Tutela della privacy e rilevazione della temperatura corporea nella lotta al Covid-19: ecco come redigere una corretta policy privacy
La redazione di una corretta policy privacy: indicazioni operative
Presentiamo alcune essenziali indicazioni operative che possono essere utili a tutte le società che scegliessero di servirsi del sistema di rilevamento della temperatura corporea costituiti
dai pannelli per il riconoscimento facciale per contrastare il diffondersi della pandemia e svolgere quindi la propria attività in sicurezza. Esponiamo i contenuti minimi ed essenziali della
policy privacy necessaria nell’ambito dell’utilizzo dei predetti dispositivi. Dovrà essere infatti indicato in questo documento, oltre all’indicazione esplicita degli estremi identificativi del
titolare del trattamento, che:
i) la temperatura corporea del soggetto è ricompresa nella categoria dei dati sensibili;
ii) tale dato viene acquisito mediante il pannello per il riconoscimento facciale e la rilevazione della temperatura a ciò preposto (con la precisazione che, non costituendo il pannello dispositivo
elettromedicale ma dispositivo di analisi di massa, dovrà essere effettuata una seconda misurazione mediante dispositivo medicale – es. termometro infrarossi – nel caso in cui la temperatura
oltrepassi la soglia stabilita ex lege pari a 37,5° corporei) al momento dell’ingresso degli interessati all’interno dei locali d’esercizio, precisando che si procederà alla mera rilevazione del dato
ma mai alla sua registrazione, nemmeno nell’ipotesi in cui si rilevi il superamento della soglia di temperatura predetta se non al fine di giustificare il divieto di accesso in azienda o su richiesta
della Pubblica Autorità (in questo caso si ricorda la doverosa applicazione del Protocollo sanitario, il quale impone che l’accesso in azienda sia impedito al soggetto che presenti i sintomi
dell’infezione e che quest’ultimo sia posto in isolamento momentaneo in uno spazio a ciò appositamente dedicato, assicurando che tale procedura venga applicata mediante l’utilizzo
di modalità tali da garantirne la riservatezza e la dignità); in questo modo il trattamento potrà essere effettuato nel rispetto delle finalità consentite dalla legge.
Dovrà essere altresì esplicitato che la durata del trattamento non potrà superare il periodo di vigenza dell’emergenza epidemiologica da COVID-19,
dovendo cessare immediatamente al termine dello stato di emergenza.
iii) la finalità del trattamento è individuata nella prevenzione, nel contenimento e nel contrasto del contagio da COVID-19;
iv) la base giuridica del trattamento è individuata nell’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, nonché, nel quadro
dell’art. 9 par. 2 lett. b) GPDR, ai sensi del “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID – 19 negli ambienti di lavoro” del 14
marzo 2020 e s.m.i., il quale, come noto, costituisce un accordo sindacale. Inoltre, con specifico riferimento all’acquisizione delle immagini facciali, il riferimento normativo d’interesse può essere
individuato altresì nell’art. 9 par. 2 lett. h) del GDPR (finalità di medicina preventiva) e lett. i (motivi di interesse pubblico nel settore della sanità);
v) saranno sempre e comunque garantiti I DIRITTI e LE GARANZIE dell’interessato previsti dal GDPR per la tutela dei dati sensibili e il relativo indirizzo e-mail o di posta mediante il quale sia
possibile esercitare tali diritti nei confronti del titolare;
vi) dovranno essere assicurate, in ogni caso, tutte le necessarie misure di sicurezza adottate per la più accorta protezione del dato rilevato (in particolare nel rispetto delle prescrizioni
dell’art. 32 dal GDPR e dei principi di accountability e data protection by default);
vi) (eventualmente) è stato nominato un soggetto specifico (persona fisica o giuridica) quale Data Protection Officer (D.P.O.), esplicitando le relative informazioni che ne consentano
l’identificazione e l’indirizzo di posta elettronica presso il quale sia possibile contattarlo.
Si consiglia in ogni caso di rivolgersi a professionisti specializzati al fine di redigere la migliore informativa a protezione dei dati personali trattati.
