CORONAVIRUS: tra sicurezza sul lavoro e privacy 2/2

Parte seconda
INDICAZIONI OPERATIVE

Dopo la prima parte introduttiva vediamo adesso insieme alcuni accorgimenti che imprenditori, commercianti e liberi professionisti devono adottare per garantire la sicurezza sul lavoro e assicurare la tutela dei dati personali.

INFORMAZIONE

L’azienda deve fornire non solo a tutti i lavoratori ma a chiunque acceda ai locali aziendali con apposite e idonee informative le indicazioni relative alle disposizioni dettate dalle Autorità.

In particolare l’informativa dovrà indicare:

• l’obbligo di restare presso il proprio domicilio in presenza di febbre oltre 37.5° o altri sintomi influenzali e di comunicarli all’autorità sanitaria;

• l’impegno a informare il datore di lavoro della presenza di un qualsiasi sintomo influenzale durante l’attività lavorativa

• impegno a rispettare le disposizioni delle Autorità e le disposizioni adottare dall’azienda per l’accesso ai locali: quali ad esempio mantenere la distanza di sicurezza, indossare i dispositivi di protezione individuale (es. mascherina e guanti) e osservare le misure di igiene per le mani

• l’accettazione del fatto di non poter fare ingresso o permanere nei locali aziendali per chi, ad esempio, presenta uno stato febbrile, sintomi influenzali, o negli ultimi 14 giorni sia stato in contatto con persone positive al virus.

NB: le indicazioni riportate sono contenute nei Protocolli adottati nella fase emergenziale, tuttavia non tutte le prescrizioni ivi contenute appaiono essere state allineate con le fonti normative, anche di rango sovraordinato, esistenti, ad esempio in ambito giuslavoristico o privacy. Dunque, anche in questo caso, una corretta adozione di questi accorgimenti dovrebbe passare attraverso il filtro di una consulenza legale.

MODALITÀ DI INGRESSO IN AZIENDA PER DIPENDENTI E FORNITORI ESTERNI

L’imprenditore/datore di lavoro, anche con l’ausilio di collaboratori, in alcuni casi può in altri deve procedere con alcune verifiche sulle persone che intendono accedere in azienda. In particolare:

può controllare la temperatura corporea del personale dipendente prima dell’accesso al luogo di lavoro e in caso di temperatura superiore ai 37.5° deve inibirne l’accesso

• deve vietare l’accesso al dipendente che negli ultimi 14 giorni abbia avuto contatti con soggetti positivi al Covid-19 o provenga da zone a rischio

• prima dell’ingresso in azienda deve ricevere dal personale già risultato positivo al Covid-19 la certificazione di “avvenuta negativizzazione
• deve favorire orari di ingresso/uscita dei dipendenti scaglionati in modo da evitare il più possibile contatti nelle zone comuni, se possibile dedicando una porta di entrata e una di uscita

• deve collocare dispenser contenenti prodotti igienizzanti per le mani in corrispondenza dei punti di accesso e uscita dai locali aziendali

• per i fornitori esterni deve individuare procedure di ingresso, transito e uscita che riducano le occasioni di contatto con il personale

• deve vietare l’accesso agli uffici degli autisti dei mezzi di trasporto

• deve vietare ai fornitori esterni l’utilizzo dei servizi igienici del personale e installarne/destinarne appositi e garantirne adeguata pulizia quotidiana

• deve ridurre l’accesso ai visitatori e in caso di accesso necessario i visitatori dovranno rispettare le regole aziendali

• qualora presente un servizio di trasporto aziendale deve essere garantita e rispettata la sicurezza dei lavoratori lungo ogni spostamento

• in caso di dipendenti di aziende terze positivi al Covid-19 presenti in azienda, l’appaltatore deve immediatamente informarne il committente

• il committente deve dare all’appaltatore completa informativa del protocollo aziendale

NB: anche in questo caso, è corretto avvertire che le prescrizioni sopra indicate fanno parte di quelle emanate in via d’urgenza, ma non sempre si collocano in armonia con la normativa applicabile, di rango superiore. Può ad esempio essere controverso ritenere che il datore di lavoro sia tenuto a conoscere l’esatta patologia Covid-19 del dipendente malato.

TUTELA DEI DATI PERSONALI E DELLA PRIVACY

Anche a prescindere dalle frizioni con il generale quadro normativo applicabile cui si è fatto cenno nei “nota bene”, il rispetto delle disposizioni contenute nei protocolli e nelle linee guida sopra richiamate impone di essere accompagnato dagli adempimenti richiesti dalla normativa sulla tutela dei dati personali.

Ad esempio, tutte le attività di “triage” sopra indicate comportano trattamento di dati personali sulla salute, ossia una delle categorie di informazioni maggiormente tutelate (un tempo si sarebbero parlato di dati “supersensibili”). Inoltre comportano il trattamento di dati personali idonei a rivelare relazioni interpersonali, spostamenti, preferenze e di altre informazioni.

Ne deriva l’adozione un processo e di garanzie che assicurino la liceità dei trattamenti e l’osservanza dei diritti dell’interessato (ossia del soggetto persona fisica cui le informazioni si riferiscono) nel rispetto delle disposizioni dettate dal GDPR (Reg. UE 2016/679) e dal Codice privacy.

Allo stesso modo, la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato (dipendente, fornitore o qualunque altro soggetto terzo), costituisce un trattamento di dati personali (art. 4, par. 1, 2 GDPR) che deve essere preceduto da adeguata informativa ed effettuato nel rispetto del principio di “minimizzazione” (art. 5, par. 1 GDPR).

Le FAQ del Garante per la protezione dei dati personali chiariscono per esempio che il Titolare del trattamento:

• deve fornire adeguata informativa privacy agli interessati (dipendenti, fornitori, trasportatori, visitatori, dipendenti di aziende terze e a tutti gli altri soggetti) che fanno accesso nei locali del titolare

non deve registrare il dato relativo alla temperatura ma il solo superamento della soglia di 37.5° e comunque nei soli casi in cui è necessario per documentare il diniego dell’accesso. Questi casi, aggiungiamo tuttavia, possono essere significativi a fini probatori

• nel ricevere le dichiarazioni di interessati che attestino di aver avuto nei 14 giorni precedenti contattati con soggetti positivi al Covid-19 o provenienti da zone a rischio deve raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio. Notiamo tuttavia che la raccolta di tali informazioni va coordinata con le fonti normative soprastanti, ossia da un lato con la necessità di garantire salute e sicurezza nel luogo di lavoro e fotografare il rischio da agente biologico, dall’altra con quella di osservare la dignità del lavoratore, lo Statuto dei lavoratori, la riservatezza. Dunque, occorre evitare automatismi applicativi e adattare il precetto al caso concreto

• deve collaborare in qualità di datore di lavoro con il medico competente e le RLS/RLST al fine di produrre tutte le misure di regolamentazione legate al Covid-19;sempre nel rispetto dei principi di protezione dei dati, può trattare, in qualità di datore di lavoro, i dati personali dei dipendenti solo se sia previsto da disposizioni normative e disposto da organi competenti o su segnalazione del medico competente

• deve comunicare il nome del dipendente positivo al Covid-19 alle autorità sanitarie competenti

• non deve comunicare il nome del dipendente positivo al Covid-19 al Rappresentante dei lavoratori o agli altri dipendenti o a terzi soggetti

• non può richiedere l’effettuazione di test sierologici ai dipendenti salvo che il test non sia disposto dal medico competente

• può offrire ai propri dipendenti, in tutto o in parte, l’effettuazione di test sierologici presso strutture sanitarie senza conoscerne l’esito

• deve individuare i soggetti autorizzati al trattamento dei dati

• deve redigere precise istruzioni per gli autorizzati

• deve effettuare analisi del rischio e prevedere misure adeguate per la conservazione e consultazione in sicurezza dei dati e la tutela della dignità e della riservatezza del lavoratore (es. in occasione della rilevazione febbre tramite termoscanner, della richiesta della dichiarazione di contatto con soggetti positivi o provenienti da zone a rischio, nella predisposizione delle modalità di conservazione dei dati)

• deve valutare eventuale necessità di DPIA nei casi previsti dall’art. 35 GDPR

• deve individuare le corrette modalità di ricezione del certificato di negativizzazione

• deve valutare la opportunità/necessità dell’adozione del cd. “registro delle prenotazioni”, individuato dalle Linee guida per la riapertura delle Attività Economiche e Produttive e coordinarlo con i registri di trattamento già adottati

COVID-19 – Fase 2 – Riapertura attività economiche e produttive

Che cosa sapere, che cosa fare

Dal 18 maggio 2020 siamo entrati nel pieno della Fase 2 e si ritorna lentamente verso la normalità. Finalmente riaprono bar, ristoranti, pizzerie, negozi, parrucchieri ed estetisti, poi sarà la volta di stabilimenti balneari, attività corsistiche e ricreative svolte in piscine e palestre, ma con alcuni accorgimenti da adottare per proseguire in sicurezza l’attività e contenere la diffusione del contagio.

Non dimenticare la normativa sulla protezione dei dati personali

Devi sapere che il rispetto di alcune misure determina l’applicazione della normativa sulla protezione dei dati personali, ossia del cd. “GDPR” (regolamento UE 2016/679) e del Codice privacy (d.lgs. 196/2003).

Quali? Ad esempio, rispetto a determinate tipologie di attività, le misure di contenimento approvate richiedono la raccolta e la conservazione di un registro delle presenze per 14 giorni, dunque un trattamento di dati personali.

Perché devi occuparti anche della normativa sulla protezione dei dati personali? Perché escludere dal trattamento dati ultronei, informare in maniera semplice e corretta i clienti, evitare violazioni di riservatezza (es. clienti che vengono a conoscere i nomi di altri clienti) è fondamentale non solo per la tua immagine e per il rapporto di fiducia con la clientela, ma anche per evitare il rischio sanzionatorio, che è particolarmente elevato.

Anche la possibilità di misurare la temperatura corporea all’ingresso costituisce un trattamento di dati personali, di rilevanza particolare perché si tratta di dati relativi alla salute.  Anche in questo caso deve svolgersi con riservatezza e discrezione, e applicando le regole della normativa. La conservazione delle informazioni di temperatura è consentita solo per alcune tipologie di interessati, a certe condizioni e per un tempo determinato.

Come possiamo aiutarti

Il nostro studio legale ha un’expertise consolidata in materia di protezione dei dati e può prestarti assistenza sui trattamenti di dati svolti nel contrasto al Covid-19, predisponendo:

    • informative, anche integrando quelle eventualmente già fornite (l’informativa deve essere comprensibile anche alla clientela non italiana)

    • individuazione degli autorizzati

    • istruzioni agli stessi

    • analisi del rischio e misure per una conservazione e consultazione in sicurezza

    • collegamento con il registro dei trattamenti esistente, per svolgere il trattamento in conformità

    • DPIA, se del caso (è obbligatoria solo in presenza di determinati fattori)

Puoi contattarci per un preventivo gratuito e senza impegno.

Ecco anche alcune indicazioni operative sotto forma di FAQ per fornire pratici chiarimenti su come mettere in atto le misure di sicurezza e rispettare la normativa.

A) Ho un ristorante (trattoria, bar, pizzeria, self-service, pub, pasticceria, gelateria)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Devi predisporre una informativa sulle misure di prevenzione.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Negli esercizio che dispongono di posti a sedere, privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco dei clienti che si sono presentati al locale.

    • Garantire la distanza di 1 metro tra le sedute oppure adottare barriere fisiche adeguate a prevenire il contagio.

    • Il personale di servizio a contatto con i clienti deve utilizzare la mascherina.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Cosa devo fare per un sicuro servizio al tavolo?
    • Al termine di ogni servizio devi disinfettare le superfici e devi evitare utensili riutilizzabili se non igienizzati (es. saliere, oliere etc).

Posso consegnare il menù ai clienti?
    • È preferibile rendere consultabile il menù online, oppure il menù deve essere in stampa plastificata in modo da poter essere igienizzato ogni volta o cartaceo a perdere.

Posso servire la consumazione al banco?
    • Sì, ma solo se può essere assicurata la distanza interpersonale di 1 metro tra i clienti.
Posso allestire un buffet?
    • No, la consumazione a buffet non è consentita.
Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, possibilmente al tavolo. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

B) Ho attività di catering
    • Oltre ad adeguarti al rispetto di tutto quanto previsto per le attività con servizio in sede (vedi FAQ A) Ho un ristorante), devi rispettare le misure di prevenzione disposte dall’organizzazione del tuo cliente.

C) Ho uno stabilimento balneare: che cosa devo fare per lavorare nel rispetto della normativa?
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Privilegiare l’accesso allo stabilimento tramite prenotazione e conservare per 14 giorni l’elenco dei clienti presenti.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire l’accesso allo stabilimento in modo ordinato mantenendo 1 metro di distanza tra gli utenti.

    • Disinfettare regolarmente e con frequenza le aree comuni, spogliatoi, cabine, docce, servizi igienici e assicurarla dopo la chiusura dell’impianto.

Come devo posizionare gli ombrelloni?
    • Non è importante l’allestimento della spiaggia (a file orizzontali o a rombo), ma occorre assicurare un distanziamento tra gli ombrelloni in modo da garantire 10m2 per ogni ombrellone.

Come devo posizionare lettini e sedie a sdraio?
    • Quando non sono posizionate nel posto ombrellone deve essere garantita una distanza di almeno 1,5m.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico, eventualmente in fase di prenotazione. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

È possibile fare sport in spiaggia?
    • È vietato praticare attività ludico-sportive di gruppo che possono dar luogo ad assembramenti, ma sono consentiti sport individuali, nel rispetto del distanziamento interpersonale. Per gli sport di squadra (es. beach-volley) sarà necessario rispettare le disposizioni delle disposizioni competenti.

D) Ho una struttura alberghiera (hotel, agriturismo, bed&breakfast): che cosa devo fare per lavorare nel rispetto della normativa?
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Devi predisporre una informativa, anche privacy, sulle misure di prevenzione, che sia comprensibile anche per gli stranieri.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi garantire il rispetto del distanziamento interpersonale di 1 metro in tutte le aree comuni.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • La postazione della reception può essere dotata di barriere fisiche. In ogni caso devi favorire i pagamenti elettronici e la gestione delle prenotazioni online, eventualmente con sistemi automatizzati di check-in e check-out.

    • Il servizio di ricevimento deve provvedere alla fine di ogni turno di lavoro alla pulizia del piano di lavoro e delle attrezzature utilizzate.

    • Devi garantire la disinfezione frequente degli ambienti e delle superfici toccate con maggiore frequenza (es. corrimano, interruttori, maniglie).

    • Devi mettere a disposizione dei clienti all’interno della struttura prodotti igienizzanti per le mani.

    • Gli ospiti all’interno della struttura devono indossare le mascherine.

    • Il personale deve utilizzare sempre le mascherine in presenza dei clienti e comunque in ogni caso quando non può essere rispettata la distanza interpersonale di 1 metro.

Posso fornire in uso al clienti oggetti (es. asciugacapelli)?
    • Sì, ma devi disinfettare ogni oggetto fornito in uso prima e dopo ogni utilizzo.

È possibile utilizzare gli ascensori?
    • Sì, ma nel rispetto della distanza interpersonale e con l’utilizzo della mascherina. Possono essere previste eventuali deroghe in caso di componenti dello stesso nucleo familiare/gruppo di viaggiatori.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).

E) Ho un’attività di servizi alla persona (parrucchiere, estetista, barbiere)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Consentire l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra le singole postazioni di lavoro e tra i clienti.

    • Se possibile, delimitare con barriere fisiche l’area di lavoro.

    • Sia il cliente che l’operatore per tutto il tempo in cui per l’espletamento della prestazione devono mantenere una distanza inferiore a 1 metro devono utilizzare le mascherine (fatti salvi per l’operatore eventuali dispositivi individuali ad hoc es. mascherina FFP2, visiera protettiva, guanti monouso, etc.).

    • L’operatore nella prestazione del trattamento deve utilizzare guanti diversificati da quelli usati nel contesto ambientale.

Devi assicurare una adeguata disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.

Posso mettere a disposizione dei clienti riviste e giornali?
    • No, occorre eliminare dal locale giornali, riviste e materiale informativo di uso promiscuo.

    • I clienti devono indossare la mascherina tutte le volte che non sono seduti al tavolo.

Come estetista devo adottare ulteriori e specifici sistemi di protezione?
    • Sì, nell’erogazione di una prestazione che richiede una distanza ravvicinata devi indossare la visiera protettiva e la mascherina FFP2 senza valvola.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

F) Ho un’attività di commercio al dettaglio (abbigliamento, scarpe, utensileria, cose per la casa)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro tra i clienti.

    • Assicurare la pulizia e disinfezione quotidiana delle aree comuni.

    • In caso di vendita di abbigliamento: devono essere messi a disposizione della clientela guanti monouso da utilizzare obbligatoriamente per scegliere in autonomia, toccandola, la merce.

Posso accettare il pagamento in contanti?
    • Sì, ma è preferibile favorire il pagamento elettronico. La postazione della cassa può essere dotata di barriere fisiche, in alternativa il personale deve indossare la mascherina e comunque avere a disposizione gel igienizzante per le mani.

G) Ho uno studio professionale: avvocato, commercialista, geometra, consulenza ecc.
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Promuovere il contatto con i clienti tramite modalità di collegamento a distanza.

    • Favorire l’accesso dei clienti tramite prenotazione.

    • Devi mettere a disposizione anche dei clienti prodotti igienizzanti per le mani.

    • Garantire la distanza di 1 metro sia tra le singole postazioni di lavoro sia tra i clienti. Dove questo non può essere garantito deve essere utilizzata la mascherina.

    • L’area di lavoro se possibile deve essere delimitata da barriere fisiche.

    • L’attività di front office per gli uffici ad alto flusso di clienti esterni può essere svolta esclusivamente nelle postazioni dedicate e dotate di vetri o pareti di protezione.

    • Per le riunioni (con utenti interni e/o esterni) bisogna favorire prioritariamente le modalità a distanza; in alternativa deve essere garantito il rispetto della distanza interpersonale di 1 metro e in caso di durata prolungata anche l’uso della mascherina.

    • Assicurare la pulizia e disinfezione delle superfici di lavoro e delle attrezzature prima di servire un nuovo cliente.

H) Ho una palestra
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Redigere un programma delle attività il più possibile pianificato (es. con prenotazione), regolamentare gli accessi in modo da evitare assembramenti e conservare per 14 giorni l’elenco delle presenze.

    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione dell’ambiente anche più volte al giorno e comunque la disinfezione degli spogliatoi, compresi gli armadietti, a fine giornata.

Devo prestare particolare attenzione al posizionamento degli attrezzi e delle macchine?
    • Sì, l’accesso agli attrezzi, alle macchine e alle diverse aree deve essere organizzato in modo da garantire.

    • la distanza di almeno 1 metro tra le persone mentre non svolgono attività fisica.

    • la distanza di almeno 2 metri tra le persone durante l’attività fisica.

Devo disinfettare le macchine e gli attrezzi?
    • Sì, dopo l’utilizzo da parte di ogni singolo soggetto devi procedere alla disinfezione della macchina o degli attrezzi usati.

E per gli attrezzi e le macchine che non possono essere disinfettate?
    • Gli strumenti che non possono essere disinfettati non devono essere utilizzati.

È possibile utilizzare in palestra scarpe usate in strada?
    • No, occorre utilizzare in palestra apposite calzature esclusivamente destinate a questo scopo.

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione al microclima?
    • Sì, è fondamentale verificare le caratteristiche di areazione dei locali e degli impianti di ventilazione (ad es. garantire areazione naturale, aumentare la frequenza di manutenzione degli impianti, attivare l’ingresso e l’estrazione dell’aria almeno un’ora prima e fino a un’ora dopo l’accesso del pubblico, etc.).

I) Gestisco una piscina (gioco acquatico, solarium)
    • Lato normativa sulla protezione dei dati personali: devi predisporre una informativa privacy a norma di legge e osservare gli altri adempimenti (istruzioni agli autorizzati, misure di sicurezza, collegamento con i registri, ecc… vedi sopra).
    • Puoi misurare la temperatura all’ingresso e impedire l’accesso in caso di temperatura superiore a 37,5 °C.

    • Devi privilegiare l’accesso tramite prenotazione e conservare per 14 giorni l’elenco delle presenze.

    • Devi predisporre opportuna segnaletica, anche attraverso monitor e/o maxi-schermi, per sensibilizzare gli utenti riguardo ai comportamenti.

    • Redigere un programma delle attività il più possibile pianificato in modo da dissuadere eventuali condizioni di aggregazioni.

    • Regolamentare i flussi degli spazi di attesa e nelle varie aree in modo da favorire il rispetto del distanziamento sociale di 1 metro.

    • Devi favorire la differenziazione dei percorsi di ingresso e uscita dalla struttura.

    • Devi organizzare spogliatoi e docce in moda da assicurare la distanza di 1 metro.

    • Devi mettere a disposizione di frequentatori/ospiti/clienti prodotti igienizzanti per le mani, prevedendo l’obbligo dell’igiene delle mani all’ingresso e in uscita.

    • Garantirne la frequente pulizia e disinfezione delle aree comuni, spogliatoi, cabine, docce, attrezzature (es. lettini, sedie, attrezzature galleggianti etc.).

È possibile l’uso promiscuo degli armadietti?
    • No. Inoltre gli indumenti e oggetti personali devono essere riposti nella borsa personale anche qualora depositati negli appositi armadietti e devono essere messi a disposizione degli ospiti sacchetti per riporre gli effetti personali.

Devo prestare particolare attenzione allo spazio riservato ad ogni persona?
    • Sì, l’accesso ai frequentatori dell’impianto deve avvenire in modo da garantire il rispetto della densità di affollamento calcolata.

    • per le aree solarium e verdi, con un indice di non meno di 7mq di superficie di calpestio a persona.

    • in vasca, con un indice di 7mq di superficie di acqua a persona.

Sono necessari controlli sull’idoneità dell’acqua?
    • Sì, prima dell’apertura della vasca deve essere eseguita un’analisi di tipo chimico e microbiologico dell’acqua.

Sono previsti parametri relativi alla presenza di cloro?
    • Sì, al fine di assicurare un livello di protezione dall’infezione il limite del parametro cloro attivo libero in vasca deve essere compreso tra 1,0 – 1,5 mg/l; cloro combinato ≤ 0,40 mg/l; pH 6.5 – 7.5.

    • La frequenza dei controlli sul posto dei parametri è non meno di due ore.

Come devo posizionare lettini e sedie a sdraio?
    • La disposizione delle attrezzature deve garantire la distanza di almeno 1,5m tra le persone non appartenenti allo stesso nucleo familiare o conviventi.

Devo disinfettare le attrezzature?
    • Sì, ad ogni cambio persona o nucleo familiare lettini, sdraio, ombrelloni etc. vanno disinfettati. In ogni caso la sanificazione deve essere garantita ad ogni fine giornata.

È consentito il funzionamento di giochi acquatici?
    • No, le piscine finalizzate a giochi acquatici vengono convertite in piscine per la balneazione. Nel rispetto delle prescritte misure di sicurezza sono consentiti toboga, vasche torrente e scivoli morbidi.

 

 

 

Applicazioni di tracciamento anti-Covid19 e data protection

Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.

Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.

La lettera aperta del 25 marzo

Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.

In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.

Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).

Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).

Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.

Dieci domande (senza risposta) al Ministro

Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).

La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.

Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.

Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.

È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.

Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.

Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.

Una nuova lettera aperta

Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.

Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.

Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.

Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.

Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.

Vi terremo aggiornati sugli sviluppi.

È lecita la videosorveglianza segreta da parte di un comune?

Ci è stata posta questa domanda a proposito di recenti notizie di stampa relative a un comune del bolognese, Anzola dell’Emilia. La vicenda tocca evidenti profili privacy di interesse generale che trascendono l'episodio specifico. Riteniamo perciò utile pubblicare la nostra valutazione.

Leggi tutto "

È lecita la videosorveglianza segreta da parte di un comune?

"

Informativa sul trattamento dei dati personali

Gentile Utente/Cliente/Assistito/Interessato,

Lo studio legale Grieco Pelino Avvocati osserva in maniera scrupolosa gli obblighi normativi in materia di tutela dei dati personali.

Finalità del trattamento, basi giuridiche, periodo di conservazione

1. Visualizzazione sito e navigazione
  • Precisazioni sulla finalità: la visualizzazione del sito e la navigazione al suo interno comportano, per ragioni intrinseche all'utilizzo di protocolli informatici, uno scambio di informazioni tecniche tra il nostro sistema informatico e il Suo. Le informazioni trasmesse sono ad esempio le seguenti: sistema operativo utilizzato, browser e sua versione, orario della richiesta, dimensione dei flussi di informazioni. In ogni caso, le informazioni raccolte per la finalità qui in esame non sono dirette a identificarLa, ma potrebbero essere idonee a farlo nel caso di commissione di illeciti. Per garantirLe un accesso e una navigazione senza preoccupazioni, abbiamo scelto di non usare cookie che richiedano il Suo consenso: per questo non trova alcun banner sulla pagina iniziale
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: i dati sono immediatamente cancellati al cessare della sessione di navigazione, a meno che essi non siano necessari per l’esercizio o la difesa di diritti (ved. più avanti).

2. Gestione dei contatti
  • Precisazioni sulla finalità: la compilazione del modulo contatti presente sul sito o più in generale l'invio di una email di contatto comportano necessariamente il trattamento dei dati personali ivi contenuti (nome, cognome, oggetto, recapiti di contatto)
  • NB: le comunicazioni di cui sopra e i relativi allegati sono lette da tutti i componenti dello studio legale, essendo strumenti di lavoro, non hanno dunque natura di corrispondenza privata e personale. Ovviamente sono protette da stringenti obblighi di riservatezza e non sono rivelate a terzi se non per ragioni connesse con l'espletamento dell'incarico, ordini legittimi dell'Autorità, obblighi di legge, esercizio dei nostri diritti di difesa (ved. sotto) Il presente sito utilizza protocollo di cifratura https. Qualora Lei lo ritenga opportuno, potrà per ulteriore garanzia inviarci file cifrati, comunicandoci telefonicamente la chiave di cifratura
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: tali dati sono utilizzati per elaborare la richiesta e per riscontrarla e vengono cancellati al momento in cui sia definitivamente esaurita la finalità di contatto, di risposta o di corrispondenza

3. Gestione dell'incarico conferitoci da Clienti/Assistiti
  • Precisazioni sulla finalità: nel caso in cui il Cliente/l'Assistito ci conferisca un incarico, i dati personali (anche di terzi) raccolti per il suo espletamento saranno trattati per le strette finalità di esecuzione dello stesso e nel rispetto delle prescrizioni di legge
  • Base giuridica: rispetto al Cliente/Assistito persona fisica contratto e misure precontrattuali, art. 6.1.b) GDPR. Negli altri casi: interesse legittimo, art. 6.1.f) GDPR, consistente nell'espletamento dell'incarico professionale. Ove applicabile: obbligo di legge, art. 6.1.c) GDPR, per es. in materia di antiriclaggio
  • Conservazione: i dati personali sono conservati per tutta la durata dell'incarico. Cessato l'incarico saranno conservati ai sensi della finalità di accertamento/esercizio/difesa di un diritto e di quella di archiviazione (ved. sotto), in quanto applicabili

4. Accertamento, esercizio e/o difesa di diritti
  • Precisazioni sulla finalità: i dati personali oggetto dell'incarico e quelli di origine extra-contrattuale potrebbero essere necessari per far valere i nostri diritti costituzionali di difesa ed esercizio di diritti sia in sede giudiziale (inclusa sede precontenziosa) sia in sede stragiudiziale. I Suoi dati potrebbero per esempio essere utilizzati nell'ambito di controversie relative alla corretta esecuzione dell'incarico
  • Base giuridica: legittimo interesse, art. 6.1.f) GDPR
  • Conservazione: i dati personali sono conservati sono conservati per 10 anni, come previsto dal termine ordinario di prescrizione (art. 2946 c.c.), salva conservazione ulteriore nel caso di interruzione della prescrizione, come per legge

5. Archiviazione per obbligo di legge (inclusi obblighi deontologici)
  • Precisazioni sulla finalità: i dati personali oggetto dell'incarico devono essere conservati per obblighi di legge che siamo tenuti a osservare
  • Base giuridica: obbligo di legge, art. 6.1.c) GDPR
  • Conservazione: i dati personali sono conservati per 10 anni per finalità di archiviazione obbligatoria ex lege (artt. 2220 c.c.; 22, commi 2 e 3 D.P.R. 29.9.1973, n. 600; 33 cod. deont. forense), salva conservazione ulteriore nel caso di interruzione della prescrizione, come per legge.

6. Instaurazione di rapporti di collaborazione e gestione cv
  • Precisazioni sulla finalità: analizziamo, se del caso, i cv che ci vengono inviati per finalità di instaurazione di rapporti di collaborazione. L'interessato che ci invia il propri cv è edotto che ci riserviamo verifica delle informazioni e dei titoli anche presso terzi.
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: i cv e le ulteriori informazioni raccolte in esecuzione della finalità saranno cancellate senza ritardo nel caso di mancata instaurazione del rapporto di collaborazione. Nel caso di instaurazione del rapporto, saranno tenute per l'intera durata del rapporto e comunque non oltre 10 anni dalla raccolta, in quanto informazioni che hanno determinato la volontà contrattuale e per necessarie verifiche sulla loro corrispondenza a fatti e circostanze veritiere

7. Comunicazione a terzi e altri trattamenti in esecuzione di obbligo di legge/ordini Autorità
  • Precisazioni sulla finalità: ove applicabile, tratteremo i Suoi dati per osservanza di obblighi di legge e/o per dare corso a richieste legittime (es. richieste di accesso o di trasmissione di informazioni) da parte di Autorità e di soggetti a ciò autorizzati. Faremo in ogni caso quanto opportuno per tutelare i Suoi diritti e per informarLa, ove legalmente e fattivamente possibile, di qualsiasi richiesta di tal genere da parte di terzi
  • Base giuridica: obbligo di legge, art. 6.1.c) GDPR e, a seconda dei casi, altresì interesse legittimo, art. 6.1.f) GDPR
  • Conservazione: i dati personali oggetto trasmessi sono quelli di cui disponiamo per qualcuna delle altre finalità indicate in questa informativa. Fare dunque riferimento ad esse

8. Manutenzione sistemi informatici e dispositivi
  • Precisazioni sulla finalità: i soggetti incaricati di eseguire manutenzione e riparazioni potrebbero avere accidentalmente accesso a dati personali presenti sui sistemi informatici e sui dispositivi. Si tratta di eventi del tutto occasionali e non prevedibili e in ogni caso privi di finalità di identificazione e di durata limitata all'esecuzione dell'intervento di manutenzione/riparazione
  • Base giuridica: interesse legittimo, art. 6.1.f) GDPR
  • Conservazione: i dati personali oggetto trasmessi sono quelli di cui disponiamo per qualcuna delle altre finalità indicate in questa informativa. Fare dunque riferimento ad esse

Facoltatività del conferimento

A parte i dati personali che si impegna a fornirci contrattualmente o che deve fornici per obbligo di legge (la cui mancata fornitura può determinare responsabilità giuridica), ogni altro conferimento di dati personali da parte Sua è meramente facoltativo (es. invio di cv, invio di richieste non ancora contrattualizzate, navigazione nel sito). Unica conseguenza del mancato conferimento facoltativo sarà l'impossibilità di fornire o di eseguire i servizi richiesti.

Categorie di destinatari
  • fornitori di hosting, housing, cloud, fornitori di servizi di posta elettronica (per le esigenze di pubblicazione del sito e di gestione del servizio email/Pec);
  • commercialisti, periti in generale, altri legali (nei limiti dell'esecuzione degli adempimenti di legge o dell'incarico del Cliente);
  • soggetti pubblici (nei limiti dell'esecuzione degli adempimenti di legge o dell'incarico del Cliente). Ad es., può trattarsi dei seguenti: Autorità giudiziaria, Autorità indipendenti, organismi di conciliazione/mediazione, Ordini professionali, Autorità di polizia, Agenzia delle entrate;
  • persone da noi autorizzate trattamento dei dati che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (es. dipendenti e collaboratori).

Diritti dell'interessato e reclamo avanti al Garante

Potrà esercitare nei nostri confronti i seguenti diritti:

  • Accesso (art. 15 GDPR): potrà contattarci per conoscere se i tuoi dati personali sono oggetto di trattamento e le informazioni di legge sul trattamento;
  • Rettifica (art. 16 GDPR): la correzione dei dati inesatti o l'integrazione di quelli incompleti;
  • Cancellazione/oblio (art. 17 GDPR): ottenere la cancellazione dei dati personali, nei casi di legge;
  • Limitazione (art. 18 GDPR): ottenere la sottoposizione dei dati alla sola conservazione, con esclusione di altre attività, nei casi di legge;
  • Portabilità (art. 20 GDPR): ottenere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e ottenerne altresì la trasmissione diretta ad altro titolare del trattamento, nei casi di legge;
  • Opposizione (art. 21 GDPR): diritto di far cessare ulteriore trattamento dei dati personali per motivi connessi alla sua situazione particolare, salva prevalenza dei nostri motivi legittimi cogenti, nei casi di legge.
  • Revoca del consenso (art. 7.3 GDPR): diritto di revocare in qualsiasi momento il consenso. NB: per Sua garanzia, non abbiamo previsto consensi nel nostro sito. Inoltre, di regola, nessun nostro trattamento è basato sul consenso. Le basi giuridiche su cui operiamo sono: contratto, obbligo di legge e interesse legittimo.

Non svolgiamo trattamenti con processi decisionali automatizzati né profilazioni nei confronti dei ns. Assistiti e degli Utenti del sito.

Contattaci (ved. sotto) per esercitare i diritti suddetti.

Reclamo avanti al Garante Lei ha diritto altresì di promuvore reclamo avanti all'Autorità garante per la protezione dei dati personali competente. Ricordiamo che il reclamo, a norma dell'art. 77.1 GDPR, può essere promosso dall'interessato presso l'Autorità del luogo dove l'interessato risiede abitualmente, dove lavora oppure dove si è verificata la presunta violazione

Titolarità e contatti

Contitolari del trattamento sono gli avvocati Enrico Pelino e Luciana Grieco, nel caso di incarico congiunto/disgiunto sullo stesso Cliente e/o Assistito. Diversamente è titolare autonomo il professionista che ha ricevuto l'incarico.

Contatti:
  • Email (consigliato): .
  • Posta cartacea: Grieco Pelino Avvocati, viale Masini 12 - 6° piano, 40126 Bologna;
  • Telefono: ved. in calce (riquadro azzurro)

Cookie

Non usiamo cookie, se non di natura tecnica al fine di garantire corretta visualizzazione e navigazione nel sito. I cookie tecnici non richiedono alcun consenso

Più in generale: unicamente per Sua informazione, può comunque disabilitare l’installazione dei cookie impostando il browser in uso. La disabilitazione dei cookie tecnici potrebbe determinare malfunzionamenti nella navigazione del sito. Qui di seguito le indicazioni per disabilitare i cookie, relative ai principali browser: