COVID 19 e GDPR: come ripartire in azienda

COVID 19 e GDPR: come ripartire in azienda

Nulla, almeno per il momento, è tornato come prima.

Con il tempo, le domande relative a quando e come sarebbe stato il ritorno alla normalità sono state sostituite da continue indicazioni per accettare e convivere con questa situazione.

L’avvento del Covid-19 ha improvvisamente cambiato il contesto e le dinamiche, in ogni ambito e in ogni angolo del mondo, stravolgendo logiche, abitudini e aspettative.

Non fa eccezione il GDPR, coinvolto nella fase 2 da deroghe speciali per salvaguardare la salute e l’incolumità pubblica.

Come cambia la data protection durante la fase 2?

Una tra le principali e più evidenti novità è rappresentata dall’obbligo da parte dell’organizzazione di informare sulla prassi anti-contagio tutte le persone che entrano in azienda.

E’ sufficiente affiggere cartelli contenenti le disposizioni adottate delle indicazioni del protocollo:

  • Mantenere la distanza di sicurezza;
  • Igienizzare le mani;
  • Sanificare e tenere pulito l’ambiente di lavoro;
  • Rimanere a casa in caso di febbre o sintomi influenzali;
  • Informare il datore di lavoro di eventuali condizioni di potenziale pericolo;
  • Le persone risultate positive al Covid, abbiano ricevuto doppio esito negativo del tampone prima di rientrare in azienda.

GDPR e Covid-19: le novità per il datore di lavoro

Il principio guida degli adempimenti del datore di lavoro durante la fase 2 è la privacy by design che permette di definire processi ad hoc per gestire il trattamento dei dati sanitari.

Questo trattamento rappresenta una deroga rispetto al divieto di trattamento di categorie particolari di dati personali, ma come ha spiegato l’EDPB “l’emergenza sanitaria è una condizione che può legittimare limitazioni delle libertà”.

Nella rilevazione della temperatura corporea non si dovranno registrare i dati se la temperatura è inferiore a 37,5°.
In caso contrario, si procederà con l’identificazione e all’isolamento momentaneo con l’organizzazione che dovrà assicurare riservatezza della comunicazione, riservatezza e dignità del dipendente.

L’organizzazione dovrà fornire all’interessato l’informativa contenente:

  • La finalità del trattamento (prevenzione del contagio da Covid-19);
  • Base giuridica (consenso/DPCM);
  • Termine di conservazione dei dati (fine dello stato di emergenza).

Con la raccolta dei dati personali sarà necessario aggiornare la valutazione di impatto che dovrà tenere in considerazione la particolarità dei dati.

Va ricordato che i dati non vanno diffusi o comunicati a terzi parti, salvo precise indicazioni o normative. Vanno inoltre raccolti solamente i dati adeguati, pertinenti e necessari per la prevenzione del contagio da Covid-19.

Il datore di lavoro può effettuare test sierologici?

Tra i numerosi dubbi suscitati da queste nuove dispositive, senza dubbio va menzionato quello relativo al test sierologico: il datore di lavoro può effettuarli direttamente ai dipendenti?

Il Garante ha risposto a questa domanda nella sezione FAQ del sito www.garanteprivacy.it:

il datore di lavoro può richiedere di effettuare il test sierologico solo se disposto dal medico competente o professionista sanitario. Solo il medico del lavoro può stabilire la necessità di particolari esami clinici e biologici e l’adozione di mezzi diagnostici per contenere il contagio.

GDPR e Covid: le novità per il medico competente

Il medico competente in questo contesto può assumere il ruolo di responsabile del trattamento o soggetto autorizzato se il medico è dipendente dell’azienda.

Se, come spesso accade, il medico è una figura esterna, il datore di lavoro dovrà formalizzare la nomina con un contratto di affidamento contenente la materia, la durata, la natura, la finalità, il tipo di dati, la categoria degli interessati, gli obblighi e i diritti.

Il datore di lavoro deve garantire le condizioni necessarie per lo svolgimento dei compiti, mentre il medico competente deve effettuare in sicurezza il trattamento dei dati contenuti nelle cartelle sanitarie.

La lettura di queste cartelle è preclusa anche al datore di lavoro, che deve solamente conoscere la valutazione finale per adottare le misure protettive e preventive per i lavoratori.

L’unica eccezione è rappresentata da una vera e propria novità che obbliga il medico a segnalare all’organizzazione situazioni di particolare fragilità, patologie attuali o pregresse dei dipendenti.

In virtù di questa modifica, il medico diventa anche contitolare del trattamento dei dati personali perché deve coinvolgere il datore di lavoro nel trattamento di un dipendente positivo o potenzialmente positivo per ragioni di sorveglianza sanitaria e prevenzione del contagio.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.