A supporto delle imprese per l’osservanza dei comportamenti obbligatori per la raccolta, conservazione, gestione dei dati personali richiesti dal GDPR Regolamento Europeo n° 679/2016 (nuova Normativa Privacy), recepito in Italia dal D.L.10 agosto 2018 n.101 recante modifiche al D.lgs 196/03, viene messo a disposizione on-line un VADEMECUM dedicato alla microimprese per i primi approfondimenti.

Confartigianato Imprese Avezzano fornisce una consulenza mirata e personalizzata per tutte le imprese che ne abbiano necessità. Attraverso un primo questionario verranno individuati i reali bisogni per orientare l’impresa verso il servizio più adeguato alle sue esigenze.

Il servizio comprende diverse opzioni modulabili secondo le necessità e la possibilità di assistenza da remoto o di affiancamento in azienda.

CONSULENZARaccolta delle informazioni indispensabili alla predisposizione della documentazione necessaria ai sensi di legge. E’ previsto inoltre un documento di analisi dei rischi che facilita l’eliminazione delle non conformità con verifica dei risultati dopo un anno.

FORMAZIONE PER TITOLARI E DIPENDENTII momenti formativi saranno dedicati in particolare alla compilazione della documentazione prevista dalla legge e alla corretta gestione dei dati.

CHECK-UP INFORMATICO Analisi specifica dei sistemi informatici con l’obiettivo di individuare aree di criticità relative alla sicurezza delle informazioni.

 

 

WEBINAR 15 GIUGNO 2021 - ADEGUAMENTO PRIVACY

LE LINEE GUIDA DI CONFARTIGIANATO PER LE MICRO E PICCOLE IMPRESE

 

IN DIRETTA ONLINE IL 15 GIUGNO 2021 ORE 16.30 L'EVENTO DI PRESENTAZIONE SU "YOU TUBE" E "FACEBOOK LIVE"

Nel corso del Convegno, con gli interventi della Prof.ssa Cerrina Feroni (Vice Presidente del Garante Privacy) e il Col. Menegazzo (Comandante Gruppo Privacy Guardia di Finanza) sarà affrontato anche il tema dei rischi derivanti dalle frodi tecnologiche e verranno date indicazioni alle imprese su come essere preparate al meglio in caso di ispezioni e controlli.

SCARICA QUI IL PROGRAMMA

 

 PER ACCEDERE AGLI EVENTI E’ NECESSARIO PRENOTARSI COMPILANDO IL MODULO DI PRENOTAZIONE  AL SEGUENTE LINK

 

"PRIVACY A MISURA DI MICRO E PICCOLA IMPRESA"


VI SARANNO INVIATE SUBITO LE INDICAZIONI PER PARTECIPARE AL SEMINARIO IN DIRETTA WEB 

 

 

 

 

 

 

 

 

EMERGENZA CORONAVIRUS

 

Privacy e Covid-19: le FAQ del Garante

 

Chi deve gestire i dati personali relativi al coronavirus? Come si devono regolare i datori di lavoro? Come devono essere gestiti questi dati?

 

Adempimenti Privacy dal Protocollo anti Covid-19 - le figure coinvolte: Datore di Lavoro e Medico Competente

Lo scorso 24 aprile, il Governo e le parti sociali hanno integrato ed aggiornato il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” (a fondo pagina) introducendo novità di impatto.

Quali gli adempimenti in tema di trattamento dei dati in capo all'azienda e quali in capo al medico competente?

Partiamo dal “Protocollo”

La recente integrazione apportata al Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro lascia intatti gli adempimenti in tema di trattamento dei dati in capo al datore di lavoro, primo tra tutti quello di informazione.  Nuova, invece, è la previsione del ruolo centrale riconosciuto al medico competente, nell'attuazione delle misure previste, attraverso la segnalazione al datore di lavoro di situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti, che apre nuove prospettive in tema di trattamento dei dati.

Tra gli obblighi che l’Azienda deve osservare, attraverso le modalità più idonee ed efficaci, vi è quello di informare tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, dei cartelli che devono specificare:

  • l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;
  • l'obbligo di dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano condizioni di potenziale pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc). In tali casi, infatti, i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio;
  • l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene);
  • l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti;
  • l’ingresso in azienda di lavoratori già risultati positivi all’infezione da COVID 19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti di essersi sottoposto al tampone e di aver avuto esito negativo, secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza.

 

Adempimenti per il Datore di Lavoro

In particolare, per quanto concerne il trattamento dei dati personali, il datore di lavoro si trova a dover gestire i dati sanitari provenienti da:

  1. la rilevazione della temperatura corporea dei propri dipendenti;
  2. la sopravvenuta positività o sospetta tale da COVID-19 nelle forme: di comunicazione resa dal dipendente di aver avuto contatti, al di fuori del contesto aziendale, con soggetti positivi al COVID-19 o, per contro, della sua negatività attraverso una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19;
  3. le misure da porre in essere per la gestione di una persona sintomatica in azienda;

 

Al momento della temperatura corporea (che potrà essere effettuata all'entrata del luogo di lavoro) non si dovrà registrare il dato acquisito se quest'ultima risulta al di sotto dei 37,5 °. In caso contrario si dovrà identificare l’interessato e registrare il superamento della soglia di temperatura anche allo scopo di documentare le ragioni che hanno impedito l’accesso ai locali aziendali.

Oltre a ciò l'Azienda dovrà fornire l'informativa sul trattamento de dati personali ai sensi dell'art. 13 del Regolamento europeo 679/2016 (“GDPR”). Quest'ultima può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Si raccomanda, tuttavia, in ossequio al principio di accountability di fornirla sempre per iscritto, dandone massima diffusione. Gli elementi essenziali, indicati nel testo del Protocollo sono:

·         la finalità del trattamento;

·          base giuridica;

·          termine di conservazione dei dati.

Sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie.

In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, l'azienda dovrà assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore.

Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, occorrerà assicurare tutte le garanzie possibili a tutela del trattamento dati. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.

Una volta predisposta l'informativa sul trattamento dei dati andrà di conseguenza aggiornato il registro dei trattamenti (art. 30 GDPR) con l'aggiunta dei nuovi trattamenti che il Titolare intende adottare e la valutazione d'impatto (art. 35 GDPR) che dovrà tener conto della natura particolare dei dati personali trattati.

Ruolo e adempimenti in materia di trattamento dei dati del medico competente

Il medico competente, assume in azienda il duplice ruolo di  Titolare del trattamento dei dati personali di natura sanitaria (cfr. provvedimento del Garante privacy n. 194 del 27 aprile 2016 [5149198]) nonché  di responsabile esterno del trattamento ex art. 28 GDPR nella sua qualità di libero professionista in relazione ai dati comuni dei lavoratori che gli vengono trasmessi dal datore di lavoro o autorizzato al trattamento ex art. 29 GDPR in caso sia un dipendente.

Nell'eventualità in cui il medico competente presti la propria opera in regime libero professionale, sarà compito del datore di lavoro formalizzare la nomina anche dal punto di vista del trattamento dei dati mediante un contratto o altro atto scritto “che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” ai sensi dell'art. 28 del GDPR e che contenga tutti i requisiti ivi indicati.

In Italia, come è noto, è in vigore la normativa in materia di igiene e sicurezza sul luogo di lavoro di cui al D.lgs. n. 81/2008 la quale stabilisce compiti che gravano sul datore di lavoro e sul medico competente, circoscrivendo i limiti e gli ambiti del rispettivo trattamento.

L'rt. 39, comma 4, D.lgs. 81/2008 stabilisce che “il datore di lavoro assicura al medico competente le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia” e l’art. 2, comma 1, lett. m), definisce la “«sorveglianza sanitaria»: insieme degli atti medici, finalizzati alla tutela dello stato di salute e sicurezza dei lavoratori, in relazione all’ambiente di lavoro, ai fattori di rischio professionali e alle modalità di svolgimento dell’attività lavorativa”.

Da ciò discende il dovere del medico competente di effettuare in sicurezza il trattamento dei dati contenuti nelle cartelle sanitarie che possono essere custodite presso il datore di lavoro ma che a quest'ultimo sono interdette. Il datore di lavoro, secondo il D.Lgs. n. 81/2008 sebbene sia tenuto – su parere del medico competente – ad adottare le misure preventive e protettive per i lavoratori interessati, non è legittimato a conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l’idoneità “sanitaria” del dipendente.

La novità apportata dal protocollo in commento, riguarda il dovere del medico competente di “segnalare all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti”.

Non si tratta di una novità di poco conto. Viene, infatti, temporaneamente ampliato il limite delle informazioni sanitarie a cui il datore di lavoro ha accesso. Non più il mero giudizio di idoneità del dipendente, ma informazioni relative a patologie attuali o pregresse dei lavoratori a cui fa seguito il dovere, per il datore di lavoro, di “provvedere alla loro tutela nel rispetto della privacy”.

La ragione è da rinvenirsi nel “nuovo” ruolo assunto dal medico competente coinvolto maggiormente nella valutazione dei rischi e nella sorveglianza sanitaria, al quale è demandato il compito propositivo di suggerire l’adozione di eventuali mezzi diagnostici qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori.

Fondamentale sarà il coinvolgimento del medico competente anche alla ripresa delle attività per le identificazioni dei soggetti con particolari situazioni di fragilità e per il reinserimento lavorativo di soggetti con pregressa infezione da COVID 19.

A seguito di questo ampliamento di funzioni, il medico competente dovrà necessariamente coinvolgere il datore di lavoro per ovvie ragioni di sorveglianza sanitaria e prevenzione del contagio, nel trattare il caso di un dipendente positivo o sospetto tale. Così facendo il medico competente non rimarrebbe più il solo Titolare del trattamento dei dati sanitari ma assumerebbe il ruolo di contitolare del trattamento insieme al datore di lavoro. Ai sensi dell'art. 26 GDPR, infatti, i contitolari “determinano congiuntamente le finalità e i mezzi del trattamento, (...). Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento”.

Stabilisce il protocollo in commento, inoltre, che la sorveglianza sanitaria deve proseguire rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute privilegiando, in questo periodo, le visite preventive, le visite a richiesta e le visite da rientro da malattia e non deve essere interrotta, perché rappresenta una ulteriore misura di prevenzione di carattere generale: sia perché può intercettare possibili casi e sintomi sospetti del contagio, sia per l’informazione e la formazione che il medico competente può fornire ai lavoratori per evitare la diffusione del contagio.

 

QUI IL PROTOCOLLO AGGIORNATO AL 24 APRILE 2020 

Link utili GARANTE PRIVACY .

 
Per informazioni e approfondimenti e per implementare correttamente la documentazione necessaria è possibile contattare i nostri uffici ai seguenti numeri:
 
Annapaola Faenza
Responsabile Area Formazione
Confartigianato Imprese Avezzano
Via S. Donatoni n. 56
67051 Avezzano (Aq)
Tel 0863-26282 - Fax 0863-415257
mail: info.confartigianatoavezzano@gmail.com