Privacy e Covid-19: come trovarsi pronti per la ripartenza!
Facciamo il punto della situazione in merito alla disciplina del trattamento dati personali.
Si vede, forse, qualche speranza per un ritorno “controllato” allo svolgimento delle ordinarie attività imprenditoriali. Dopo il 3 maggio le imprese sperano di poter ricominciare il proprio business. Ma cosa è cambiato per le attività di trattamento dati personali?
Gli impatti sono molteplici, ma nella sostanza, i provvedimenti d’urgenza emanati in questi mesi hanno esclusivamente previsto delle deroghe per il trattamento dei dati sanitari da parte del personale della protezione civile e la condivisione dei dati dei contagiati tra le varie strutture ospedaliere.
Come già ribadito dal Garante con proprio parere del 2 febbraio 2020: “alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti”.
Pertanto, le deroghe cesseranno di avere efficacia al termine dell’attuale stato di emergenza, e soprattutto, sono state previste per una cerchia limitata di soggetti: Protezione Civile e strutture ospedaliere.
Con riferimento alle possibili attività di misurazione della temperatura dei propri dipendenti, o dei visitatori dei propri uffici, l’Autorità è stata chiara: I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.
L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.
Dunque, anche nell’attuale periodo emergenziale sono vietati tali tipologie controlli; la nota del 2 marzo fuga ogni dubbio.
È stata paventata la possibilità di iniziare attività di tracciamento e controllo delle attività dei cittadini, tuttavia, si tratta ancora di ipotesi in fase di studio, nulla di certo.
Il Garante ha ribadito che: “La disciplina di protezione dei dati coniuga esigenze di sanità pubblica e libertà individuale, con garanzie di correttezza e proporzionalità del trattamento. Ma una misura quale il contact tracing, che incide su un numero elevatissimo di persone, ha bisogno di una previsione normativa conforme a questi principi. Un decreto-legge potrebbe coniugare tempestività della misura e partecipazione parlamentare. Va da sé che la durata deve essere strettamente collegata al perdurare dell’emergenza”.
In Lombardia sono stati utilizzati unicamente dati anonimi ed aggregati. Il GDPR e il Codice Privacy non trovano, quindi, nessuna applicazione.
Cosa è cambiato allora?
Le novità più significative sono state introdotte in tema di smart working e proseguimento delle attività didattiche con l’utilizzo di piattaforme che consentano la didattica a distanza.
Si tratta di novità organizzative con un forte impatto nella piccola e media impresa e in qualsiasi istituto scolastico. Non tutte le imprese erano pronte per il lavoro “da remoto” e dotate di idonei strumenti.
L’art. 2 DPC 25 febbraio 2020 dispone, infatti, l’applicazione automatica senza necessità di accordi individuali del c.d. “Smart Working”.
Alla luce della precedente disposizione le attività da porre in essere per garantire il rispetto della normativa vigente in materia di privacy e trattamento dati personali sono molteplici.
Preliminarmente sarà sempre necessario dotarsi di una Policy specifica per disciplinare lo smart working e condividere le medesime regole di condotta con tutti i dipendenti. Alcune banali norme da seguire potranno essere:
– connettersi alla rete aziendale sono tramite reti sicure;
– utilizzare solo i devices forniti dall’azienda, salvo specifiche autorizzazioni;
– utilizzare unicamente i software forniti dall’azienda;
– utilizzare sistemi di autenticazione specifici.
Il controllo periodico dei devices affidati al dipendente è permesso ma questo non deve arrivare al monitoraggio regolare e sistematico della prestazione lavorativa.
Nei prossimi mesi, pertanto, sarà necessario adeguarsi alle nuove modalità di svolgimento della prestazione lavorativa che viene caldamente consigliata per evitare possibili ulteriori contagi, anche durante la c.d. “Fase 2”.
Per quanto riguarda le piattaforme di e-learning si tratta, concretamente, di strumenti che permettono lo svolgimento delle lezioni da remoto e quindi non vengono acquisiti e trattati dati personali se non quanto condiviso dall’Utente utilizzatore.
Si tratta di applicativi, e quindi di programmi (strumenti), che autonomamente non trattano dati personali. Si limitano ad eseguire quanto richiesto dall’Utente.
Non vi è l’esigenza di richiedere alcuna liberatoria, o autorizzazione, all’acquisizione delle immagini se le lezioni non vengono registrare degli studenti e dei docenti coinvolti.
Nel caso contrario, sarà necessario acquisire il consenso dei docenti interessati a questa attività con annessa liberatoria per le videoriprese e di chi intervenga durante le lezioni.
Per converso, non sarà possibile evitare che i gli studenti possano registrare le lezioni autonomamente e farne un utilizzo improprio, come gli insegnanti stessi.
In questo caso tutto è demandato al singolo Utente utilizzatore e alla sua civiltà ed educazione.
Suggeriamo di svolgere le lezioni in ambiente neutro in modo da non permettere la visione dell’ambiente circostante. Vi sono dei filtri appositi che non permettono di vedere lo sfondo dietro al soggetto ripreso.
Prima di iniziare a riprendere, con cautela, le proprie ordinarie attività consigliamo, quindi, di verificare e fare il punto della situazione di quanto adottato dalla propria organizzazione in materia di privacy e trattamento dati personali per non farsi cogliere impreparati!