Con due nuove Faq, il Garante per la protezione dei dati personali fornisce sul sito istituzionale dell'autorità, chiarimenti in merito all’impiego di applicazioni di tracciamento in azienda per contenere il contagio da Covid-19.
Sul punto, il Garante precisa che NON possono essere usati in azienda applicativi con funzionalità di contact tracing al di fuori di quello istituzionale, ossia l’app immuni.
In ambito aziendale, dunque, l’imprenditore non può impiegare programmi informatici, diversi da Immuni, che abbiano come funzione quella di tracciare i contatti che i propri dipendenti abbiano avuto nel periodo di tempo individuato come rilevante dalle autorità sanitarie. Il tracciamento dei contatti per finalità anticovid implica infatti un trattamento di dati personali anche di natura sanitaria, con riferimento al quale, ad oggi, solo la piattaforma nazionale su cui opera "Immuni", su cui anche il Garante ha espresso parere positivo, offre garanzia di sicurezza per come è stata strutturata.
Ragion per cui, al fine di ricostruire la catena dei contagi ed allertare in seguito le persone che siano entrate in contatto stretto con soggetti risultati positivi, è – al momento – possibile fare riferimento, anche nel contesto aziendale, unicamente alla piattaforma nazionale disciplinata dall’art. 6, d.l. 30.4.2020, n. 28 e alla connessa applicazione “Immuni”.
Fermo restando ciò, allo scopo di frenare il rischio di contagio in azienda, nulla toglie al datore di lavoro di servirsi di applicativi che non prevedono il trattamento di dati personali riferiti a soggetti identificati o identificabili. Se infatti, la soluzione scelta dall'impresa non consente un’associazione, anche indiretta (es. attraverso un codice o altra informazione), all’interessato né prevede la registrazione dei dati trattati, non si effettua un trattamento di dati personali, pertanto in siffatte circostanze, un’applicazione di questo genere può essere utilizzata.
In questo genere di soluzioni possono rientrare ad esempio sistemi o applicazioni che consentono di effettuare automaticamente il conteggio del numero di persone in ingresso e uscita da un determinato luogo o area, facendo accendere un “semaforo rosso” o altra tipologia di segnalazione quando si supera la soglia prestabilita delle persone che possono essere simultaneamente presenti nella stessa area; oppure le funzioni degli wereable che avvisano chi li indossa del superamento del limite minimo di distanziamento sociale prefissato, purchè non traccino chi indossa il dispositivo e senza registrare alcun dato. Oppure, come ricorda il Garante, gli applicativi collegati ai tornelli di ingresso che, mediante rilevatori di immagini, permettono l’ingresso ad una determinata area esclusivamente a coloro che indossano la mascherina (senza null’altro registrare).
Resta in ogni caso, in capo al titolare del trattamento la responsabilità di appurare il grado di affidabilità dei sistemi selezionati, prevedendo misure da adottare in caso di problemi di funzionamento di dispositivi simili o di falsi positivi o negativi. Naturalmente, si tratta di misure che devono essere vagliate prima dell’attivazione di queste soluzioni; mentre nella scelta del sistema è sempre opportuno ricevere idonee garanzie da parte dei fornitori, al fine di scongiurare utilizzi impropri o peggio trattamenti di dati non dichiarati ufficialmente e predisporre una documentazione d’uso interna adeguata.