Intervista a Roberto Giovanni Loche (Consulente, DPO, Privacy Specialist – RL Solutions)
Avevamo già intervistato Roberto Giovanni Loche per il Datasys Magazine nel 2018, quando era entrato in vigore il GDPR, il nuovo regolamento europeo sulla privacy. L’emergenza Covid-19 sembra ora rappresentare una sorta di gigantesco banco di prova per un quadro normativo che poneva delle regole molto stringenti in materia di rispetto della privacy dei cittadini e di trattamento dei dati personali. In che misura la situazione determinata dal Covid ha portato o potrebbe portare – temporaneamente – a un ripensamento delle regole in materia, o a variazioni nell’applicazione delle stesse? È auspicabile, o inevitabile, abbassare le pretese individuali alla privacy per ragioni contingenti di salute pubblica e di sicurezza?
Anche durante l’emergenza Covid-19, il rispetto delle norme sulle protezione dei dati personali resta un obbligo fondamentale per le Imprese. Data l’eccezionalità del momento, le regole del GDPR non solo non devono essere accantonate ma, anzi, la disciplina di protezione dei dati personali può essere, se utilizzata correttamente, uno strumento utile nell’azione di contrasto dell’epidemia.
Come ribadisce Antonello Soro, Presidente del Garante per la protezione dei dati personali, la privacy non è né un ostacolo all’efficace azione di prevenzione e contenimento del contagio né, tantomeno, un lusso cui, secondo taluni, si dovrebbe rinunciare in tempi di emergenza.
Si può e si deve tutelare al massimo grado l’incolumità individuale, senza per questo tradire i principi fondamentali, tra cui in primo luogo il necessario equilibrio tra interessi collettivi e libertà individuali.
La privacy e’ un diritto di libertà che, come ogni altro diritto fondamentale, soggetto a bilanciamento con altri beni giuridici, modula la sua intensità e il suo contenuto in ragione dello specifico contesto in cui si esercita.
L’emergenza deve poter contemplare ogni ragionevole deroga possibile purché non irreversibile; non dev’essere, in altri termini, un punto di non ritorno ma un momento in cui modulare prudentemente il rapporto tra norma ed eccezione.
La duttilità del diritto, la sua capacità di adeguarsi al contesto contemplando le deroghe necessarie e proporzionate alle specifiche esigenze, pur senza intaccare il “nucleo duro” dei diritti fondamentali, è la più grande forza della democrazia, che ci ha consentito di superare momenti drammatici.
In concreto, oggi, gli imprenditori e manager si trovano alle prese, in azienda, con complicati questioni relative alla sicurezza nei luoghi di lavoro, ma anche il tema della privacy può porre dei grattacapi non da poco. Quali sono gli errori, in materia, che in questo momento andrebbero assolutamente evitati?
L’aggiornamento del 24 aprile 2020 del protocollo condiviso del 14 aprile 2020, contiene le linee guida per agevolare le Aziende nell’attuare i protocolli di sicurezza anti contagio, a tutela di dipendenti, collaboratori, clienti, fornitori, e di tutti i soggetti che, per esigenze diverse, devono accedere ai locali aziendali.
Le aziende devono quindi pianificare e mettere in atto tutti i necessari protocolli, prestando nel contempo un’attenzione particolare alle norme sulla Privacy.
A tal riguardo di seguito di alcuni consigli:
Il Datore di Lavoro:
– DEVE fornire al dipendente e a chiunque entri in azienda apposita informativa in base all’articolo 13 GDPR 679/2016 specificando le finalità dei dati raccolti per l’emergenza Covid-19;
– DEVE attraverso le modalità più idonee ed efficaci, informare tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi documenti informativi che specificano le misure attivate per contenere COVID 19 e per corretto uso dei dispositivi di protezione individuale adottati;
– È AUTORIZZATO a sottoporre il personale, prima dell’accesso al luogo di lavoro al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro;
– È AUTORIZZATO a registrare solo il superamento della soglia di temperatura se ciò è necessario a documentare l’impedimento all’accesso in azienda;
– È AUTORIZZATO dal DPCM a richiedere un’autodichiarazione attestante il contatto o meno con persone positive al virus, la provenienza o meno da zone a rischio negli ultimi 14 giorni, di non avere sintomi sospetti e l’accettazione delle misure indicate nell’avviso informativo;
– DEVE individuare nel caso, soggetti preposti al trattamento (rilevazione temperatura), autorizzandoli e fornendo le istruzioni necessarie con incarico scritto ad hoc;
– NON È AUTORIZZATO a registrare il dato rilevato sulla temperatura;
– NON È AUTORIZZATO a fare direttamente test sierologici. Il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica;
– DEVE provvedere all’allontanamento dei dipendenti (o al loro momentaneo isolamento se questi sono già presenti in azienda) qualora si rilevi una temperatura superiore ai 37,5°C o quando si riscontri dall’autodichiarazione un rischio di contagio;
– DEVE assicurarsi che l’allontanamento o l’isolamento avvengano in modo discreto e con modalità che tutelino la privacy e la dignità del dipendente;
– DEVE, OVE FATTIBILE, favorire lo Smart Working per tutte quelle attività che possono essere svolte presso il domicilio del dipendente ed i sistemi di Videoconferenza.
Un caso specifico che pone seri problemi di gestione riguarda il caso di un lavoratore che risulta positivo al Covid o che è sospettato di avere il Covid perché ha più di 37,5°C nella misurazione della temperatura che viene effettuata all’ingresso degli uffici. Come bisogna comportarsi in questi casi per evitare di esporre all’attenzione altrui la persona in questione? Chi ha più di 37,5°C non può ovviamente accedere agli uffici, va isolato, ed è chiaro come gestire la situazione sul piano sanitario, ma dal punto di vista della privacy come va gestita? Come si può evitare la “mortificazione” o la “gogna” per la persona, di fronte ai colleghi?
Riscontrare che un lavoratore presenta uno dei sintomi di positività al virus Covid-19 obbliga il datore di lavoro a tenere alcune condotte, tese alla tutela della salute del singolo oltre che della collettività.
Al lavoratore che sta per accedere, ma con temperatura superiore ai 37,5°, occorre dare nell’immediatezza alcune informazioni corrette su come comportarsi.
È certamente vero che il lavoratore dovrebbe già conoscere le modalità comportamentali legate ad una tale circostanza, ma è conveniente che il personale addetto all’accesso sia in grado di gestire una situazione che potrebbe portare tensione ed avere un forte impatto emotivo.
Il personale addetto dovrà quindi essere istruito affinchè, sia in grado di comunicare al lavoratore le informazioni necessarie, ricordandogli di non andare al Pronto Soccorso e di contattare nel più breve tempo possibile il proprio medico curante.
In caso di allontanamento del lavoratore o di isolamento momentaneo dovuto al superamento della soglia di temperatura, l’azienda dovrà assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore.
Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19.
A due anni dall’entrata in vigore del GDPR, e al di là dell’emergenza Covid (che a un certo punto finirà…), quale bilancio possiamo fare dal punto di vista dell’impatto “culturale” nelle aziende e tra le persone? Quanto e come è cambiata la percezione del concetto di privacy?
Trascorsi quasi due anni in Italia il trend tema di adeguamento alla normativa sembra positivo, con una crescita di maturità, in termini di concretezza dei progetti.
La complessità della materia e l’emergenza sanitaria che stiamo vivendo richiedono comunque continui sforzi da parte delle Aziende, necessari per adeguarsi alle linee guida della normativa in materia di protezione dei dati personali e per rispondere alle misure contenute nei protocolli anti contagio che interessano la privacy.
Dallo Studio condotto dall’Osservatorio Cyber Security & Data Protection, si
si evince che molte aziende italiane hanno messo in atto o perfezionato progetti di adeguamento al GDPR.
Più della metà delle organizzazioni si è dichiarata conforme ai requisiti previsti dalla normativa e, allo stesso tempo, è diminuito il numero di aziende che si dichiara poco consapevole sulle implicazioni del GDPR.
Un altro segnale positivo della maturità e della consapevolezza sul GDPR in Italia è la bassa percentuale di aziende che si trovano ancora nella fase di analisi dei requisiti previsti e di definizione di piani di adeguamento.
Se è vero che il quadro sullo stato di adeguamento al GDPR italiano è generalmente positivo, è anche vero che l’attenzione deve ancora spostarsi soprattutto su attività specifiche come l’audit periodico, l’aggiornamento delle procedure e delle tecnologie di sicurezza e protezione dati.
Inoltre molte aziende registrano ancora difficoltà dal punto di vista organizzativo, per esempio nell’individuazione dei ruoli e delle responsabilità in azienda, mentre altre segnalano rallentamenti nelle attività quotidiane.
Tuttavia, questi elementi negativi sono di poco conto rispetto ad uno scenario dove emerge che molte imprese italiane si stanno mostrando non solo orientate ad affrontare le sfide in materia di data protection, ma anche consapevoli dell’importanza della tematica.