Coronavirus e privacy in ambito lavorativo, ma non solo: le indicazioni del Comitato europeo. Nella Dichiarazione sul trattamento dei dati personali nel contesto dell'epidemia di COVID-19 pubblicata il 20 marzo, domande e risposte sull'utilizzo dei dati durante il periodo dell'emergenza sanitaria.
Coronavirus e privacy in ambito lavorativo, ma non solo: le indicazioni del Comitato Europeo per la protezione dei dati personali sulle regole condivise a livello europeo.
Non ostacolare le misure di contrasto al virus e allo stesso tempo ribadire l’importanza della tutela della privacy: questo l’obiettivo duplice della Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 pubblicata il 20 marzo dall’Autorità Garante.
Nel testo si legge:
“Il Comitato europeo per la protezione dei dati desidera comunque sottolineare che, anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati. Occorre pertanto tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile”.
Con un format di domande e risposte, le istruzioni sull’utilizzo dei dati in questo periodo di emergenza sanitaria.
In generale, anche in tempo di crisi epidemiologica, valgono le regole alla base del trattamento dei dati personali:
- le finalità devono essere specifiche ed esplicite;
- gli interessati devono ricevere informazioni trasparenti sulle attività di trattamento svolte, sul periodo di conservazione dei dati raccolti e le finalità del trattamento.
- le informazioni devono essere facilmente accessibili e comprensibili.
- Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 - Comitato europeo per la protezione dei dati
- Comitato europeo per la protezione dei dati-EDPB - Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19.
Coronavirus e privacy, sul fronte lavoro ma non solo: le indicazioni del Garante
La dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, pubblicata dal Garante per la privacy il 20 marzo, si concentra in particolar modo in due direzioni:
- ambito lavorativo;
- utilizzo dei dati di localizzazione da dispositivi mobili.
In particolar modo sul fronte lavorativo, il documento parte dalla premessa che il trattamento dei dati personali possa anche essere necessario per alcuni obblighi a cui è sottoposto il datore di lavoro, in materia di salute e sicurezza sul luogo di lavoro o per la stessa adozione di misure di contenimento del contagio.
Con la modalità del botta e risposta, il documento chiarisce cosa può e non può chiedere il datore di lavoro ai suoi dipendenti.
In linea generale i datori di lavoro possono ottenere informazioni personali solo per adempiere ai loro obblighi e per organizzare le attività lavorative.
In particolare sono autorizzati a effettuare controlli medici solo se la pratica è prevista dalle norme nazionali.
In questo senso, in Italia, il 14 marzo è stato siglato il protocollo condiviso di regolamentazione per il contenimento della diffusione del Covid 19 siglato che stabilisce la necessità di sottoporre il personale al controllo della temperatura corporea all’ingresso in azienda.
Ma allo stesso tempo chiarisce:
“La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente”.
Nel testo, infatti, per i datori di lavoro si riportano tutte le istruzioni per agire nel rispetto della tutela dei dati personali: in primis è necessario fornire ai dipendenti una informativa ad hoc.
Infine, la dichiarazione adottata a livello europeo fornisce un’altra risposta a una domanda chiave: il datore di lavoro può informare colleghi o soggetti esterni del fatto che un dipendente è affetto dal COVID-19?
“I datori di lavoro dovrebbero informare il personale sui casi di COVID-19 e adottare misure di protezione, ma non dovrebbero comunicare più informazioni del necessario. Qualora occorra indicare il nome del dipendente o dei dipendenti che hanno contratto il virus (ad esempio, in un contesto di prevenzione) e il diritto nazionale lo consenta, i dipendenti interessati ne sono informati in anticipo tutelando la loro dignità e integrità”.
Coronavirus e privacy: i chiarimenti sull’utilizzo dei dati di localizzazione da dispositivi mobili
Per quanto riguarda l’utilizzo dei dati di localizzazione da dispositivi mobili, come smartphone e tablet, la dichiarazione chiarisce che le autorità pubbliche potrebbero e dovrebbero trattare i dati relativi alla localizzazione esclusivamente in modo anonimo.
Sarebbe questo l’unico modo per la localizzazione da dispositivi mobili con l’obiettivo di monitorare, contenere o attenuare la diffusione del COVID-19.
Non si applicano, infatti, le norme in materia di protezione dei dati personali se le informazioni vengono anonimizzate e quindi non sono riconducibili agli interessati.
In tutti gli altri casi il Comitato Europeo per la protezione dei dati raccomanda:
“Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale”.
L’indicazione per i governi è quella di adottare soluzioni poco intrusive e proporzionate gli obiettivi.
Diversamente sono necessari controlli rafforzati e garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati.
Articolo originale pubblicato su Informazione Fiscale qui: Coronavirus e privacy sul fronte lavoro ma non solo: le indicazioni del Comitato UE