NEWS

L’emergenza da Coronavirus non legittima le imprese a fare controlli che potrebbero ledere la privacy degli individui

Durante l’ultima settimana c’è stata una corsa da parte delle aziende a svolgere controlli sui possibili contagi da Covid-19 dei propri dipendenti, fornitori, clienti e in generale dei visitatori delle loro sedi. In alcuni casi, i controlli hanno portato alla richiesta di informazioni su tutti gli spostamenti e i contatti e alla rilevazione della temperatura corporea di chiunque visiti uffici o sedi dell’impresa.

Sembra quasi che il management ritenga che l’attuale situazione di emergenza e i provvedimenti adottati dal Governo possano legittimare non solo le autorità pubbliche, ma qualsiasi privato a fare tutto il possibile per individuare i soggetti contagiati. Ma attenzione: non è così. E le aziende stesse - pur sottoposte a forti pressioni, come in questi giorni - devono tutelarsi per non compiere atti inutili e per non incorrere in sanzioni anche pesanti.

I limiti all’azione - I provvedimenti di emergenza adottati dal Governo per il coronavirus non legittimano i privati allo svolgimento di controlli indiscriminati che potrebbero essere invasivi della privacy degli individui. L’interesse pubblico che viene invocato non basta, ma richiede una norma di legge che espressamente autorizzi la raccolta e il trattamento dei dati, norma che è improbabile (e forse non auspicabile) venga mai adottata anche al di fuori dell’attuale situazione.

Il Regolamento privacy europeo (679/2016) ha introdotto sanzioni fino al 4% del fatturato aziendale mondiale o a 20 milioni di euro, a seconda di quale importo sia maggiore, per le violazioni del Gdpr. E non si deve pensare che in casi di emergenza (come l’attuale) una sanzione del Garante sia improbabile mentre è più importante tutelare la salute dei dipendenti. Non c’è dubbio che la salute sia un interesse primario e che il Garante non si è ancora pronunciato, ma – una volta che la situazione si sarà normalizzata –, potrebbe svolgere ispezioni ed emettere sanzioni. Quindi bisogna evitare rischi inutili. Niente “caccia al malato” tramite controlli effettuati spesso da persone senza alcuna qualifica medica. E attenzione ai controlli svolti all’ingresso delle sedi in modo che qualsiasi visitatore ne possa venire a conoscenza e senza dare indicazioni su cosa avvenga delle informazioni raccolte. Si tratta di dati personali e la semplice rilevazione della temperatura è un trattamento di dati personali, anche se non vengono annotati. Sono attività che devono conformarsi alla normativa sul trattamento dei dati personali che in primis prevede il principio di minimizzazione: solo i dati strettamente necessari possono essere trattati.

Le comunicazioni non “invasive” - Ma che cosa può fare allora un’azienda? Potrebbe evitare la raccolta dati con una comunicazione ai dipendenti, clienti e fornitori e un cartello all’ingresso dello stabile che vieti l’accesso a chi è stato nelle zone a rischio, a contatto con persone a rischio o abbia sintomi influenzali, febbre o tosse. E vero però che gli intervistati potrebbero mentire alle domande, così come la temperatura rilevata da persone non qualificate potrebbe non essere affidabile. Si potrebbero allora posizionare termometri all’ingresso dello stabile per consentire a coloro che entrano di rilevare da soli e in una zona non visibile da terzi la propria temperatura, con l’indicazione che se eccede un certo limite non potranno accedere all’edificio.

 

Se però il management delle imprese non si fida dell’autovalutazione degli individui, la normativa sul trattamento dei dati personali fornisce – in casi precisi e con limitazioni – gli strumenti che legittimano i controlli. Prima di raccogliere qualsiasi informazione e di svolgere controlli sullo stato di salute, gli individui devono ricevere un’informativa privacy che contenga tutte le informazioni richieste dal Regolamento privacy e che, quindi, illustri in dettaglio (tra l’altro) le modalità e finalità del trattamento, i tempi di conservazione dei dati e i soggetti a cui le informazioni saranno comunicate.

Inoltre le persone devono fornire il loro consenso esplicito che dovrà specificatamente far riferimento alle finalità e modalità del trattamento che dovranno essere comunque conformi al principio di minimizzazione. Ma anche con il consenso non sarà possibile creare schedari che ricostruiscano gli spostamenti di dipendenti, fornitori e clienti e le variazioni della loro temperatura corporea.

Il rispetto dei diritti sui dati personali deve essere una priorità anche in questa situazione di emergenza.

Fonte: Il Sole 24 Ore del 2 marzo 2020 - Articolo di Giulio Coraggio e Giampiero Falasca

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Il titolare del "codice sorgente" dell'algoritmo è controinteressato all'accesso agli atti concorsuali computerizzati
Next L'account di posta elettronica aziendale deve essere chiuso al termine del rapporto di lavoro

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy