Chiuso il momento di massima emergenza e trascorse le ferie, tutte le aziende si trovano a dover gestire i protocolli di sicurezza: termoscanner, gel, allontanamenti, igienizzazioni sono entrati nel linguaggio comune. Tutto accompagnato da una buona dose di autocertificazioni che, da marzo, sono entrate prepotentemente nel nostro lessico comune.
Gestire queste informazioni e questi dati non può che chiamare in causa il GDPR, il regolamento europeo che disciplina il trattamento di dati personali. Occorrerà dunque sempre bilanciare l’esigenza dettate dalla sicurezza aziendale e sanitaria con quelle legate al mondo della privacy.
Ma come fare, come si stanno muovendo le aziende? Fondamentalmente in ordine sparso: semplice autocertificazione (non provengo da Codogno o dalla Cina, si perché i modelli spesso sono quelli realizzati a febbraio 2020); misurazione della temperatura corporea, con o senza registrazione su elenchi; compilazione di lunghe checklist in cui vengono richiesti una grande quantità di dati personali; fino ad arrivare a nessuna misura di sicurezza.
Il principio che sottende queste operazioni è uno: impedire ad un soggetto con sintomi di entrare in azienda evitando dunque un possibile contagio. Le metodologie per raggiungere tale risultato, come abbiamo appena visto, sono svariate. Ma la privacy?
Il GDPR ha sancito un diritto che tutti, in qualunque situazione, devono rispettare: la minimizzazione. Occorre richiedere e dunque trattare il minor numero possibile di dati personali. La domanda a cui le aziende devono rispondere è la seguente: quali dati mi sono indispensabili per impedire il contagio tra i miei dipendenti? Quali dati sono indispensabili per ricostruire la filiera di un contagio?
Due semplici domande a cui ognuno risponde a suo modo. Proviamo a fare chiarezza.
Alla prima domanda la risposta è semplice: NESSUN DATO.
È inutile riempire l’archivio di autocertificazioni o annotare la temperatura corporea di tutti i passanti (tra l’altro dato di tipo particolare): se un soggetto ha una temperatura superiore alla soglia dei 37,5° semplicemente viene allontanato. Se è un dipendente dovrà immediatamente mettersi in contatto col proprio medico che attiverà i protocolli di sicurezza e di contenimento del contagio.
Se invece si opta per non procedere alla misurazione della temperatura corporea sarà sufficiente predisporre un’informativa (non privacy questa volta) da apporre all’entrata in cui raccomandare che, in presenza di sintomi (che conosciamo ormai tutti benissimo) vige il divieto d’accesso e conseguente allontanamento dai locali aziendali. A questo punto sono due gli scenari possibili: il soggetto è consapevole di avere dei sintomi e si allontana; il soggetto non è consapevole ed entra. L’autocertificazione sarebbe comunque inutile, il soggetto dichiarerebbe che non li presenta.
Ma così facendo sono esposto in caso di asintomatici o di soggetti successivamente risultati positivi? Fondamentalmente lo siamo tutti, in ogni contesto. Ma non è l’azienda che deve ricostruire la filiera del contagio. Se il soggetto risulterà positivo o asintomatico sarà la ASL di riferimento e/o il dipartimento di igiene pubblica a ricostruire la filiera dei suoi contatti, andando a identificare le persone con cui è entrato in contatto (se esterno) o con chi ha lavorato (se interno).
Raccogliere quindi grandi quantità di dati personali non sempre è utile: inutile chiedere al consulente esterno se sua madre è risultata positiva al COVID (se così fosse non potrebbe comunque andare in giro senza un accertamento), più utile contenere il numero dei suoi contatti in azienda, riducendoli al minimo indispensabile. Uno spreco richiedere se è transitato da Codogno o dalla Cina, più utile probabilmente registrare il suo ingresso in azienda (il registro degli ingressi fa egregiamente questo lavoro) e tracciare le persone con cui è entrato in contatto. Pochi dati ma indispensabili (principio di minimizzazione): nome, cognome, data e ora di ingresso e di uscita, persone con cui è entrato in contatto.
Chiaramente occorre valutare attentamente in base alla struttura aziendale, alle caratteristiche e alle tipologia di soggetti (interni e esterni) che orbitano intorno all’azienda stessa, le misure di sicurezza da adottare in accordo con il consulente a ciò deputato e all’RSPP e, insieme al consulente privacy (ebbene si, ne serve assolutamente uno), la tipologia di dati che possono essere richiesti, come richiederli (quale base giuridica applicare), come trattarli e per quanto tempo e quali documenti produrre (informative – questa volta privacy, registro dei trattamenti, etc.).
L’obiettivo sarà sempre quello di raccogliere il minor numero di dati personali possibile assolvendo sempre ai protocolli di sicurezza. Bastano poche attenzioni per assolvere a tutti i DPCM senza per questo violare il GDPR.