Non c'è mai stato un momento storico così rilevante in cui i dati sono stati così importanti. L'emergenza dovuta al coronavirus pone le aziende di fronte a nuove problematiche privacy che a volte sono state e potrebbero essere gestire secondo modalità non corrette. Ne parlano Giulio Coraggio e Christian Bernieri in questo webinar organizzato dal KnowLedgeNet italiano dello IAPP, l'International Association of Privacy Professionals.

1. Come gestire le problematiche
attuali e future dell’emergenza
Covid-19 in Italia
KnowledgeNet Chapter Virtual Meeting
Venerdì, 10 aprile 2020
Avv. Giulio Coraggio – Partner, Head of the Technology Sector, DLA Piper
Dott. Christian Bernieri – DPO CIPP/E

2. Non è un webinar, è un’online think tank
roundtable
vs

3. 1. Dobbiamo raccogliere i dati di dipendenti,
clienti e fornitori?
• Divieto di controlli indiscriminati e di
iniziative “fai da te”
• Obbligo di autodenuncia da parte dei
dipendenti
• DPCM 11 marzo 2020 > obbligo di adozione di protocolli anti-
contagio
• Protocollo anti-contagio del 14 marzo 2020 tra Governo e parti
sociali
• DPCM 22 marzo 2020 > obbligo di adottare il protocollo per
attività non sospese
• Ordinanze della Regione Lombardia 4 aprile 2020 >
“raccomandazione” di rilevazione temperatura corporea in
supermercati e farmacie

4. Wording • “il personale potrà essere sottoposto al controllo della
temperatura”
“Si raccomanda di provvedere alla rilevazione
sistematica della temperatura corporea anche ai clienti
presso i supermercati e le farmacie, oltre che ai
dipendenti dei luoghi di lavoro…”
si raccomanda la rilevazione, mediante idonee
strumentazioni, a cura dei gestori degli ipermercati,
supermercati, discount di alimentari e farmacie, della
temperatura corporea dei clienti, oltre che del personale,
prima del loro accesso.
Si raccomanda di sottoporre il personale che svolge
servizi essenziali nelle sedi degli Enti e Amministrazioni
di cui alla presente Ordinanza, compreso il personale
esterno che svolge funzioni di supporto, prima che
acceda agli immobili, al controllo della temperatura
corporea con le modalità individuate da ciascuna
amministrazione, ivi compresa l’autocertificazione;

5. A chi si rivolgono le norme?
• CITTADINI e LAVORATORI
Destinatari primari dei
provvedimenti
Obbligo di segnalarsi alle
autorità
Obbligo di avvertire il DDL
Obbligo di rispetto delle
ordinanze
Obbligo di rispetto delle
misure di sicurezza sul lavoro
• AZIENDE
Destinatari secondari
Prive di doveri di
segnalazione
Destinatarie del
generale dovere di
garanzia di
sicurezza/salubrità
Protocollo 14 Marzo e
misure di prevenzione
• AUTORITA’ SANITARIE
Completa gestione e
controllo della situazione
Dovere di garantire la
salute pubblica
Gestione del dato sanitario

6. Sguardo l’insieme - misurazioni di temperatura
SANITA’ PUBBLICA E PRIVATA INDUSTRIA, COMMERCIO E
SERVIZI
Misurazione da parte di personale
medico
Possibile, Compiant, Agevole Possibile, Compliant, Costoso
Misurazione da parte del medico
competente
Possibile, Compliant, Difficile Possibile, Compliant, Irrealizzabile
Misurazione da parte di laici E’ COMPLIANT ?
Autoanalisi Avrebbe valore giuridico?
Cutocertificazione Previsto da normativa regionale.
Ha valore giuridico? Ha valore medico e di prevenzione?
Locali idonei Già strutturato, reperibili facilmente Da organizzare, aspetto critico.
(come evitare l’ingresso misurando in
strada salvaguardando la
riservatezza?)
Strumentazione Esigenza di documentazione della misurazione (registrazione)
+
Confidenzialità del dato (no buzzer, locali apposta) e limitazione dell’accesso

7. Molti nostri clienti stanno rilevando la
temperatura corporea
1. Devo o posso raccogliere la temperatura corporea?
2. Di chi deve essere rilevata la temperatura corporea?
3. Chi deve rilevare la temperatura corporea? Deve essere
nominato responsabile/incaricato del trattamento?
4. Con quale strumento deve rilevare la temperatura corporea?
5. In quale luogo deve rilevare la temperatura corporea?
6. E’ necessario identificare la persona?
7. Quale è la base giuridica del trattamento da indicare
nell’informativa privacy? Sto trattando dati sulla salute?
8. Devo consegnare e far firmare l’informativa privacy?
9. Cosa devo fare con i dati rilevati?
10.Cosa devo fare se la persona ha una temperatura corporea
oltre 37,5°?

8. Termometri connessi - Segnalazione soglia.

9. Dilemma
Come si attua la Privacy By Design?
Come si garantisce accountability?
…senza trattare dati personali
…senza introdurre nuovi trattamenti
…senza violare gli altri principi

10. Salute e bilanciamento degli interessi
Approccio Privacy By Design

11. 2. Posso raccogliere delle autocertificazioni?
•Divieto di iniziative “fai da te” •Protocollo anti-contagio del
14 marzo 2020 tra Governo
e parti sociali

12. La maggior parte dei nostri clienti non
stanno raccogliendo autocertificazioni
1. L’autocertificazione ha una finalità anti-contagio?
2. Ho necessità di raccogliere le autocertificazione?
Posso usare un cartello/notifica?
3. Quale è il contenuto delle autocertificazioni?
4. Cosa posso fare con i dati raccolti?
5. Quanto tempo posso conservare le
autocertificazioni?
6. Quale è la base giuridica del trattamento? Posso
fare affidamento sull’interesse pubblico?
7. Posso tracciare gli spostamenti dei miei
dipendenti e gli altri dipendenti/clienti/fornitori
con cui sono stati in contatto?

13. Come gestire le FRAGILITA’ INDIVIDUALI
1. Il lavoratore a chi segnala di essere “fragile”?
2. Chi decide se la fragilità determina un rischio?
3. Chi stabilisce l’astensione e sotto quale fattispecie?
4. Quali dati tratta l’azienda?
5. Qual’è il coinvolgimento del MEDICO COMPETENTE
6. Qual’è il coinvolgimento del MEDICO CURANTE
7. Cosa dicono le ASL, l’INPS e gli enti che sostengono
il costo dell’assenza per fragilità?

14. 3. Cosa devo fare se l’azienda viene
informata che un dipendente è infetto?
•Protocollo anti-contagio del
14 marzo 2020 tra Governo
e parti sociali > necessità di
tutela della dignità del
lavoratore

15. Molte aziende sono impreparate a
gestire un caso di dipendente infetto
1. Cosa fare se un dipendente ha una temperatura
corporea superiore a 37,5°?
2. Cosa fare se un dipendente si sente male
durante l’orario lavorativo?
3. Chi deve essere contattato dal dipendente infetto
per comunicare l’infezione?
4. Quali altre persone nell’azienda possono essere
informate dell’infezione?
5. Quali informazioni si possono comunicare agli
altri dipendenti/clienti/fornitori?
6. Che indagini si possono fare sui contatti del
dipendente infetto?

16. 4. E’ possibile adottare il modello
coreano di “contact tracing”?
•Lancio dell’App AllertaLOM

17. Non siano a conoscenza di aziende che abbiano
adottato soluzioni di tracciamento dei contagiati
1. Vengono raccolti dati personali o dati anonimi?
2. Il tracciamento è su base volontaria oppure è
obbligatorio per tutti?
3. Quale può essere la base giuridica del
trattamento?
4. Dove vengono conservati i dati raccolti? Da chi?
per quanto tempo?
5. Chi ha accesso ai dati raccolti?
CASO FERRARI… tutto da scoprire.

18. Tendenza delle istituzioni UE.
• Commissione europea decide che sulla App contro COVID-19 debba
esserci un approccio coordinato a livello europeo in modo da essere
pienamente rispettoso delle norme
• EDPS: Wojciech Wiewiórowski, 'EU Digital Solidarity: a call for a pan-
European approach against the pandemic', on the EDPS response to
COVID-19 outbreak”
• European Data Protection Board to issue guidance on data processing in
the fight against COVID-19
• Twentieth plenary session of the European Data Protection Board - scope
of upcoming guidance on data processing in the fight against COVID-19
1. geolocation and other tracing tools in the context of the COVID-19 outbreak
– a mandate was given to the technology expert subgroup for leading this
work;
2. processing of health data for research purposes in the context of the
COVID-19 outbreak – a mandate was given to the compliance, e-
government and health expert subgroup for leading this work.

19. 5. Come gestire il ritorno al lavoro?

20. Ci sono delle problematiche aperte per la
gestione delle fasi 2 e 3
1. I dipendenti che sono stati contagiati dovranno fornire
un’attestazione di idoneità?
2. Si parla tanto di passaporto digitale sanitario, ma tutti i dipendenti
dovranno fornire l’attestazione?
3. L’attestazione può essere una condizione per ritornare al lavoro?
4. Le iniziative di alcune aziende di farsi carico del test e mettere a
disposizione delle App di tracciamento, presentano dei rischi?
5. A chi dovranno fornire questa attestazione di idoneità?
6. Come si dovrà gestire il rapporto della persona guarita da Covid-19
con gli altri colleghi? I dipendenti possono rifiutarsi di lavorare con
una persona guarita da Covid-19?
7. Gli altri dipendenti, clienti e fornitori hanno il diritto di sapere se una
persona è guarita da Covid-19?
8. Se la comunicazione interna ed esterna all’azienda non è stata
gestita correttamente, la persona guarita da Covid-19 può agire
contro l’azienda per danni?

21. Quale è l’approccio degli altri garanti
europei?
• Non ci sono esenzioni all’applicabilità della normativa privacy e l’eventuale
raccolta di dati da parte dei datori di lavoro si deve conformare con il GDPR
• i controlli e il tracciamento dei contagiati possono essere effettuati sulla
base delle indicazioni delle autorità sanitarie
• La legge privacy tedesca di integrazione del GDPR espressamente
consente il trattamento dei dati sulla salute in caso di motivi di interesse
pubblico nella sanità pubblica
• La raccolta dei dati deve avvenire in conformità con il principio di
minimizzazione nei casi in cui è giustificata
• Non ci sono esenzioni all’applicabilità della normativa privacy e l’eventuale
raccolta di dati da parte dei datori di lavoro si deve conformare con il GDPR
• i controlli e il tracciamento dei contagiati indiscriminato sono proibiti, il
datore di lavoro deve adottare misure per garantire la sicurezza del luogo di
lavoro e i dipendenti devono autodenunciare situazioni di rischio
• Se il trattamento dei dati sulla salute da parte di privati è necessario
nell’ottica dell’emergenza, l’ICO ne terrà conto in qualità di regolatore
“ragionevole e pragmatico”. Tuttavia, la normativa privacy continua a
trovare applicazione

22. E’ arrivato il vostro momento,
discutiamo!

23. Rimaniamo in contatto nelle iniziative
dello IAPP KnowledgeNet italiano
► Prossimi Virtual Meet-Up
► “L’accountability ai tempi del Covid-19, ossia la vita del privacy
professional / DPO tra regole prassi e restrizioni” organizzato dal Rome
IAPP KnowledgeNet che si terrà il 22 aprile 2020 con Marco Lauricella,
Federica Curcuruto, Rocco Panetta e Luigi Montuori del Garante
► “Il Covid-19 e rischi e opportunità dell’utilizzo delle email dei dipendenti”
che si terrà l’8 maggio 2020 con Jacopo Liguori, Monica Belfi e Giulio
Coraggio
► Quando la situazione ritornerà al normale, organizzeremo anche degli eventi,
meet-up e aperitivi fisici, ed è già in programma un evento sul CCPA
► Gruppo WhatsApp italiano che opera come Think Tank con oltre 50 persone già
iscritte e molto attive > se volete unirvi al canale, mandate un’email a Giulio
Coraggio, Christian Bernieri o Alessandra Boghi
Avv. Giulio Coraggio
Partner, Head of the Technology Sector
DLA Piper
giulio.coraggio@dlapiper.com
Dott. Christian Bernieri
DPO CIPP/E
dpo@berniericonsulting.com