“Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”. La base giuridica del trattamento s’identifica nell’implementazione dei protocolli di sicurezza anticontagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e rientra, dunque, tra i motivi di interesse pubblico e di tutela di interessi vitali (articoli 6 e 9 del GDPR), nonché di adempimento ad obblighi di legge. Pertanto, è lecito chiedere a chiunque acceda presso le sedi aziendali, che sia un dipendente o un fornitore, informazioni sugli ultimi spostamenti, informazioni sullo stato di salute proprio e di persone con cui il soggetto abbia avuto contatti, nonché misurare la temperatura corporea. Tali attività, costituendo trattamenti di dati personali, devono sempre avvenire nel rispetto della normativa privacy vigente e quindi nel rispetto dei principi di necessità del trattamento, di minimizzazione dei dati e degli obblighi di informazione nei confronti dei soggetti interessati.

Ciascun Titolare del trattamento, pertanto, prima di raccogliere le suddette informazioni, dovrà fornire agli interessati specifica informativa circa il trattamento dei dati effettuato in attuazione del Protocollo. L’informativa può omettere le informazioni già rese al soggetto interessato in precedenza e può essere resa anche soltanto oralmente prima dell’inizio del trattamento. Ciononostante, si consiglia di predisporre un’informativa ad hoc (anche solo integrando quella attualmente in uso) e di affiggerla in una posizione ben visibile all’ingresso dei locali aziendali.

Il Garante per la Protezione dei Dati Personali invita, comunque, i Titolari del trattamento a non adottare iniziative autonome che prevedano la raccolta di dati ma a seguire esclusivamente le prescrizioni emanate dal Governo e a rispettare il più possibile i principi a tutela della protezione dei dati personali. È, pertanto, opportuno astenersi, al fine di minimizzare il trattamento, dal richiedere informazioni aggiuntive non necessarie ai fini della prevenzione del contagio e istruire, anche per via orale, i soggetti incaricati al trattamento circa le modalità da seguire in modo da scongiurare la diffusione dei dati e di limitare le comunicazioni a terzi che non siano soggetti operanti nelle Forze di polizia, nel Servizio nazionale di protezione civile e in strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale.

È opportuno rafforzare, altresì, le misure di sicurezza per proteggere i dati personali che possono essere trasmessi, mediante i sistemi informatici, durante lo svolgimento del lavoro in modalità Smart Working. A titolo esemplificativo, è consigliabile adottare una policy sull’uso degli strumenti informatici in modo da limitare le violazioni dei dati personali; prevedere un sistema di gestione remota del PC che rispetti, in ogni caso, il divieto di controllo dei lavoratori previsto dalla L. 300/1970; attivare, ove possibile, una connessione VPN quale canale di comunicazione tra dispositivo remoto e azienda; richiedere di modificare con maggiore frequenza le password seguendo criteri più stringenti.

Inoltre, si consiglia di seguire le raccomandazioni diffuse dalla Polizia Postale in merito agli attacchi informatici, in particolare gli attacchi phishing aventi ad oggetto false comunicazioni provenienti da mittenti autorevoli (tra cui l’Organizzazione mondiale della sanità – OMS) a cui vengono allegati malware eseguibili con un click e finalizzati a rubare informazioni e infettare i sistemi informatici delle aziende. A tal fine, è consigliabile richiedere una maggior prudenza da parte dei lavoratori, invitandoli, in caso di allegati o link sospetti riguardanti informazioni e/o indicazioni sul Coronavirus, a non aprirli e ad avvisare immediatamente il datore di lavoro, nonché la Polizia Postale, tramite l’area dedicata sul sito www.commissariatodips.it.