La protezione dei dati personali al tempo del Coronavirus
La PA digitale alle prese con le implicazioni privacy legate alla gestione dell’emergenza epidemiologica da COVID-19.
A chi di voi — al momento di entrare in un ufficio pubblico o in un’azienda — non è capitato di dover compilare un questionario volto alla raccolta di informazioni sui luoghi visitati di recente o su eventuali contatti con persone rientrate da zone a rischio per il Coronavirus?
Molto spesso però su quei moduli non era presente alcuna informativa in ordine al trattamento di quei dati, in cui (tra le altre cose) avrebbero dovuto essere chiarite le modalità e i tempi di conservazione delle informazioni raccolte dall’Ente.
È solo uno degli esempi legati alle nuove questioni che l’emergenza epidemiologica legata al Covid-19 pone in relazione alla protezione dei dati personali di visitatori, dipendenti e utenti delle pubbliche amministrazioni.
Di seguito proviamo ad esaminare alcune delle maggiori criticità che le amministrazioni si trovano ad affrontare.
È legittima la raccolta sistematica di dati personali dei lavoratori in tempo di Corona virus?
Con una recente nota, il Garante Privacy si è espresso negativamente alle cosiddette iniziative “fai da te” organizzate dai datori di lavoro volte a ottenere dichiarazioni “anti-coronavirus” da dipendenti e visitatori. Le numerose copie da compilare ai desk d’ingresso delle diverse strutture venivano giustificate, a vario titolo dai titolari del trattamento, quali misure volte a prevenire il contagio.
Ebbene, il Garante ha precisato che la finalità di prevenzione dalla diffusione del Coronavirus deve essere svolta da soggetti che esercitano tali funzioni in modo qualificato e che, pertanto, risultano gli unici titolati alla raccolta di informazioni relative ai sintomi tipici del virus e alle informazioni sugli spostamenti di ogni individuo.
Di conseguenza, l’Autorità ha invitato i datori di lavoro (anche pubblici) ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti astenendosi dal raccogliere — in maniera generalizzata e sistematica — dati sulla presenza di sintomi influenzali dei lavoratori e dei contatti rientranti nella sfera extra lavorativa qualora non siano previste a livello normativo (ad esempio, ai sensi dell’art. 20 D. Lgs. n. 81/2008) o disposte dagli organi competenti.
Ne deriva, quindi, che il datore dovrà limitarsi al suo ruolo senza sostituirsi alle figure deputate a effettuare le raccolte sopra esposte.
Quali sono le implicazioni privacy dello smart working?
Nelle ultime settimane, l’emergenza ha costretto le amministrazioni (e i loro dipendenti) a sperimentare lo smart working (o lavoro agile) che — nonostante recenti interventi normativi — non aveva sin qui avuto grande fortuna.
Le misure urgenti del Governo e del Ministro per la pubblica amministrazione hanno incentivato il ricorso al lavoro agile, imponendo agli enti di affrontare e risolvere le criticità non solo tecnologiche e organizzative, ma anche giuridiche sottese a tale cambiamento dell’organizzazione del lavoro.
In particolare, il ricorso sempre più sistematico alle modalità di lavoro agile presenta rilevanti implicazioni in materia di trattamento dei dati personali che devono essere attentamente valutate dalle figure competenti (non solo titolare e DPO, ma anche dal RTD, figura cui — come noto — compete il governo della sicurezza informatica dell’amministrazione).
Contrariamente a quanto in molti credono, non è sufficiente comunicare al lavoratore che da un certo periodo è abilitato a svolgere smart working preoccupandosi unicamente di allegare l’informativa sulla salute e sicurezza nel lavoro agile messa a disposizione dall’INAIL.
Il massiccio ricorso al lavoro agile deve, innanzitutto, determinare il titolare del trattamento ad aggiornare la valutazione del rischio legata all’accesso a dati e applicazioni attraverso dispositivi personali del lavoratore. Questa valutazione risulta indispensabile per verificare se le misure di sicurezza tecnologiche già implementate siano adeguate oppure se si rende necessaria una loro integrazione.
Inoltre, il datore di lavoro dovrà indicare al dipendente una serie di precauzioni da adottare e di prescrizioni da rispettare nello svolgimento delle attività lavorative secondo la modalità smart.
Tra queste si collocano certamente la raccomandazione circa l’utilizzo degli archivi messi a disposizione dal titolare vietando qualsiasi tipo di salvataggio di documenti sul dispositivo personale nonché il divieto di memorizzazione delle password di accesso alle risorse istituzionali sulle postazioni personali o ancora la previsione del blocco della postazione in caso di assenza, seppur temporanea.
Dedicare attenzione e affrontare in modo sistematico questi profili non solo è doveroso in base al GDPR, ma è indispensabile se si vuole evitare di far fronte anche ad altre emergenze (come quelle che potrebbero derivare da data breach sui dati degli utenti).
Se volete ricevere le nostre segnalazioni e i nostri approfondimenti, potete iscrivervi alla nostra newsletter (che inviamo ogni martedì), al nostro canale Telegram oppure potete seguirci su LinkedIN.
