Dallo scorso 18 maggio può ripartire la maggior parte delle attività economiche e produttive sino ad oggi sospese. La ripresa delle attività dovrà avvenire nel rispetto delle Linee Guida per il contenimento del contagio formulate in maniera condivisa dalle regioni.
Alcune delle misure indicate nelle Linee Guida comportano il trattamento da parte degli esercenti di dati personali dei propri clienti e dunque la necessità di porre in essere gli adempimenti richiesti dalla normativa in materia di protezione dei dati personali, sebbene nel testo non se ne parli. Vediamo nel dettaglio quali sono questi adempimenti.
Le schede tecniche previste dalle Linee Guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome
I presidenti delle regioni hanno elaborato un testo unitario, le Linee Guida, il cui rispetto costituisce la condizione per poter riaprire le attività economiche previste, secondo quanto disposto dal DPCM del 17.5.2020 (che lo riporta all’allegato l7)[1].
Dette Linee Guida contengono delle schede tecniche con indirizzi operativi specifici validi per i singoli settori di attività in cui, in particolare, sono integrate le diverse misure di prevenzione e contenimento riconosciute a livello scientifico per contrastare la diffusione del contagio.
Le indicazioni presenti si pongono in continuità con quelle di livello nazionale previste dal protocollo condiviso tra le parti sociali del 14.3.2020, modificato il 24.4.2020, recepito dal DPCM del 26.4.2020 e già in uso per le attività economiche e produttive ripartite nelle scorse settimane o mai sospese.
Nel documento si raccomanda di adattare le indicazioni operative a ogni singola organizzazione, individuando le misure più efficaci e opportune in relazione al contesto locale.
I principali settori di attività considerati nelle schede tecniche sono:
- ristorazione
- attività turistiche (stabilimenti balneari e spiagge)
- strutture ricettive
- servizi alla persona (parrucchieri ed estetisti)
- commercio al dettaglio
- commercio al dettaglio su aree pubbliche (mercati, fiere e mercatini degli hobbisti)
- uffici aperti al pubblico (uffici pubblici e privati, studi professionali, servizi amministrativi)
- piscine
- palestre
- manutenzione del verde
- musei archivi e biblioteche
Ciascuna scheda tecnica prevede una serie di misure specifiche per il settore, ma in questa sede analizzeremo soltanto quelle che comportano un trattamento dei dati personali e che sono comuni a più attività.
Le misure che comportano un trattamento di dati personali
A differenza del Protocollo nazionale condiviso del 14.3.2020 – 24.4.2020, nelle Linee Guida non si fa alcun cenno alla circostanza che l’applicazione di alcune misure anti contagio implica il trattamento di dati personali, e non si dà dunque alcuna indicazione al riguardo a favore dei titolari che dovranno mettere in pratica tali misure.
Ci si limita ad affermare che occorre predisporre un’adeguata informazione sulle misure di prevenzione, comprensibile anche per i clienti di altra nazionalità, ma nessun riferimento ai dati personali.
Le misure in questione sono:
a) rilevazione della temperatura corporea, con divieto di accesso in caso di temperatura superiore ai 37,5°C.
Questa misura è prevista in via facoltativa per tutte le attività economiche sopra ricordate (salvo il commercio al dettaglio su aree pubbliche e manutenzione del verde per le quali non è prevista).
b) raccolta della lista dei clienti e conservazione dello stesso per un periodo di 14 giorni.
In particolare
– per le attività di servizi alla persona (acconciatori ed estetisti) la prenotazione è obbligatoria e la lista va mantenuta per 14 giorni;
– le palestre dovranno redigere un programma delle attività il più possibile pianificato (es. con prenotazione) per regolamentare gli accessi, mantenendo la lista delle presenze per 14 giorni;
– per le attività di stabilimenti balneari e spiagge e per le piscine la prenotazione non è obbligatoria ma deve essere privilegiata e occorre mantenere la lista delle presenze per 14 giorni;
– per le attività di ristorazione è richiesto di privilegiare l’accesso tramite prenotazione e di mantenere per 14 giorni la lista di coloro che hanno prenotato[2].
Dall’applicazione di tali misure consegue naturalmente il trattamento di dati personali e la necessità di predisporre i relativi adempimenti.
Adempimenti necessari per il trattamento dei dati personali
Nel ribadire che le Linee Guida regionali nulla prevedono al riguardo, occorre innanzitutto individuare quali dati personali potranno essere trattati.
Per quanto concerne la rilevazione della temperatura, in linea con quanto previsto dal Protocollo nazionale condiviso per il contrasto del virus negli ambienti di lavoro, di cui abbiamo già detto, il dato non dovrà essere registrato. In caso di temperatura corporea superiore a 37,5° al cliente verrà semplicemente impedito di entrare.
Con riferimento alla lista dei clienti, il titolare dovrà rispettare il principio di minimizzazione e dunque raccogliere soltanto i dati necessari ad identificare i clienti nel caso in cui debba partire la ricostruzione della filiera dei contatti di un contagiato, ovvero i dati anagrafici (nome, cognome, indirizzo) e numero di telefono e/o indirizzo email se la prenotazione avviene via web.
a) Informativa
Innanzitutto ciascun esercente dovrà rendere disponibile ai propri clienti un’informativa sul trattamento dei dati personali, in cui dovrà indicare:
– i dati del titolare del trattamento (se persona giuridica, la denominazione di questa)
– quali sono i dati trattati: temperatura corporea e/o dati anagrafici e di contatto
– la finalità del trattamento: il contenimento del contagio da Covid-19 e l’implementazione delle misure contenute nelle Linee Guida regionali recepite nel DPCM 17.5.2020
– le basi giuridiche del trattamento: l’art. 6, pgf, 1 lett. c) del Regolamento (adempimento di un obbligo legale) per i dati comuni (dati identificativi e di contatto) e per il trattamento del dato relativo alla temperatura corporea l’art. 9, pgf. 2, lett. b), se vi sono dipendenti, (in quanto necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento in materia di diritto del lavoro e della sicurezza e protezione sociale) e art. 9, pgf. 2, lett. g) del Regolamento (per motivi di interesse pubblico rilevante).
– chi sono i terzi destinatari dei dati: enti o autorità a cui sia obbligatorio comunicarli in forza di disposizioni di legge o di ordini delle autorità, in particolare autorità sanitarie per la ricostruzione della filiera di eventuali contatti stretti di un soggetto positivo al Covid-19.
– i tempi di conservazione dei dati: in caso della lista dei clienti 14 giorni dall’accesso ai locali, la temperatura corporea invece non verrà conservata.
– i diritti esercitabili dagli interessati: il diritto di accesso, il diritto di rettifica, di cancellazione o di limitazione nei casi previsti dagli artt. 17 e 18 del Regolamento e la possibilità di proporre reclamo al Garante in caso di sospetta violazione.
L’informativa potrà essere affissa, ben visibile, sulla porta d’ingresso e anche all’interno dei locali.
È consigliabile inoltre pubblicarla anche sul sito web, se presente.
In caso di prenotazione a mezzo email l’informativa andrà inviata insieme alla conferma della prenotazione, in caso di contatto telefonico, invece, andrà anticipata a voce.
b) Lettere di autorizzazione al trattamento
Ciascun esercente dovrà autorizzare i propri dipendenti che eseguiranno le operazioni di trattamento.
Anche se non richiesto dalla normativa, in un’ottica di accountability, sarà opportuno predisporre delle specifiche lettere di autorizzazione al trattamento in cui fornire le opportune istruzioni per svolgere le singole operazioni di trattamento.
In particolare, ferme restando le eventuali istruzioni già precedentemente impartite, dovrà fornire almeno le seguenti indicazioni (i) rispettare il principio di pertinenza e non eccedenza rispetto alle finalità del trattamento, con accesso ai soli dati personali la cui conoscenza sia strettamente indispensabile per adempiere i compiti affidati; (ii) accertarsi che i dati siano esatti ed aggiornati; (iii) garantire il rispetto della riservatezza e della dignità delle persone nel procedere alla rilevazione della temperatura corporea; (iv) raccogliere soltanto i dati necessari a raggiungere le finalità dello specifico trattamento, e dunque i soli dati anagrafici e di contatto; (v) accertarsi che il cliente abbia ricevuto l’informativa sul trattamento dei dati personali; (vi) astenersi dal comunicare i dati a terzi, anche se colleghi, senza l’autorizzazione del titolare; (vii) garantire la massima riservatezza in tutte le operazioni di trattamento affidate.
c) Misure di sicurezza
Oltre alla predisposizione delle lettere di autorizzazione, l’esercente dovrà porre in essere altre misure organizzative e tecniche adeguate a garantire la sicurezza dei dati personali raccolti, sotto il profilo della confidenzialità, dell’integrità e della disponibilità.
Per quanto concerne la rilevazione della temperatura, in assenza di registrazioni, sarà sufficiente seguire le indicazioni dei protocolli nazionali e regionali per la corretta misurazione e garantire la riservatezza dei soggetti, incaricando soltanto una persona per l’operazione ed evitando che altri, terzi o dipendenti, possano assistere.
Per quanto concerne la lista con i dati anagrafici e di contatto dei clienti occorrerà, inoltre, se cartacea, individuare un luogo sicuro per la sua conservazione non accessibile a soggetti non autorizzati (ad esempio, un armadio o un cassetto munito di chiusura a chiave, oppure lo spostamento della lista a fine giornata in un luogo diverso, più sicuro) e garantire in ogni caso la cancellazione al termine del periodo di 14 giorni dall’accesso ai locali, organizzandosi con una mini procedura (uno scadenzario) che consenta di rispettare i tempi.
Se i dati verranno salvati digitalmente il sistema informatico dovrà necessariamente essere dotato di tutte le misure tecniche che assicurino la confidenzialità (a titolo esemplificativo, autenticazione mediante credenziali per l’accesso al sistema, oltre a antivirus e firewall se il sistema è connesso a internet), l’integrità (quali, ad esempio, manutenzione e aggiornamento dei sistemi e dei software utilizzati) la disponibilità (ad esempio, back up).
d) Aggiornamento del Registro dei trattamenti
L’esercente dovrà poi aggiornare il Registro dei trattamenti inserendo questo nuovo trattamento, legato all’adozione delle misure anti-contagio, completando tutte le voci richieste (finalità, interessati, tipo di dati trattati, tempi di conservazione, destinatari, eventuali responsabili del trattamento, misure di sicurezza adottate) e indicando quale data di partenza il 18 maggio.
Una volta terminata l’emergenza sanitaria verrà evidenziato nel Registro che il trattamento è sospeso a far data dal termine dell’emergenza.
Conclusioni
Come si vede, gli esercenti non possono sottovalutare la necessità di adeguarsi alla normativa sul trattamento dei dati personali nell’applicare le misure anti contagio previste dalle Linee Guida regionali necessarie per la riapertura in sicurezza. Dovranno quindi adoperarsi per essere in regola anche sotto questo profilo.
Il DPCM prevede per lo svolgimento delle singole tipologie di attività il rispetto di quanto disposto nei protocolli o linee guida adottati dalle regioni o dalla Conferenza delle regioni e delle province autonome, nel rispetto dei principi contenuti nei protocolli o nelle linee guida nazionali e comunque in coerenza con i criteri di cui all’allegato 10 (Criteri elaborati dal Comitato tecnico-scientifico). ↑
Ad avviso di chi scrive aver indicato di mantenere la lista dei “prenotati” e non dei presenti – come invece previsto per le altre attività economiche – è stata una semplice svista, un errore non voluto. Non ha infatti alcun senso, considerata la finalità per cui vengono raccolti i nominativi, mantenere la lista soltanto di coloro che hanno prenotato e non di tutti i presenti. ↑