Covid-19, dati sanitari e GDPR

Come raccogliere i dati sanitari dei clienti di negozi, ristoranti e attività ricreative per essere in regola con il GDPR

Lo Studio Corigliano&Porfido vi augura buone vacanze dandovi qualche consiglio utile per proteggere i dati personali che tratterete durante le vacanze, con particolare riferimento ai trattamenti dati previsti dal Governo nell’ambito delle misure di contenimento del coronavirus.

Secondo le Linee Guida per la riapertura delle Attività Economiche Produttive e Ricreative contenute nel dpcm 14 luglio 2020, i titolari di ristoranti, alberghi, negozi, locali e altre attività commerciali sono tenuti ad adottare dei protocolli preventivi per assicurare il rispetto delle norme igienico-comportamentali e contribuire al contrasto del SARS-CoV-2.

Tra i vari adempimenti, i titolari di attività commerciali, associative e ristorazione devono rilevare la temperatura dei clienti e registrare i nominativi ed i dati sanitari di chi accede al locale

Queste misure sono volte ad inibire l’ingresso a chi abbia una temperatura al di sopra dei 37.5° e conservare, per un periodo di 14 giorni, i nominativi delle persone che hanno avuto accesso alla struttura, al fine di monitorare l’epidemia ed eventualmente poter contattare un cliente in caso di un contagio da covid-19.

La raccolta di informazioni sulla salute del cliente, richiesta dalle predette Linee Guida, costituisce un trattamento dati personali, ai sensi del GDPR, Regolamento Europeo in materia di protezione dati personali 679/2016, secondo cui rientra nella nozione di trattamento qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione.

Pertanto, l’impresa chiamata a raccogliere i dati del cliente per finalità di contrasto della pandemia dovrà attenersi ai principi del GDPR, adottando degli accorgimenti che attestino la corretta acquisizione, conservazione e gestione dei dati personali.

Durante la pandemia, è risultato evidente come i dati personali rappresentino una risorsa da imparare a tutelare e gestire, anche per scopi di carattere generale come la tutela della salute pubblica. In questo contesto, infatti, deve cambiare la percezione delle persone sulle leggi in materia di privacy e protezione dati personali che non rappresentano, contrariamente a quanto si tende a pensare, degli adempimenti formali che finiscono per appesantire l’attività di un’azienda ma, contrario, sono dei principi necessari a regolamentare le operazioni ormai quotidiane che ogni professionista svolge sui dati personali.

Attraverso queste regole, gli imprenditori hanno la possibilità di conservare ed utilizzare i dati, mentre i privati -bombardati ogni giorno da richieste di dati personali- possono godere di adeguate garanzie in sulla finalità dell’acquisizione dei propri dati.

Riassumiamo, quindi, cosa ha specificato il Garante della privacy in tema di misure di precauzione per le attività commerciali, associative e ricreative e raccolta dati personali.

  • MISURAZIONE DELLA TEMPERATURA DEI CLIENTI

Si possono rilevare i dati?

  • è possibile misurare la temperatura corporea di lavoratori e clienti inibendo l’accesso a chi riporti una temperatura al di sopra dei 37.5 gradi;
  • i dati non devono essere nè trascritti nè conservati;
  • i dati non devono essere diffusi a terzi.

Il cliente può rifiutarsi di farsi misurare la temperatura?

Si, ma in tal caso non può essere ammesso nella struttura perchè la misurazione della temperatura è condizione essenziale per l’ingresso.

Quale misura deve essere adottata per rendere questo trattamento dati conforme al GDPR?

  1. é obbligatorio rendere al cliente un’informativa sul trattamento dati personali, anche in forma orale, in cui vengano riassunte finalità e base giuridica dell’acquisizione dati personali;
  2. i dati non possono essere comunicati a terzi, visto che non è possibile registrarli.
  • INFORMAZIONI SULLO STATO DI SALUTE DEI CLIENTI

Si possono acquisire dati sullo stato di salute dei clienti?

  1. si, anche in forma di autodichiarazione;
  2. questi dati possono essere conservati per 14 giorni, rispettando regole e principi del GDPR;
  3. i dati possono essere ceduti solo all’autorità sanitaria per motivi di tutela della salute pubblica.

Quali informazioni possono essere acquisite?

  1. assenza di contatti con persone positive al covid;
  2. inesistenza di obbligo di quarantena;
  3. non provenienza da zone a rischio epidemiologico.

Il cliente può rifiutarsi di dare informazioni sulla propria salute?

Si, ma in tal caso non può essere ammesso nella struttura perchè la rilevazione di questi dati è condizione essenziale per l’ingresso.

Quale misura deve essere adottata per rendere questo trattamento dati conforme al GDPR?

  1. é obbligatorio rendere al cliente un’informativa sul trattamento dati personali, anche in forma orale, in cui vengano riassunte finalità e base giuridica dell’acquisizione dati personali, modi e tempi di conservazione e ipotesi di trasmissione a terzi;
  2. acquisire solo i dati strettamente necessari alle finalità preventive.

  • NOMINATIVI DEI CLIENTI

Si possono acquisire i nominativi dei clienti?

  1. si, al fine di tenere nota di tutti i soggetti che hanno fatto accesso alla struttura;
  2. questi dati possono essere conservati per 14 giorni rispettando regole e principi del GDPR;
  3. i dati possono essere ceduti solo all’autorità sanitaria per motivi di tutela della salute pubblica.

Il cliente può rifiutarsi di dare informazioni sulla propria salute?

Si, ma in tal caso non può essere ammesso nella struttura perchè la rilevazione di questi dati è condizione essenziale per l’ingresso.

Quale misura deve essere adottata per rendere questo trattamento dati conforme al GDPR?

  1. é obbligatorio rendere al cliente un’informativa sul trattamento dati personali, anche in forma orale, in cui vengano riassunte finalità e base giuridica dell’acquisizione dati personali, modi e tempi di conservazione e ipotesi di trasmissione a terzi;
  2. i nominativi non devono essere accessibili a persone non autorizzate, compresi altri clienti;
  3. si predilige l’acquisizione di dati su moduli per nucleo familiare.

Cosa si rischia in caso di violazione del GDPR nei trattamenti dati descritti? 

Una sanzione amministrativa pecuniaria pari al 4% del fatturato dell’azienda.

Impara a conoscere sfruttare al meglio le regole in materia di protezione dati personali.

Se hai bisogno di un consiglio su come gestire i dati personali nella tua struttura o su come redigere l’informativa, contattaci!

Buone, sicure, vacanze!

Lascia un commento