ADEGUAMENTO ALLA NORMATIVA PRIVACY MAGGIO 2018 IN PERIODO DI COVID – INDICAZIONI DEL GARANTE PRIVACY PER LE ATTIVITA’ COMMERCIALI, ASSOCIATIVE, RICREATIVE E CULTURALI
L’adeguamento alla nuova normativa Privacy 2016/679, più comunemente definita GDPR (General Data Protection Regulation) e obbligatoria ormai dal mese di maggio 2018, viene purtroppo disattesa ancora da molte aziende, non curanti delle sanzioni che possono essere applicate in caso di violazioni degli adempimenti.
Aumentano pesantemente, sia come numero che come importi, le sanzioni riguardanti trattamenti illeciti di dati personali, contrari alla normativa Privacy GDPR. Il rapporto Federprivacy rileva che le Authority privacy europee hanno dato 410 milioni di sanzioni nel 2019. L’Italia prima per numero!
Le sanzioni risultano decisamente più pesanti rispetto al passato. Molte delle aziende “indagate” hanno dimostrato di non avere sufficiente consapevolezza di aspetti fondamentali relativi ai trattamenti di dati effettuati. Il Garante, quindi, impone misure correttive e implementazioni di procedure e obblighi per la piena osservanza della normativa Privacy GDPR.
NORMATIVA PRIVACY MAGGIO 2018 IN PERIODO DI COVID
In periodo di emergenza Covid, il Garante della Privacy ha fornito lo scorso 15 luglio delle “Indicazioni per le attività commerciali, associative e ricreative nel periodo estivo”.
Si tratta di indicazioni sintetiche sulle modalità di trattamento dei dati personali relativi agli adempimenti previsti dalla normativa emergenziale per le attività:
- commerciali e associative (ristorazione, attività turistiche, attività ricettive, commercio al dettaglio, centri sportivi, autonoleggi);
- culturali e ricreative (musei, cinema, spettacoli dal vivo, parchi tematici, terme, centri benessere, sale giochi e discoteche).
In particolare, il Garante ha fornito alcuni chiarimenti in merito al rilevamento: della temperatura; di informazioni sullo stato di salute; dei nominativi dei clienti.
INDICAZIONI PER LE ATTIVITÀ COMMERCIALI, ASSOCIATIVE E RICREATIVE NEL PERIODO ESTIVO
Di seguito nel dettaglio quanto precisato dal Garante nella forma di risposte a quesiti.
Normativa Privacy e Covid-19: Si possono raccogliere dati personali per prevenire il rischio di contagio?
È possibile raccogliere:
- la temperatura corporea di clienti e dipendenti, ma tale informazione non va associata con altri dati personali; non è possibile conservare il dato relativo alla temperatura rilevata, né registrarlo, inviarlo a terzi e tanto meno diffonderlo.
- informazioni sullo stato di salute dei clienti attraverso loro autodichiarazioni.
- i nominativi dei clienti ed è importante conservare tale dato per 14 giorni (le strutture ricettive assolvono all’obbligo inviando i dati degli ospiti al sistema Alloggiati Web).
Normativa Privacy e Covid-19: Il cliente può rifiutarsi di fornire i dati richiesti, come sottrarsi al rilievo della temperatura corporea, fornire informazioni sul proprio stato di salute o fornire il proprio nominativo?
- Sì, ma deve rinunciare ad accedere al locale dove si svolgono le attività commerciali, ricreative associative, considerando che il rilievo della temperatura, la raccolta e la conservazione per 14 giorni del nominativo di chi ha effettuato una prenotazione, l’autodichiarazione sul proprio stato di salute sono obblighi cui i gestori devono attenersi per consentire l’ingresso e la permanenza nei loro locali.
Normativa Privacy e Covid-19: Quali misure il gestore dell’attività deve adottare per proteggere la privacy delle persone?
- Evitare di comunicare a terzi il dato raccolto;
- Designare formalmente le persone addette autorizzate a rilevare la temperatura (soggetti autorizzati ai sensi della normativa Privacy GDPR);
- Acquisire unicamente i dati strettamente necessari e non altri superflui, ad esempio è sufficiente che il soggetto auto-dichiari che tra i suoi contatti non vi sono persone risultate positive al covid-19; che non è stato sottoposto a quarantena e che non proviene da zone a rischio Covid-19;
- Evitare che i dati forniti siano accessibili a soggetti non autorizzati, ad esempio si può fare ricorso a moduli prestampati da fornire personalmente al singolo o al nucleo familiare.
Normativa Privacy e Covid-19: E’ possibile conservare i dati? Se sì per quanto tempo?
- Il dato relativo alla temperatura corporea non può essere conservato; se la temperatura risulta superiore ai canonici 37.5 deve essere solo vietato l’ingresso al locale; per quanto invece riguarda le informazioni sulla situazione di salute e il nominativo del soggetto interessato (cliente/dipendente/fornitore/visitatore), come già indicato, nel rispetto del principio di minimizzazione (quindi rilevare unicamente il dato strettamente necessario), essi vanno conservati per 14 giorni, come previsto dalla normativa emergenziale (si rammenta che le Regioni possono adottare proprie linee guida e nel caso prevedere tempi di conservazione diversi).
Normativa Privacy e Covid-19: E’ necessario rendere ai clienti l’informativa ex art. 13 del Regolamento n. 679/2016?
- Si, l’informativa è sempre doverosa anche in questo caso, ma può essere resa anche in forma orale. Occorre informare la persona interessata circa: a. la finalità (prevenzione dal contagio da Covid-19); base giuridica (rispetto dei protocolli di sicurezza anticontagio stabiliti dalle disposizioni governative); conservazione del dato (i dati non saranno conservati o archiviati nel caso della temperatura; negli altri casi (stato di salute e nominativo) saranno conservati per 14 giorni come previsto dalle disposizioni anticovid.
Normativa Privacy e Covid-19: I dati raccolti possono essere comunicati alle autorità competenti?
- Per quanto riguarda la temperatura, no; in merito ai dati riguardanti lo stato di salute auto-dichiarato dal soggetto interessato e il nominativo, la comunicazione all’autorità sanitaria può essere effettuata, ma solo se necessario per coadiuvare le autorità pubbliche nell’attività di contenimento del contagio.
Scarica le linee guida adottate dal Garante della Privacy
LE SANZIONI
Si rammenta che nel caso di mancato rispetto della normativa Privacy in materia di trattamento dati personali (Regolamento n. 679/2016) e quindi delle presenti indicazioni che, sostanzialmente, sintetizzano come rispettare quelle norme nell’attuale situazione di emergenza, si applica l’articolo 83 del Regolamento, andando incontro alle sanzioni amministrative pecuniarie ivi previste, la cui soglia varia in base al tipo e alla gravità della violazione.