Non per tutte le realtà, però, il lavoro remoto è una possibilità. L’industria della trasformazione, ad esempio, non vede un’alternativa alla presenza fisica del personale negli stabilimenti. Per quanto censurabili sotto molti aspetti, le iniziative a volte un po’ spregiudicate prese da alcune imprese per la protezione dei propri dipendenti, e della propria operatività, sono comprensibili e forse un atteggiamento non di mera chiusura ma di direzione e supporto sarebbe stato più costruttivo, in una situazione in cui comunque diverse realtà preferiranno non rimanere ‘inerti’ o non limitarsi a richieste di collaborazione e assunzioni di responsabilità da parte di dipendenti e altri soggetti presso i locali aziendali.

0 visualizzazioni

Avv. Cosetta Masi

C.F. MSACTT84T56L840I - P.IVA 03766790244

PEC: cosetta.masi@ordineavvocativicenza.it

iscritta all'Albo tenuto dall'Ordine degli Avvocati di Vicenza

Domicilio Fiscale:

Via Zanella 58 - 36010 Monticello Conte Otto (VI)

© 2017/2019 by Cosetta Masi