Prima dell’uragano COVID-19 avevo iniziato a parlare degli elementi “documentali” della gestione privacy in azienda, con l’intento di rendere cristallina la logica del GDPR avanzando per gradi.
La prima considerazione è stata che la gestione della privacy non è così diversa dalla gestione degli aspetti di salute e sicurezza sul lavoro e avevo introdotto il registro dei trattamenti e la DPIA (valutazione d’impatto sulla protezione dei dati); successivamente mi sono soffermata sul registro dei trattamenti e ho fatto un approfondimento sul tema della gestione privacy dei siti web.
Oggi mi voglio occupare di DPIA sia per non perdere il filo logico sia per una contingenza: il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro (versione di marzo o di aprile non fa differenza in questa sede) prevede la possibilità e, in alcuni casi, l’obbligo di misurazione della temperatura corporea del personale; questo trattamento dati, finora considerato illecito dallo stesso Garante, comporta nella maggior parte delle realtà aziendali rischi nuovi per la privacy e, quindi, nuovi obblighi.
Quando la DPIA è obbligatoria?
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, ossia per i diritti alla protezione dei dati e alla vita privata, per la libertà di parola, di pensiero, di circolazione, di coscienza e di religione, o può indurre o comportare una discriminazione.
L’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati è stato fornito dal Garante nel chiarimento interpretativo dell’11 ottobre 2018.
Il GDPR obbliga i titolari a svolgere una valutazione di impatto prima di dare inizio al trattamento, e consultando l’autorità di controllo nel caso in cui ritenessero che le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano sufficienti, cioè il rischio residuale per i diritti e le libertà degli interessati resti elevato.
Quando la DPIA non è obbligatoria?
In questo caso non esistono elenchi univoci, le indicazioni più dettagliate sono contenute nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” del Gruppo di lavoro Articolo 29.
Riporto di seguito l’elenco di interesse che, tuttavia, non risulta di immediata lettura e richiede di conoscere a fondo la materia:
- quando il trattamento non è tale da presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
- quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d’impatto sulla protezione dei dati. In tali casi, si possono utilizzare i risultati della valutazione d’impatto sulla protezione dei dati per un trattamento analogo;
- quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate;
- qualora un trattamento trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro e tale diritto disciplini il trattamento specifico, o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica (a meno che uno Stato membro non abbia dichiarato che è necessario effettuare tale valutazione prima di procedere alle attività di trattamento);
- qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dall’autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati.
Come effettuare la valutazione
In primo luogo può essere utile utilizzare l’allegato 2 delle Linee guida del Gruppo di lavoro Articolo 29 richiamate poco sopra per individuare gli elementi minimi da inserire nella valutazione.
Per le PMI, il Garante propone uno strumento gratuito, un software sviluppato dall’Autorità francese per la protezione dei dati e disponibile anche in versione in lingua italiana. Intuitivo da utilizzare, richiede comunque che il compilatore abbia chiaro quali siano le tipologie di trattamento che devono essere analizzate.
DPIA e COVID-19
L’art. 5 dello Statuto dei Lavoratori (Legge 300/1970) vieta accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio, ammettendo che il controllo delle assenze per “infermità” possa essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti.
La sola operazione di misurazione della temperatura, a prescindere dalla sua registrazione, risulta un trattamento autorizzato direttamente dal DPCM 26 aprile 2020. Il datore di lavoro può quindi procedere in questo senso, anche mediante apparecchi automatici, purché vi sia una valutazione di impatto privacy a monte, ricadendo il trattamento nel caso previsto al punto 10 dell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. Il punto 10 parla infatti di “Trattamenti di categorie particolari di dati ai sensi dell’art. 9“, tra i quali ricadono i dati relativi alla salute.