Attività commerciali e ricreative
Il Garante per la protezione dei dati personali ha fornito sul proprio sito web indicazioni sintetiche per aiutare le aziende del settore commerciale e ricreativo e le associazioni a trattare i dati personali nel modo corretto durante l’estate 2020 in relazione agli adempimenti normativi previsti dal Governo per contenere l’emergenza Covid-19.
Le indicazioni fornite dall’Autorità Garante si rivolgono, nello specifico, al settore della ristorazione, alle attività turistiche e ricettive, al commercio al dettaglio, ai centri sportivi e ricreativi, a musei e autonoleggi, alle attività culturali e ricreative compresi cinema e teatri, spettacoli dal vivo, parchi, sagre e fiere, discoteche, sale giochi e centri benessere.
Di seguito nel dettaglio quanto precisato dal Garante nella forma di risposte a quesiti.
Si possono raccogliere dati personali per prevenire il rischio di contagio?
E’ possibile raccogliere la temperatura corporea di clienti e dipendenti, ma tale informazione non va associata con altri dati personali; non è possibile conservare il dato relativo alla temperatura rilevata, né registrarlo, inviarlo a terzi e tanto meno diffonderlo.
E’ possibile raccogliere informazioni sullo stato di salute dei clienti attraverso loro autodichiarazioni.
E’ possibile raccogliere i nominativi dei clienti ed è importante conservare tale dato per 14 giorni (le strutture ricettive assolvono all’obbligo inviando i dati degli ospiti al sistema AlloggiatiWeb).
Il cliente può rifiutarsi di fornire i dati richiesti, come sottrarsi al rilievo della temperatura corporea, fornire informazioni sul proprio stato di salute o fornire il proprio nominativo?
Sì, ma deve rinunciare ad accedere al locale dove si svolgono le attività commerciali, ricreative associative, considerando che il rilievo della temperatura, la raccolta e la conservazione per 14 giorni del nominativo di chi ha effettuato una prenotazione, l’autodichiarazione sul proprio stato di salute sono obblighi cui i gestori devono attenersi per consentire l’ingresso e la permanenza nei loro locali.
Quali misure il gestore dell’attività deve adottare per proteggere la privacy delle persone?
Evitare di comunicare a terzi il dato raccolto;
Designare formalmente le persone addette autorizzate a rilevare la temperatura (soggetti autorizzati ai sensi del GDPR);
Acquisire unicamente i dati strettamente necessari e non altri superflui, ad esempio è sufficiente che il soggetto auto-dichiari che tra i suoi contatti non vi sono persone risultate positive al covid-19; che non è stato sottoposto a quarantena e che non proviene da zone a rischio Covid-19;
Evitare che i dati forniti siano accessibili a soggetti non autorizzati, ad esempio si può fare ricorso a moduli prestampati da fornire personalmente al singolo o al nucleo familiare.
E’ possibile conservare i dati? Se sì per quanto tempo?
Il dato relativo alla temperatura corporea non può essere conservato; se la temperatura risulta superiore ai canonici 37.5 deve essere solo vietato l’ingresso al locale; per quanto invece riguarda le informazioni sulla situazione di salute e il nominativo del soggetto interessato (cliente/dipendente/fornitore/visitatore), come già indicato, nel rispetto del principio di minimizzazione (quindi rilevare unicamente il dato strettamente necessario), essi vanno conservati per 14 giorni, come previsto dalla normativa emergenziale (si rammenta che le Regioni possono adottare proprie linee guida e nel caso prevedere tempi di conservazione diversi).
E’ necessario rendere ai clienti l’informativa ex art. 13 del Regolamento n. 679/2016? Si, l’informativa è sempre doverosa anche in questo caso, ma può essere resa anche in forma orale.
Occorre informare la persona interessata circa: a. la finalità (prevenzione dal contagio da Covid-19); base giuridica (rispetto dei protocolli di sicurezza anticontagio stabiliti dalle disposizioni governative); conservazione del dato (i dati non saranno conservati o archiviati nel caso della temperatura; negli altri casi (stato di salute e nominativo) saranno conservati per 14 giorni come previsto dalle disposizioni anticovid.
I dati raccolti possono essere comunicati alle autorità competenti?
Per quanto riguarda la temperatura, no; in merito ai dati riguardanti lo stato di salute auto-dichiarato dal soggetto interessato e il nominativo, la comunicazione all’autorità sanitaria può essere effettuata, ma solo se necessario per coadiuvare le autorità pubbliche nell’attività di contenimento del contagio.
Si rammenta che nel caso di mancato rispetto della normativa in materia di trattamento dati personali (Regolamento n. 679/2016) e quindi delle presenti indicazioni che, sostanzialmente, sintetizzano come rispettare quelle norme nell’attuale situazione di emergenza, si applica l’articolo 83 del Regolamento, andando incontro alle sanzioni amministrative pecuniarie ivi previste, la cui soglia varia in base al tipo e alla gravità della violazione.