DPO: CONTROLLI DEGLI ADEMPIMENTI COVID-19 IN TERMINI DI ACCOUNTABILITY E COMPLIANCE
Sono state sviluppate nell’ultimo periodo molte check-list volte ad aiutare le aziende al fine di verificare le misure relative agli adempimenti in materia di salute e sicurezza sul lavoro, in emergenza Covid-19.
Analoghe check-list, evidentemente, possono essere strutturate per quanto concerne la materia della protezione dei dati finalizzate a controllare quelle misure tanto in termini di accountability quanto di compliance, nonché la loro conseguente applicazione.
La compilazione delle check-list dovrebbe essere richiesta dal DPO e tale richiesta riportata in un verbale, così come le considerazioni in merito ai risultati del documento una volta compilato.
A tal fine, per ogni incontro, sarebbe opportuno che il responsabile della protezione dei dati (RPD, più conosciuto come DPO) predisponesse i verbali.
Il primo verbale indica e allega le due check-list, quanto meno nei tratti salienti.
Il DPO andrebbe tenuto regolarmente informato circa l’introduzione eventuale di nuovi trattamenti di dati personali, affinché egli possa predisporre quanto di utile ed eventualmente aggiornare o richiedere l’aggiornamento della check-list di accountability.
Il secondo verbale, a check-list compilata e ricevuta, è finalizzato a rendere le evidenze per le quali il DPO debba segnalare, sulla base dei risultati che ha fornito (eventualmente supportati da documenti aggiornati, ad esempio il registro informativo ecc., ed eventualmente da referenze fotografiche), eventuali richieste di ulteriori integrazioni/approfondimenti/domande ovvero nel caso in cui dovesse reputare la situazione, come è stata descritta dall’azienda, adeguata, ragionando in termini di accountability.
Nell’ipotesi in cui l’azienda avesse predisposto una DPIA (Data Protection Impact Assessment: Valutazione d’impatto), ad esempio nel caso dell’introduzione di un termo-scanner, il DPO potrebbe essere già stato contattato precedentemente.
Sulla base dei risultati delle check-list compilate, il DPO valuterà le necessità di procedere – con un certo intervallo di tempo – a richiedere l’aggiornamento delle check-list.
Nel caso in cui lo reputasse opportuno, il DPO potrebbe altresì pianificare, compatibilmente con la situazione in essere, un’attività di audit presso l’Azienda al fine di valutare la corrispondenza tra le misure dichiarate nelle check-list e quelle effettivamente poste in essere.
Il DPO o in sua mancanza il titolare del trattamento, eventualmente per il tramite di un Privacy Officer designato, ha l’obbiettivo di verificare sia le misure di accountability messe in atto durante le fasi di emergenza, che durante la loro applicazione.
Se le misure di accountability dovessero essere considerate, fin da principio e senza soluzione di continuità, la verifica delle stesse in termini di ottemperanza, richiederebbero invece una condizione minimamente stabile che si protragga nel tempo.
Ne consegue che, se i controlli di accountability di cui alla prima check list avrebbero dovuto essere oggetto di check-list del DPO, quelli di compliance entrano a pieno regime con la ripresa delle attività, sia pure parziali, all’interno dell’organizzazione, quindi si suggerisce di prestare la massima attenzione ai tempi di verifica delle check list di seguito riportate.
Vengono quindi proposti due modelli:
- check-list in termini di accountability;
- check-list in termini di compliance;
In entrambi i modelli, le check-list compilate dovranno essere allegate ai verbali del DPO.
La struttura di questa check-list, sulla falsa riga di quella ufficiale del Garante prevede delle domande focalizzate sulla esecuzione o meno di una serie di attività e sulle motivazioni per le quali, alcune misure, non sono state messe in atto.
Il modello sarà quindi meno orientato alla raccolta di evidenze a campione tipiche di una attività di audit, ma più focalizzato sulla motivazione circa il fatto che alcuni passaggi non sono stati contestualmente eseguiti all’esecuzione di nuovi trattamenti.
Per quanto ciò non sia corretto, comprendiamo che, nelle fasi più concitate della emergenza Covid-19, alcuni passaggi siano stati necessariamente trascurati.
Tali domande, naturalmente, possono essere integrate a seconda delle esigenze di contesto.
Tale check-list potrebbe essere compilata in più occasioni, ed ovviamente dovrebbero essere valutate compilazioni separate nei casi di organizzazioni multi-sedi, anche sulla base delle disposizioni a livello regionale/comunale.
La check-list che segue, in termini contenutistici, potrebbe essere anche oggetto di attività di audit; nel qual caso riporterebbe anche i riferimenti delle evidenze esaminate a campione.
Si tratta, come noto, infatti di un documento con una caratteristica consimile a quella prevista dalle Linee Guida per l’esecuzione degli audit (UNI EN ISO 19011:2018) nel Paragrafo 6.3.4 “Preparazione delle informazioni documentate per l’audit”.
Tale check-list, per la sua efficacia, andrebbe suddivisa in Sezioni, ed in particolare, potrebbe prevedere una sequenza, con ordine logico, che possiamo definire nel modo che segue: ADEMPIMENTI:
- la verifica delle informative per gli Interessati;
- l’autorizzazione delle persone addette alla rilevazione;
- la registrazione della temperatura;
- la gestione dei dati nel caso di persona che dichiara l’insorgenza di condizioni di pericolo;
- le procedure, istruzioni e dépliant che riguardino persone che abbiano manifestato sintomatologia;
- la gestione dei casi delle persone in isolamento;
- la conservazione dei documenti cartacei/informatici contenenti dati personali afferenti all’attività suddetta.
SMART WORKING:
- le policy e le procedure relative alla gestione della protezione dei dati nel caso dello svolgimento del lavoro agile;
- l’eventuale gestione dei BYOD, nei casi in cui il lavoratore debba utilizzare dei suoi dispositivi, anche in relazione al ritorno a condizioni di normalità o “quasi normalità”;
- le misure tecnico-organizzative che sono state messe in atto nei casi di lavoratori smart-working;
- le verifiche sugli eventuali fornitori storici;
- l’eventuale necessità di nomina di Amministratore di Sistema.
SORVEGLIANZA SANITARIA:
- l’aggiornamento della gestione al medico competente di particolari fragilità e patologie;
- la segnalazione di inserimento del soggetto lavorativo e la sua gestione;
- l’eventuale assistenza psicologica che potrebbe essere messa a disposizione dei dipendenti;
- la tematica molto articolata e complessa dell’eventuale gestione dei test sierologici, che prevede un approfondimento specifico e le cui implicazioni (ad esempio la base giuridica) potrebbe variare tra Regione e Regione;
- la gestione delle eventuali nomine a Responsabile del trattamento, a Titolare autonomo nel caso di enti e laboratori terzi coinvolti nei test sierologici;
- la gestione della certificazione attestante la fine della quarantena.
GESTIONE DELL’INTERESSATO SINTOMATICO:
- eventuali gestioni di procedure e registrazioni, anche ad esempio per la gestione dei “contatti stretti”;
- la gestione della persona sintomatica nel rispetto del GDPR, considerando anche perché per tali persone potrebbero essere messi a disposizione dei materiali per l’autorità sanitaria anche per future indagini di tipo epidemiologico.
GDPR
- tutta la gestione in forma controllata dell’emissione della documentazione predisposta;
- la gestione dell’aggiornamento del registro;
- la gestione dell’analisi dei rischi per i nuovi trattamenti;
- le eventuali integrazioni di ulteriori informative e nomine;
- l’aggiornamento della valutazione dei rischi;
- la DPIA nel caso di raccolte di alcuni parametri, come ad esempio la rilevazione tramite un termo-scanner;
- un accordo sindacale con l’Ufficio Provinciale del Lavoro nel caso in cui si introduca il riconoscimento facciale e più in generale tutte le misure previste in questo caso (es. DPIA);
- la documentazione superata per permettere una ricostruzione storica delle misure e procedure messe in atto;
- la definizione dei tempi di conservazione che tengano anche conto di richieste da parte dell’INAIL, del riconoscimento dell’indennità, di indagini epidemiologiche da parte dell’ASL;
- i rapporti con l’Organismo di Vigilanza ove insediato.
Per quanto il tema trattato integri una serie di controlli a carico del DPO o del titolare tramite il Privacy Officer, gli autori continuano a ritenere che a salvaguardia dei lavoratori e/o di quanti rilevano (clienti, visitatori, ospiti ecc.) all’interno di un’azienda, esso rappresenti un valore prioritario rispetto alla garanzia della protezione dei dati.