La gestione aziendale della normativa sulla privacy può presentare diversi rischi e dubbi, anche e soprattutto oggi che al consueto trattamento dei dati personali è andato ad aggiungersi il trattamento dei dati sullo stato vaccinale.
Lo scenario normativo, in questo periodo delicato, può apparire poco chiaro, anche per le continue modifiche: cosa dovrebbe fare il datore di lavoro per rispettare la normativa, così da non incorrere in sanzioni?
Le pesanti sanzioni del Garante della Privacy
I fatti hanno dimostrato più e più volte che le sanzioni del Garante della Privacy non sono eventi remoti. Basti pensare a quello che è successo nei mesi scorsi: nella newsletter del Garante della Privacy di agosto 2021 è stata riportata la notizia di una sanzione da 2 milioni e 500 mila euro a un’azienda per illecito di dati personali. Nello specifico, l’azienda in questione è stata multata per non aver gestito correttamente i dati personali dei lavoratori, con «numerose e gravi violazioni della normativa privacy europea e nazionale, dello Statuto dei lavoratori e della recente normativa a tutela di chi lavora con le piattaforme digitali».
Il fatto è che in molte aziende, anche di dimensioni ridotte, potrebbero configurarsi delle violazioni e delle mancanze del tutto simili a quelle citate. I provvedimenti da tenere in considerazione sono tanti e differenti, a partire dal Provv. N. 13 del 2007 del Garante della Privacy, relativo alle “Linee guida del Garante per utilizzo di posta elettronica ed internet in ambito lavorativo”. Ebbene, come è noto da quell’anno l’evoluzione degli strumenti informatici è stata enorme, aprendo il varco a trattamenti dei dati invasivi e persino eccedenti.
A complicare le cose, poi, c’è stata l’ulteriore accelerazione a partire dal 2020, a causa del lavoro da remoto, modalità di prestazione dell’attività lavorativa che ha aggiunto altre insidie dal punto di vista della privacy in azienda. La stessa gestione effettiva del contenimento dei contagi in azienda ha peraltro introdotto dei trattamenti straordinari dei dati personali dei dipendenti, con nuovi obblighi per il datore di lavoro.
Lo Stato vaccinale e il trattamento dei dati personali
L’avvento del Covid-19 ha introdotto il trattamento dei dati sanitari in azienda, a partire dal trattamento definito “straordinario” dei dati relativi alla temperatura corporea, rilevazione indispensabile per l’accesso sicuro nelle sedi aziendali. Sappiamo però che, a fronte di ogni dato personale raccolto e trattato – per quanto non registrato, se non in determinati casi, come per l’appunto nel caso della temperatura – è d’obbligo fornire un’informativa dettagliata con tutti gli elementi previsti ai sensi dall’art. 13 del Reg Eu. 2016/679, tra i quali una finalità specifica e anche una base giuridica che giustifichi la rilevazione.
Altro elemento di confusione in relazione alla gestione della privacy in azienda è lo stato vaccinale, che non può essere richiesto dal datore di lavoro. L’unica figura che può trattare dati sanitari, all’interno dell’azienda, è infatti il medico competente, il quale è l’unico titolare degli accertamenti medici necessari all’interno dell’impresa, al fine di verificare l’idoneità dei dipendenti a svolgere le relative mansioni.
L’integrazione del registro dei trattamenti e della Policy aziendale
Considerando questi trattamenti straordinari, nonché il forte aumento degli attacchi informatici ai danni delle aziende perpetrati attraverso i dispositivi degli smart worker, le aziende non possono che mettere in campo delle tempestive integrazioni, sia del registro dei trattamenti (obbligatorio ai sensi Art. 30 del GDPR) sia della Policy aziendale, senza dimenticare l’analisi dei rischi e, se necessario, la DPIA (Data Protection Impact Assessment).
L’azienda è tenuta a riconsiderare tutte le informative relative ai diversi trattamenti in essere in questo frangente eccezionale. Di fronte a tutti questi obblighi, per non rischiare pesantissime sanzioni, diventa fondamentale individuare una completa e aggiornata soluzione per la gestione della privacy e per l’adeguamento alla normativa sulla protezione dei dati personali, tenendo in considerazione anche la possibilità di richiedere l’affiancamento di consulenti esperti, per non trascurare nulla. Basti peraltro pensare al fatto che tra gennaio 2020 e gennaio 2021 le sanzioni del Garante della Privacy sono aumentate di circa il 40%, arrivando complessivamente a 158,5 milioni di euro.
Vuoi gestire la privacy in azienda senza incorrere in sanzioni?
Scopri le soluzioni per la Gestione della Privacy e del GDPR
