Gestione della Privacy nella Fase 2 dell'emergenza Covid-19

Gestione della Privacy nella Fase 2 dell'emergenza Covid-19

Come avviene il trattamento dei dati personali nella Fase 2 dell'emergenza Coronavirus: linee guida sulla privacy per la riapertura delle attività

DateFormat

1 giugno 2020

Indice

Nel rispetto delle linee guida regionali per la ripresa delle attività economiche, si rendono note alcune chiarificazioni sull'obbligo di conservazione dati dei clienti.

Il DPCM del 17 maggio 2020, pubblicato sulla Gazzetta Ufficiale n. 126 del 17 maggio, definisce le disposizioni di attuazione del decreto-legge n. 33 del 16 maggio 2020. Per fronteggiare l’emergenza epidemiologica in corso, il Decreto Rilancio stabilisce che la ripresa delle attività economiche e produttive deve svolgersi nel rispetto dei protocolli o delle linee guida adottate dalle regioni o dalla Conferenza delle regioni e delle Province.

Le linee guida per la riapertura delle attività economiche e produttive (in allegato) adottate dalla Conferenza sono contenute nell'Allegato 17 e sono articolate in 24 schede tecniche relative ai principali settori di attività.

Quali sono le attività obbligate a conservare i dati dei clienti? E per quanto tempo?

Le schede inerenti ai settori Ristorazione, Attività Turistiche (stabilimenti balneari e spiagge), Servizi alla Persona (acconciatori ed estetisti), Piscine e Palestre, prevedono l’obbligo di conservazione dell’elenco delle presenze dei clienti per un periodo di 14 giorni.

Non è possibile escludere che le ordinanze adottate dalle singole Regioni possano prevedere tempi di conservazione maggiori e/o l’inclusione di ulteriori attività tra quelle obbligate a mantenere l’elenco delle presenze.

Come devono avvenire le prenotazioni?

In alcuni casi, le linee guida della Conferenza stabiliscono che il servizio sia espletato solo tramite prenotazione. Ciò impone ai titolari del trattamento particolare cura nella raccolta e nella conservazione dei dati della clientela.

La prenotazione della prestazione (ristorante, acconciatore, ecc.) può avvenire sia direttamente (es.: telefono) che tramite il sito dell’attività.

Quali dati sono richiesti per la prenotazione?

Va evidenziato che devono essere raccolti solo i dati indispensabili alla prenotazione.

La raccolta di informazioni non strettamente necessarie al perseguimento delle finalità per cui si raccolgono i dati è, infatti, contraria al principio di minimizzazione, di cui all'art. 5 del GDPR, che è uno dei principi generali in materia di privacy.

Non possiamo escludere che il Garante per la Protezione dei Dati intervenga su questo aspetto con un proprio provvedimento o con una Faq.

In mancanza di un pronunciamento ufficiale del Garante su questo punto riteniamo che, anche per evitare che l'imprenditore debba adottare ulteriori misure di sicurezza rispetto a quelle ordinarie relative alla gestione privacy, se la raccolta dei dati è finalizzata alla mera prenotazione della prestazione, sia sufficiente, ad esempio, raccogliere un numero di cellulare e/o un semplice nominativo, non necessariamente associato al cognome.

Quali dati non è obbligatorio fornire?

In nessun caso, a meno che ciò non sia espressamente imposto dalle ordinanze regionali, il titolare dovrà spingersi a chiedere alla clientela elementi su eventuali rapporti di convivenza che attengono alla responsabilità individuale della clientela.

Dove conservare l’informativa sul trattamento?

L’informativa sul trattamento può essere conservata, come di consueto, nel ristorante, salone, centro estetico etc. o riportata sul sito. L’informativa sul trattamento resta, infatti, il presupposto di legittimità per la raccolta dei dati.

Nel caso in cui la prenotazione avvenga attraverso un contatto telefonico, il titolare o il personale addetto alla prenotazione dovrà informare il cliente del fatto che l’informativa è pubblicata sul sito o conservata nell'esercizio e ricordare al cliente l’obbligo di conservazione dei dati della prenotazione per il tempo indicato dalla regione in cui si trova l’esercizio.

Se per effettuare la prenotazione si richiede all'utente una registrazione dei dati attraverso un form dal sito dell’azienda, questo dovrà essere costruito in modo che il testo dell’informativa dovrà essere visualizzabile attraverso la spunta della casella “ho letto l‘informativa” o simili e la possibilità di inviare i dati richiesti nella scheda di prenotazione dovrà essere subordinata alla lettura dell’informativa.

Pertanto, nel caso in cui un soggetto interessato a prenotare una prestazione, non provveda a flaggare la casella “ho letto l’informativa”, non dovrebbe essere per lui possibile procedere con l'invio dei dati richiesti.

Modalità di conservazione dei dati

Relativamente alle modalità di conservazione dei dati raccolti, si rimanda a quanto previsto dal GDPR, mentre per la durata si precisa che la stessa dovrà essere quella indicata nell'ordinanza regionale vigente.

Il titolare non è autorizzato a conservare i dati delle prenotazioni raccolte per altre finalità (es. marketing) se non seguendo le regole ordinarie sul trattamento dei dati (informativa specifica e consenso espresso).

Infine, una volta trascorso il periodo di conservazione dei dati imposto dalla normativa regionale di contenimento dell'emergenza epidemiologica, il titolare dovrà programmare una periodica pulizia degli archivi cancellando i dati raccolti.

È obbligatoria la misurazione della temperatura corporea?

Si evidenzia che alcune schede prevedono che possa essere rilevata (quindi come facoltà e non come obbligo) la temperatura corporea, impedendo l’accesso in caso di temperatura superiore a 37,5°.

Sul punto ricordiamo che il Garante della Protezione dei Dati, nella Faq predisposta lo scorso 6 maggio, ha chiarito che nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell'ambito della grande distribuzione) o a visitatori occasionali “anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso”.

 

a cura di
Alice Coccia

Banner grande colonna destra interna

Aggregatore Risorse

ScriptAnalytics

Cerca