Sanzioni e attività ispettive in materia di sanità pubblica ai tempi del Coronavirus e impatto sulla protezione dei dati personali

https://www.cybersecurity360.it/legal/privacy-dati-personali/sanzioni-e-attivita-ispettive-in-materia-di-sanita-pubblica-impatto-sulla-protezione-dei-dati-personali/

Le misure introdotte con il dl 33 del 16 maggio 2020 e con il dpcm del 17 maggio 2020 segnano una nuova fase nella ripresa del sistema economico italiano dopo un lock-down durato circa e mesi. Siamo in un momento delicato. Per evitare il pericolo di una nuova espansione dell’epidemia sono state previste pesanti sanzioni e una più intensa azione di vigilanza sul rispetto delle prescrizioni introdotte. I controlli in tema di sanità pubblica vedranno il coinvolgimento di tutte le forze di polizia e di vari organismi pubblici. Le prescrizioni introdotte hanno però importanti riflessi sulla sicurezza dei dati personali per cui è possibile che l’intensificazione della vigilanza determini anche la segnalazione di irregolarità ai fini del gdpr. È forse arrivato il momento di porsi finalmente in conformità con la normativa “privacy”.

Lo stato di emergenza determinatosi “…in conseguenza del rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” (1), comunemente definito Covid-19, ha indotto il legislatore italiano a adottare una serie di misure finalizzate al contenimento del fenomeno pandemico. In questo senso sono stati emanati differenti provvedimenti normativi che progressivamente hanno adeguato le misure di sanità pubblica al mutare della situazione epidemiologica sul territorio nazionale.
Queste misure hanno inciso profondamente sulle relazioni sociali e sul modo, tendenzialmente nuovo, con cui i cittadini devono vivere i quotidiani rapporti interpersonali. Il fenomeno ha avuto, però, un devastante impatto anche sul tessuto economico e produttivo del paese che, tuttavia, durante il periodo di lock-down totale, ha continuato ad operare con riferimento a tutte quelle filiere produttive e distributive ritenute essenziali.
Il profilarsi della cosiddetta “Fase 2” ha reso necessario adeguare ulteriormente gli interventi normativi affinché la ripresa e la piena operatività delle aziende si realizzi nel rispetto delle misure di sicurezza e riguardi, pur con misure diverse, tutti i comparti economici. In questo contesto il mondo imprenditoriale si è dovuto misurare con due grandi aree di intervento:
• le misure concernenti i lavoratori e, quindi, la sicurezza dei luoghi di lavoro,
• le misure di sicurezza riguardanti i clienti e i rapporti con l’utenza.

Indice degli argomenti
Perimetro normativo
Sistema sanzionatorio
Il Prefetto
Riflessi sanzionatori/ispettivi ai fini della tutela dei dati personali
Adempimenti relativi alla tutela della protezione dei dati personali ai tempi del Covid19
Conclusioni

Perimetro normativo

Proviamo in primo luogo a definire il perimetro normativo con cui attualmente le varie aziende devono tutti i giorni fare i conti.
I provvedimenti che attualmente sono da ritenere centrali sono:
a. il Decreto Legge n.33, del 16 maggio 2020, che all’art. 1 introduce misure che incidono e vertono:
– sulla libertà di circolazione: endo-regionale, inter-regionale, da e per l’estero (commi 1-5. Il comma 9 si riferisce a più circoscritte aree entro un Comune);
– sulla quarantena (commi 6-7);
– sulla libertà di riunione e la compresenza in luoghi pubblici (commi 8 e 10);
– sulle funzioni religiose (comma 11);
– sulle attività didattiche e formative (comma 13);
– sulle attività economiche, produttive e sociali, con attribuzione alle Regioni del compito – di calibrare protocolli e linee guide (commi 14-16).
Il menzionato decreto legge al comma 14, dell’art. 1, evidenzia come le attività economiche, produttive e sociali debbano “..svolgersi nel rispetto dei contenuti di protocolli o linee guida idonei a prevenire o ridurre il rischio di contagio nel settore di riferimento o in ambiti analoghi, adottati dalle regioni o dalla Conferenza delle regioni e delle province autonome nel rispetto dei principi contenuti nei protocolli o nelle linee guida nazionali. In assenza di quelli regionali trovano applicazione i protocolli o le linee guida adottati a livello nazionale. Le misure limitative delle attività economiche, produttive e sociali possono essere adottate, nel rispetto dei principi di adeguatezza e proporzionalità, con provvedimenti emanati ai sensi dell’articolo 2 del decreto-legge n. 19 del 2020 o del comma 16…”.
b. Immediatamente dopo il dl 33/2020, e a suo completamento (fermo restando ovviamente il differente rango delle due fonti), è stata emanato il Decreto del Presidente del Consiglio dei ministri del 17 maggio 2020 (sostitutivo del dpcm del 26 aprile 2020) che contiene previsioni che si intersecano con quelle del decreto-legge e che sono applicabili dal 18 maggio al 14 giugno 2020. Tale norma nel richiamare in premessa le Linee guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome, del 16 maggio 2020, all’art. 1 detta misure urgenti per il contenimento del contagio su tutto il territorio nazionale con riferimento anche a vari comparti produttivi ed in particolare:
– l’obbligo di domicilio per i soggetti con infezione respiratoria caratterizzata da febbre;
– l’accesso del pubblico ai parchi, alle ville e ai giardini pubblici, a luoghi destinati allo svolgimento di attività ludiche, ricreative ed educative, anche non formali, al chiuso o all’aria aperta;
– attività sportiva o attività motoria all’aperto, eventi e competizioni sportive, impianti nei comprensori sciistici;
– manifestazioni pubbliche;
– sale giochi, sale scommesse e sale bingo;
– spettacoli aperti al pubblico in sale teatrali, sale da concerto, sale cinematografiche e in altri spazi anche all’aperto;
– luoghi di culto e funzioni religiose con la partecipazione di persone, il servizio di apertura al pubblico dei musei e degli altri istituti e luoghi della cultura;
– servizi educativi per l’infanzia e le attività didattiche in presenza nelle scuole, attività scolastiche e di formazione superiore, corsi professionali, master, corsi per le professioni sanitarie e università per anziani, nonché’ corsi professionali e le attività formative;
– congressi, riunioni, meeting e eventi sociali; – attività di centri benessere, centri termali, centri culturali e centri sociali;
– accesso degli accompagnatori al pronto soccorso (dea/ps), strutture di ospitalità e lungo degenza, residenze sanitarie assistite (rsa), hospice, strutture riabilitative e strutture residenziali per anziani, autosufficienti e non;
– istituti penitenziari e negli istituti penali per minorenni;
– attività commerciali al dettaglio;
– attività dei servizi di ristorazione (fra cui bar, pub, ristoranti, gelaterie, pasticcerie);
– esercizi di somministrazione di alimenti e bevande siti negli ospedali e negli aeroporti; – attività inerenti ai servizi alla persona;
– servizi bancari, finanziari, assicurativi;
– il settore agricolo, zootecnico di trasformazione agro-alimentare comprese le filiere che ne forniscono beni e servizi;
– servizi erogati dalle aziende del trasporto pubblico locale, anche non di linea;
– attività professionali;
– attività degli stabilimenti balneari;
– attività delle strutture ricettive.
L’art. 2, inoltre, in linea con quanto già previsto nell’art. 2 del dpcm 26 aprile 2020 sottolinea come “..Sull’intero territorio nazionale tutte le attività produttive industriali e commerciali, fatto salvo quanto previsto dall’articolo 1, rispettano i contenuti…”:
• del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro, sottoscritto il 24 aprile 2020 fra il Governo e le parti sociali (sostitutivo di quello redatto il 14 marzo 2020);
• nonché’, per i rispettivi ambiti di competenza, il protocollo condiviso di regolamentazione per il contenimento della diffusione del covid-19:
– nei cantieri, sottoscritto il 24 aprile 2020 fra il Ministro delle infrastrutture e dei trasporti, il Ministro del lavoro e delle politiche sociali e le parti sociali;
– nel settore del trasporto e della logistica sottoscritto il 20 aprile 2020.

Sistema sanzionatorio

L’articolo 2 del DL 33 del 16 maggio 2020 delinea il sistema sanzionatorio e di vigilanza in ordine agli adempimenti e alle prescrizioni previste dal precedente articolo 1, in tema di misure di contenimento alla diffusione del Covid-19.
il sistema sanzionatorio è strutturato su due tipologie di sanzioni: penali, amministrative (pecuniarie e accessorie). Sono state previste, inoltre, specifiche misure cautelative rappresentate dalla sospensione dell’attività in specifiche circostanze.
Misure penali
Il 3^ comma dell’articolo 2 del DL 33 del 16 maggio 2020 presenta una misura analoga a quella prevista dal 6 comma dell’art. 4 DL19/20. Si deve tuttavia osservare che il comma 3 in esame disciplina la fattispecie in maniera difforme rispetto all’ art. 1, co. 2, lett. e) del D.L. n. 19 (a cui viene fatto rinvio), sia con riguardo ai profili della autorità competente a disporre la misura sia in relazione alla durata. La fattispecie penale di cui all’articolo 1, sesto comma, consiste nel divieto di mobilità dalla propria abitazione o dimora alle persone sottoposte alla misura della quarantena per provvedimento dell’autorità sanitaria in quanto risultate positive al virus COVID-19, fino all’accertamento della guarigione o al ricovero in una struttura sanitaria o altra struttura allo scopo destinata. Il comma 6 in esame aggiunge (rispetto all’analoga disposizione del decreto-legge n. 19) la previsione che l’isolamento domestico si protragga fino all’accertamento della guarigione o fino al ricovero in una struttura sanitaria (o altra struttura allo scopo destinata).
I soggetti che non rispettano tale divieto sono puniti con le pene previste per il reato di cui all’articolo 260 (Inosservanza “di un ordine legalmente dato per impedire l’invasione o la diffusione di una malattia infettiva dell’uomo”) del Regio decreto 27 luglio 1934 numero 1265 (Testo unico delle leggi sanitarie) che prevede l’arresto da 3 a 18 mesi e l’ammenda da 500 a 5.000 euro (pene così modificate dall’art. 4, comma 7 del d.l. n. 19). La pena è aumentata se il fatto è commesso da persona “che esercita una professione o un’arte sanitaria”. La comminatoria delle pene congiunte dell’arresto e dell’ammenda esclude la possibilità dell’oblazione. Trattandosi di contravvenzione, potrà essere commessa con dolo o anche solo con colpa.
Detta pena si applica purché il mancato rispetto del divieto di mobilità non costituisca violazione dell’articolo 452 del c.p. o di un più grave reato. L’articolo 452 del c.p. si riferisce ai delitti colposi contro la salute pubblica, in sostanza si sanzionano, anche solo per colpa, i fatti previsti dall’ articolo 438 e 439 CP. Il 438 c.p. si riferisce all’epidemia mentre il 439 c.p. si riferisce all’avvelenamento di acque o di sostanze alimentari. È ovvio che l’articolo di riferimento sarà in questo caso rappresentato dal 438, cioè il l’epidemia colposa, per i quali e prevista la reclusione da 1 a 5 anni (mentre se la condotta è dolosa con l’ergastolo ex art. 438).
L’epidemia colposa sarà configurabile, in luogo della contravvenzione in esame, qualora si accerti che la condotta dell’agente abbia cagionato il contagio di una o più persone e la possibilità di una ulteriore propagazione della malattia rispetto a un numero indeterminato di persone.
Le Sanzioni amministrative
La violazione delle disposizioni del Decreto-legge n. 33/2020, dei decreti e delle ordinanze emanate in attuazione del menzionato decreto-legge, e quindi introdotte non solo dal Governo, ma anche da autorità regionali o locali, determinano l’applicazione di sanzioni amministrative (pecuniarie ed accessorie) che, ai sensi dell’art.2, comma 1), è quella prevista dal 1 comma dell’art.4 del DL n. 19 del 2020, ossia da 400 € a 3.000 € (4).
Qualora la violazione sia commessa nell’esecuzione di un’attività d’impresa, oltre alla sanzione amministrativa pecuniaria si applicherà anche la sanzione amministrativa accessoria consistente nella chiusura dell’esercizio o dell’attività da 5 a 30 giorni. Come previsto dal comma 5 dell’art. 4 del DL n. 19 del 2020, in caso di reiterate violazioni della medesima disposizione, la sanzione amministrativa sarà raddoppiata, ossia da 800 € a 6.000 €, mentre quella accessoria si applicherà nella misura massima, ossia 30 giorni.
Non si procederà all’applicazione della segnalata sanzione amministrativa qualora il fatto costituisca reato diverso da quello di cui all’articolo 650 del codice penale. il citato art. 4, comma 1, del D.L. n. 19 esclude, in sostanza, che la violazione delle misure di contenimento ivi previste comporti l’applicazione della pena prevista dall’art. 650 del codice penale. Non trova quindi applicazione la contravvenzione per l’inosservanza degli ordini dell’autorità, punita con l’arresto fino a tre mesi o con l’ammenda fino a 206 euro (precedentemente prevista dal D.L. n. 6 del 2020, abrogato dal D.L. n. 19).
Per effetto della clausola di sussidiarietà, l’illecito amministrativo in questione, al pari di quello di cui all’art. 4, co. 1 d.l. n. 19/2020, esclude la configurabilità della contravvenzione di cui all’art. 650 c.p. mentre, al contrario, rimane assorbito in altra eventuale figura di reato integrata con il medesimo fatto (ad es., i delitti di lesioni personali, omicidio o epidemia).
Accertamento e pagamento in misura ridotta
Per l’accertamento delle violazioni e per il pagamento in misura ridotta la norma fa rinvio al terzo comma dell’articolo 4 del DL 19 del 2020, che a sua volta rinvia sia alla Legge n. 689 del 1981 che, ai commi 1, 2 e 2.1 dell’articolo 202, del D. Lgs. n. 285 del 1992 (Codice della strada), consentono al trasgressore di pagare entro 60 giorni dalla contestazione o dalla notificazione una somma (400 €) pari al minimo fissato dalle singole norme. Tale somma è ridotta del 30% (280 €) se il pagamento è effettuato entro 5 giorni dalla contestazione o dalla notificazione.
Le sanzioni per le violazioni delle misure disposte dall’autorità statale saranno irrogate dal Prefetto mentre le sanzioni per le violazioni delle misure disposte dalle Autorità Regionali e delle Autorità Locali saranno irrogate dalle autorità che le hanno disposte. All’atto dell’accertamento delle violazioni di cui al secondo periodo del comma 1, al fine di impedire la prosecuzione e la reiterazione della violazione l’autorità procedente, si potrà disporre la chiusura provvisoria dell’attività e dell’esercizio per una durata non superiore a 5 giorni il periodo di chiusura provvisoria e scomputato dalla corrispondente sanzione accessoria definitivamente irrogata in sede di esecuzione
All’accertamento delle sanzioni amministrative, ai sensi dell’articolo 13, primo e quarto comma, della Legge 689 del 1981, procedono oltre che gli organi addetti al controllo della specifica disposizione anche gli ufficiali e agenti di polizia giudiziaria. Il mancato rispetto dei contenuti dei protocolli e delle linee guida delle regioni o, in assenza, delle linee guida nazionali, di cui al comma 14, che non si assicuri adeguati livelli di protezione, determina la sospensione dell’attività fino al ripristino delle condizioni di sicurezza.

Il Prefetto

Ruolo particolarmente importante in questo contesto viene assunto dal Prefetto territorialmente competente. L’articolo 10 del dpcm del 17 maggio del 2020, evidenzia che il Prefetto dovrà assicurare l’esecuzione delle misure di cui al decreto in questione informando preventivamente il Ministro dell’Interno nonché realizzare il monitoraggio e l’attuazione delle restanti misure da parte delle amministrazioni competenti. In tale contesto le Autorità Territoriali di Governo si potranno avvalere delle varie forze di polizia, con il possibile concorso del Corpo Nazionale dei Vigili del Fuoco, dell’Ispettorato Nazionale del lavoro, del Comando dei Carabinieri per la tutela del lavoro e, ove occorre, dalle Forze Armate, sentiti i comandi competenti territorialmente e dandone comunicazione al Presidente della Regione o della Provincia Autonoma interessata.

Riflessi sanzionatori/ispettivi ai fini della tutela dei dati personali

Come si può notare sul sistema di monitoraggio delle misure di contrasto dell’epidemia vi è un’attenzione massima che comporterà la possibilità da parte del Prefetto di ricalibrare i controlli finalizzati a verificare l’osservanza delle misure di contenimento indirizzandoli soprattutto sulla verifica dell’osservanza delle misure da parte delle attività industriali e commerciali. A tal fine una recente Circolare del Ministro dell’Interno (2), indirizzata ai Prefetti, ha invitato tali autorità a procedere, in sede di Comitato Provinciale per l’Ordine e la Sicurezza Pubblica, all’aggiornamento dei piani coordinati di controllo del territorio, opportunamente modulati in relazione alle esigenze che dovessero emergere nei rispettivi ambiti di competenza.
L’aumentata attenzione sul rispetto delle misure anti-contagio da parte delle imprese potrà, quindi, comportare anche un corrispondente aumento dei collaterali impatti di tali misure sui connessi adempimenti privacy. Se l’attività di controllo del Garante privacy può scaturire anche da segnalazioni di altre autorità pubbliche o da parte delle forze di polizia, ben si comprende come non si possa escludere che, soprattutto queste ultime, nel corso dei controlli si potrebbero anche rilevare eventuali connesse inosservanze alle norme in materia di protezione dei dati personali (es. mancata informativa sul trattamento dei dati personali) e segnalarle all’Autorità di controllo.
Si può ritenere in tale contesto come le misure per far fronte all’emergenza epidemiologica possano in qualche modo “spingere” i vari operatori economici, anche quelli di minore dimensione, a porsi in conformità anche con il gdpr per evitare il rischio di spiacevoli sorprese in sede ispettiva.

Adempimenti relativi alla tutela della protezione dei dati personali ai tempi del COVID19

Appare opportuno, allora, ricordare sinteticamente i riflessi sui trattamenti dei dati personali che l’emergenza sanitaria ed i connessi adempimenti previsti a carico delle imprese, nella loro qualità anche di titolare/responsabile del trattamento, hanno determinato, riepilogandoli a seconda che si tratti di aziende produttive industriali e commerciali ovvero di attività commerciali al dettaglio, servizi di ristorazione, servizi alla persona, strutture ricettive anche balneari.

Ambito aziende produttive industriali e commerciali
Aspetti che più direttamente hanno riflessi sui trattamenti dei dati personali:
a. possibilità di rilevare la temperatura corporea.
Il soggetto incaricato deve essere:
• dotato dei Dispositivi di Protezione Individuali previsti, come indicato nel documento integrativo alla valutazione dei rischi;
• istruito in merito alle misure di prevenzione da adottare, come indicato nel suddetto documento;
• istruito in merito alle modalità per la rilevazione della temperatura o di eventuali altri parametri fisiologici;
• nominato come “autorizzato al trattamento dei dati personali in relazione alle finalità del trattamento”, ai sensi e per gli effetti di cui all’art. 29 e 32 del GDPR con specifiche istruzioni.
Nel caso di soggetto esterno, ovvero se appartiene ad un’altra Organizzazione questa deve essere nominata Responsabile del trattamento;
b. consegna di adeguata informativa sul trattamento dei dati personali, anche esponendola all’ingresso della sede aziendale.
In relazione alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da Covid-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del dpcm 11 marzo 2020, mentre con riferimento alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza. In merito si ribadisce che non devono essere registrati/conservati dati non necessari;
c. trattamento dei dati personali esclusivamente per finalità di prevenzione dal contagio da Covid-19;
d. divieto di diffusione o comunicazione a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19”). In merito si segnala che:
 non può essere resa nota l’identità del dipendente affetto da Covid-19 nemmeno agli altri lavoratori da parte del datore di lavoro;
 In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
 tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
Il medico competente, nel periodo di emergenza COVID-19, collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del Protocollo sottoscritto il 14 marzo ed aggiornato il 24 aprile) ma non può informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori. Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore;
e. possibilità di identificare il dipendente e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Occorre prestare attenzione a dove viene registrata la temperatura, avendo cura di definire tramite il medico competente quale procedura adottare. La rilevazione ha un significato diverso dalla registrazione e, pertanto, se non serve conservare il dato, non registrarlo è la soluzione che semplifica gli aspetti di gestione.
Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.
f. adozione di misure di sicurezza tecniche ed organizzative adeguate a proteggere i dati personali. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie, definire adeguatamente le procedure di rilevazione e quelle per gestire eventuali anomalie tenendo in debita considerazione la dignità del soggetto interessato.
E’ necessario assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale o al referente di tale funzione di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al Covid-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi;
g. qualora si richieda ai propri dipendenti il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19, si ricorda che l’acquisizione di tale dichiarazione costituisce un trattamento dati e, pertanto, non devono essere richiesti dati ultronei rispetto all’esigenza di sicurezza (a titolo esemplificativo, perché sei andato in quel determinato luogo). Alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocolli condivisi di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti). Anche in tal caso non devono essere richiesti dati ultronei e, pertanto, se si richiede una dichiarazione sui contatti con persone risultate positive al Covid-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Allo stesso modo se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.

Ambito attività commerciali al dettaglio, servizi di ristorazione, servizi alla persona, strutture ricettive anche balneari
Va premesso che è prevista l’adozione di specifici protocolli o di linee guida idonei a prevenire o ridurre il rischio di contagio nel settore di riferimento o in settori analoghi, ma in ogni caso è necessario che i principi di declinazione dei protocolli condivisi di settore che eventualmente saranno adottati siano coerenti con la normativa vigente, incluso il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro aggiornato al 24 aprile 2020 e le Linee guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome del 16 maggio 2020.
Per quanto riguarda gli adempimenti sotto il profilo della protezione dei dati personali gli aspetti principali sono stati declinati nel punto precedente, ma ad essi vanno aggiunti ulteriori aspetti derivanti dalle indicazioni contenute nelle Linee guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome del 16 maggio 2020 ed in particolare:
• Predisposizione di una adeguata informazione sulle misure di prevenzione;
• Accesso al sito aziendale tramite prenotazione, mantenendo, e quindi registrando, la prenotazione o la presenza.
Tali indicazioni prevedendo, da un lato, la necessità di informare i clienti ed i potenziali clienti sulle misure di contenimento dell’epidemia che comprendono anche la raccolta di dati personali e, dall’altro, la necessità di registrare e conservare i dati personali relativi alle prenotazioni ed alle presenze per un periodo di 14 giorni successivi impattano significativamente sul trattamento di dati personali che, pertanto, deve avvenire ai sensi della disciplina privacy vigente.
Più in particolare è, pertanto, necessario:
a. fornire adeguata informativa sul trattamento dei dati personali, anche esponendola all’ingresso della sede aziendale. Non è necessario acquisire il consenso dell’interessato;
b. conservare i dati relativi alla presenza dei clienti per i 14 gg seguenti alla presenza. Attenzione salvo indicazioni diverse dell’autorità sanitaria, o nuovi interventi normativi, dopo i 14 giorni i dati devono essere cancellati;
c. trattare i dati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non diffonderli o comunicarli a terzi al di fuori delle specifiche previsioni normative (ad esempio, in caso di richiesta a parte dell’Autorità Sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al Covid-19;
d. definire e adottare le misure di sicurezza procedurali, informatiche ed organizzative adeguate a proteggere i dati personali; in particolare, sotto il profilo organizzativo, occorre:
 individuare i soggetti designati al trattamento;
 fornire loro le istruzioni necessarie;
 definire adeguatamente le procedure di rilevazione e di gestione delle eventuali anomalie tenendo in debita considerazione la dignità del soggetto interessato;
e. aggiornare il Registro dei Trattamenti sia in relazione a nuovi processi di trattamento sia in relazione alle misure di sicurezza implementate;
f. predisporre piani di formazione ed azioni comprovabili delle istruzioni per il personale aziendale.

Conclusioni

Come si può notare le prescrizioni introdotte hanno importanti riflessi sulla sicurezza dei dati personali. La verifica del rispetto delle misure di contenimento della pandemia passa necessariamente attraverso un’intensificazione dell’attività di vigilanza che vede impegnate autorità di controllo variegate (Forze di polizia, Vigili del Fuoco, Ispettorato Nazionale del lavoro) cui si aggiungono le polizie locali. Tale situazione amplifica le possibilità che vengano segnalate irregolarità ai fini del gdpr. La necessità di implementare un sistema per il rispetto delle misure anti Covid-19 può, pertanto, costituire davvero il momento per di porsi finalmente in conformità con la normativa “privacy”.

(1) Ordinanza del Consiglio dei ministri del 31 gennaio 2020 con cui è stato dichiarato lo stato di emergenza nazionale;
(2) Circolare 15350/117 (2)/Uff III-Prot.Civ del 19 maggio 2020
(3) Gli allegati sono:
– i protocolli sottoscritti dal Governo e dalle rispettive confessioni religiose richiamati all’art. 1, co. 1, lettera o) (allegati da 1 a 7), segnatamente: Protocollo con la Conferenza Episcopale Italiana circa la ripresa delle celebrazioni con il popolo (allegato 1); Protocollo con le Comunità ebraiche italiane (allegato 2); Protocollo con le Chiese Protestanti, Evangeliche, Anglicane (allegato 3); Protocollo con le Comunità ortodosse (allegato 4); Protocollo con le Comunità Induista, Buddista (Unione Buddista e Soka Gakkai), Baha’i e Sikh (allegato 5); Protocollo con le Comunità Islamiche (allegato 6); Protocollo con la Comunità della Chiesa di Gesù Cristo dei Santi degli ultimi giorni (allegato 7);
– le “Linee guida per la gestione in sicurezza di opportunità organizzate di socialità e gioco per bambini ed adolescenti nella fase 2 dell’emergenza covid-19” del Dipartimento per le politiche della famiglia di cui all’articolo 1, co. 1, lettera a) del d.P.C.m. (allegato 8); • le “Linee guida Spettacoli dal vivo e cinema” di cui all’articolo 1, co. 1, lettera m) (allegato 9);
– I criteri per protocolli di settore elaborati dal Comitato tecnico-scientifico in data 15 maggio 2020 richiamati all’articolo 1, co. 1, lettere dd), ee), gg), mm) ed nn) del d.P.C.m. (allegato 10);
– le “Misure per gli esercizi commerciali” di cui è richiamata l’applicazione all’articolo 1, co. 1, lettera dd) (allegato 11);
– Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro” sottoscritto il 24 aprile 2020 fra il Governo e le parti sociali, richiamato all’articolo 2, co. 1, del d.P.C.m. (allegato 12);
– Il “Protocollo condiviso di regolamentazione per il contenimento della diffusione del covid-19 nei cantieri”, sottoscritto il 24 aprile 2020 fra il Ministro delle infrastrutture e dei trasporti, il Ministro del lavoro e delle politiche sociali e le parti sociali, richiamato all’articolo 2, co. 1, del d.P.C.m. (allegato 13);
– Il “Protocollo condiviso di regolamentazione per il contenimento della diffusione del covid-19 nel settore del trasporto e della logistica” sottoscritto il 20 marzo 2020, richiamato all’articolo 2, co. 1, all’articolo 4, co. 2, all’articolo 5, co. 3, e all’articolo 8, co. 1, del d.P.C.m. (allegato 14);
– le “Linee guida per l’informazione agli utenti e le modalità organizzative per il contenimento della diffusione del Covid-19”, richiamate all’articolo 4, co. 2, all’articolo 5, co. 3, e all’articolo 8, co. 1, del d.P.C.m. (allegato 15);
– le informazioni sulle misure di prevenzione igienico sanitarie, richiamate all’articolo 3, co. 1, lettere c), d) e g) del d.P.C.m. (allegato 16);
– le “Linee guida per la riapertura delle attività economiche e produttive” della Conferenza delle Regioni e delle Province autonome del 16 maggio 2020, trasmesse in data 17 maggio 2020 unitamente al parere del Presidente della Conferenza dei presidenti delle regioni e delle province autonome, richiamate nelle premesse del d.P.C.m. (allegato 17) (in proposito, nella premessa al d.P.C.m. medesimo è ricordato che il Presidente della Conferenza dei presidenti delle regioni e delle province autonome, in data 17 maggio 2020, ha espresso il proprio parere condizionato, tra l’altro, alla necessità che le linee guida condivise dalla Conferenza siano richiamate nelle premesse e allegate al provvedimento).
(4) A proposito della sanzione amministrativa pecuniaria si ricorda che, in sede di conversione in legge del decreto-legge n. 19/2020 (ora all’esame del Senato A.S. n. 1181), la Camera dei deputati, è intervenuta sul massimo edittale della sanzione, riducendolo da 3.000 a 1.000 euro. Essendo mobile il rinvio 2020 all’art. 4, co. 1 d.l. n. 19/2020 contenuto nel comma 1 dell’articolo in commento, se il Senato confermasse la modifica della sanzione pecuniaria il nuovo limite massimo di 1.000 euro riguarderebbe anche l’illecito amministrativo qui in esame

Dott. Alfredo Sanfelice
Consulente privacy e antiriciclaggio, dpo 
Dott. Gaetano Mastropierro
Consulente privacy e antiriciclaggio, dpo 


Articolo pubblicato su CYBERSECURITY360