Il DPCM del 17 maggio 2020, recante misure per il contenimento dell’emergenza da Covid-19 nella cosiddetta Fase 2, detta all’Allegato 17 le Linee Guida per la riapertura delle attività economiche e produttive, prevedendo anche procedure che hanno un notevole impatto sulla privacy.
Le Schede tecniche riportate, infatti, oltre a stabilire una serie di misure relative alla sicurezza fisica e al distanziamento, prevedono che
- attività di ristorazione
- attività turistiche (stabilimenti balneari e spiagge)
- servizi alla persona (acconciatori ed estetisti)
- piscine e palestre
debbano subordinare l’accesso alla prenotazione del servizio (o, in alcuni casi, privilegiare la prenotazione del servizio) e conservare l’elenco dei soggetti che hanno prenotato per un periodo di 14 giorni.
È importante evidenziare che la raccolta delle informazioni necessarie per la prenotazione costituisce un trattamento di dati personalie in conseguenza di ciò:
- è obbligatorio rendere all’interessato un’informativa sul trattamento dei dati personali,
- è obbligatorio prevedere delle misure tecniche ed organizzative volte a garantire la sicurezza dei dati,
- l’elenco dei soggetti che hanno prenotato dovrà essere conservato per le sole finalità connesse al contenimento del contagio e non potrà essere utilizzato per altre finalità (ad esempio, l’invio di una newsletter o di promozioni commerciali),
- al termine dei 14 giorni previsti dalla legislazione per la conservazione dei dati, questi dovranno essere non cancellati, ma distrutti in modo sicuro.
L’informativa ed una corretta impostazione del trattamento è necessaria anche nel caso in cui venga effettuata la rilevazione della temperatura corporeaper consentire l’accesso ai locali aziendali, con un’attenzione ancora maggiore dovuta al fatto che si tratta, in tal caso, di dati relativi alla salute.
Si presti attenzione, infine, al fatto che la raccolta di dati effettuata per lo svolgimento di un servizio di consegna a domicilio (e dunque, ad esempio, nome e cognome, indirizzo, numero di telefono) costituisce anch’essa trattamento di dati personali, obbligando il titolare del trattamento a fornire ai clienti idonea informativa privacy e a prevedere misure tecniche ed organizzative adeguate a garantire la sicurezza del trattamento.