Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

FAQ Coronavirus e privacy

Di seguito alcune delle domande più frequenti pervenuteci in questi giorni in materia di privacy e misure sanitarie relative all’emergenza “Coronavirus”.

Posso registrare la temperatura dei dipendenti e dei visitatori della mia azienda?

Preliminarmente è necessario precisare che ai sensi dell’art. 9, comma 2°, GDPR il trattamento dei dati sanitari è lecito nella misura in cui siano presente le seguenti basi giuridiche:

  1. a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
  2. b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
  3. c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  4. d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
  5. e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  6. f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
  7. g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
  8. h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
  9. i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
  10. j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Concretamente per quanto riguarda i rapporti relativi ai visitatori ed ai dipendenti il trattamento dei dati sanitari potrà rientrare nelle disposizioni di cui alle lett. b), g) ed i) a prescindere dall’acquisizione del consenso degli interessati coinvolti.

Precisiamo, tuttavia, che la misurazione della temperatura corporea non costituisce un trattamento di dati personali (art. 4 GDPR) poiché con dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Art. 4, n. 1, GDPR)”.

Suggeriamo, quindi di lasciare che sia l’interessato a misurarsi autonomamente la temperatura corporea, e di mettere a disposizione guanti monouso e disinfettante per le mani.


Posso registrare il luogo di origine dei visitatori della mia azienda?

La risposta è affermativa. La let. i), comma 2°, art. 9 GDPR legittima tale tipologia di attività senza il consenso espresso dell’interessato.

Alla luce dell’art. 2, Ordinanza 21 febbraio 2020, del Ministero della Salute (https://www.gazzettaufficiale.it/eli/id/2020/02/22/20A01220/sg) tale documentazione dovrà essere: “distrutta trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto”.