Sono numerose le richieste di chiarimenti che pervengono al Garante in merito al trattamento di dati in periodo di coronavirus; e sono molte le iniziative degli organi di informazione a chiarimento degli aspetti problematici sollevati dalla situazione.

In questa situazione di sovraesposizione mediatica riuscire a capire come sia opportuno comportarsi risulta complicato. Tutto questo porta anche a sottovalutare, o dimenticare,  gli obblighi di adeguamento previsti dal gdpr.

Ecco allora che si può pensare che, con due moduli da far firmare ai dipendenti o clienti, si possano esaurire gli adempimenti previsti.

Peraltro la rilevazione della temperatura corporea costituisce trattamento di dati personali particolari, i c.d. dati sensibili, e quindi deve avvenire nel rispetto stringente della normativa in materia.

Ci preme in questa sede ricordare che la privacy, o meglio la protezione dei dati personali, non si esaurisce in una attività una tantum: va presidiata e costantemente aggiornata a seguito di verifiche e di monitoraggio continuo.

Quindi, anche in situazione di emergenza, non vanno dimenticate le prescrizione della normativa:

  1. Deve essere definito un Protocollo, una procedura, che preveda tutte le misure che implicano il trattamento di dati personali, particolari e non.
  2. Va definito il nuovo trattamento all’interno del Registro dei Trattamenti.
  3. Va specificato se è prevista la sola rilevazione di dati sanitari sensibili o anche la registrazione. In quest’ultimo caso andrà specificata quale sia la necessità che giustifichi tale registrazione o conservazione.
  4. Vanno definiti i tempi e le modalità di conservazione, le modalità di distruzione dei dati raccolti.
  5. Vanno identificati, definiti i soggetti incaricati di rilevare i dati sanitari.
  6. Va predisposta una informativa coerente con quanto riportato nel protocollo con la indicazione della finalità e base giuridica del trattamento.
  7. Vanno individuati ed autorizzati i soggetti preposti al trattamento sulla base del protocollo.
  8. Tali soggetti vanno formati sulle modalità ed i rischi del trattamento.
  9. Vanno definite e messe in atto tutte le misure di sicurezza necessarie.
  10. Si dovrà documentare tutto quanto ai fini di poter dimostrare la c.d. accountability in caso di verifica.

In conclusione si tratta di mettere in atto tutte le misure necessarie per assicurare la protezione effettiva dei dati personali, a maggior ragione in quanto ci troviamo in fase di emergenze e perché si tratta di dati particolari.

Non si sottovalutino questi aspetti poiché, solo seguendo regole precise è possibile rendere effettiva la protezione dei dati senza correre il rischio di inciampare in conseguenze molto gravi.