GUIDA NORMATIVA

Controllo della temperatura sui luoghi di lavoro: il GDPR e il ruolo del medico competente

Di fronte all’emergenza Coronavirus può accadere che si adottino misure eccedenti rispetto a quanto prescritto dal quadro giuridico. Una di queste è la misurazione della temperatura corporea dei dipendenti affidata dai datori di lavoro a qualsivoglia preposto. Ecco che c’è da sapere alla luce della regolamentazione italiana ed europea in materia di data protection e sicurezza sui luoghi di lavoro

06 Apr 2020
C
Salvatore Coppola

Avvocato del Foro di Matera, DPO


Nell’attuale emergenza epidemiologica da Covid-19, diversi sono stati i provvedimenti statali che hanno cercato di regolare alcuni aspetti delle attività lavorative, adottando delle misure volte ad agevolare i datori di lavoro nella gestione dei dipendenti, proponendosi in via prioritaria di garantire la salute pubblica cercando di ridurre i contagi: una su tutte, quella relativa al controllo della temperatura corporea dei dipendenti sui luoghi di lavoro.

Con particolare riferimento al trattamento dei dati relativi alla salute, tuttavia, continuano a richiedere estrema considerazione anche le norme europee in materia di protezione dei dati personali nonché la disciplina italiana in materia di igiene e sicurezza sui luoghi di lavoro.

In particolare, fermo il principio di proporzionalità[1] con il quale il diritto alla protezione dei dati personali deve confrontarsi rispetto al diritto fondamentale alla salute, è lecito domandarsi se al momento dell’accesso in azienda i lavoratori possano essere sottoposti al controllo della temperatura corporea da parte del medico competente ovvero da qualsiasi dipendente del datore di lavoro.

Sarà inoltre l’occasione per chiarire il ruolo privacy del medico competente.

Il protocollo per il contrasto al coronavirus sul lavoro

Il 14 marzo scorso, le Parti sociali sono giunte alla sottoscrizione di un Protocollo che fornisce indicazioni operative finalizzate a incrementare (negli ambienti di lavoro non sanitari) l’efficacia delle misure precauzionali di contenimento per contrastare l’epidemia di Covid-19.

Obiettivo dichiarato del Protocollo è di coniugare la prosecuzione delle attività produttive con la garanzia di condizioni di salubrità e sicurezza degli ambienti di lavoro e delle modalità lavorative.

Nell’ambito di tale obiettivo, la prosecuzione delle attività produttive potrà infatti avvenire solo in presenza di condizioni che assicurino ai lavoratori adeguati livelli di protezione (v. anche art. 2087 c.c.).

A tal fine, è previsto che le imprese possano rilevare la temperatura corporea dei lavoratori e, in caso di superamento della soglia di 37,5°, impedire l’accesso ai locali aziendali ed eventualmente identificare l’interessato e registrare la temperatura.

Premesso che la rilevazione della temperatura corporea costituisce un trattamento di dati personali relativi alla salute e pertanto deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, anche detto GDPR), da più parti è sorta una discussione circa la possibilità per i datori di lavoro di incaricare qualsiasi dipendente o se la rilevazione debba rimanere in capo al medico competente.

Disciplina italiana in materia di igiene e sicurezza sul luogo di lavoro

In Italia, fermo lo Statuto dei lavoratori, è in vigore la normativa in materia di igiene e sicurezza sul luogo di lavoro di cui al D.lgs. n. 81/2008 la quale stabilisce compiti specifici e distinti che gravano sul datore di lavoro e sul medico competente, circoscrivendo i limiti e gli ambiti del rispettivo trattamento.

In particolare, il medico competente che opera in qualità di libero professionista ovvero di dipendente del datore di lavoro o di strutture convenzionate, tratta dati personali di natura sanitaria indispensabili ai fini dell’applicazione della normativa in materia.

WEBINAR
Sicurezza: IT e OT insieme per proteggere l'azienda dagli attacchi cyber
Sicurezza
Sicurezza dei dati

Pertanto, in concreto, gli accertamenti sanitari obbligatori e a spese del datore di lavoro sono svolti tramite il medico competente (unico legittimato a trattare i dati sanitari dei lavoratori) al fine di mantenere un livello elevato di salute e sicurezza per il singolo dipendente nonché per gli altri lavoratori.

Ruolo privacy per il medico competente: i provvedimenti del Garante

In passato, con le “Linee guida in materia di trattamento dei dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro” [doc web n. 1364939] il Garante Privacy ha chiarito che al medico competente spetta la tenuta delle cartelle sanitarie e di rischio mentre al datore di lavoro la diversa attività di tenuta e aggiornamento dei fascicoli personali dei dipendenti[2].

In particolare, preme evidenziare che la normativa in materia di sicurezza e igiene del lavoro pone direttamente in capo[3] al medico competente la sorveglianza sanitaria[4] obbligatoria e il correlativo trattamento (in sicurezza) dei dati contenuti in cartelle sanitarie che, con salvaguardia del segreto professionale, sono custodite presso l’azienda ma alle quali il datore di lavoro non può accedere. Quest’ultimo, sebbene sia tenuto – su parere del medico competente – ad adottare le misure preventive e protettive per i lavoratori interessati, non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l’idoneità “sanitaria” del dipendente.

Più di recente, con il provvedimento n. 194 del 27 aprile 2016 [5149198] relativo al “Trattamento di dati sanitari del personale navigante da parte del medico competente del vettore aereo”, per quanto qui d’interesse, l’Autorità Garante ha precisato che il medico competente tratta dati personali di natura sanitaria indispensabili ai fini dell’applicazione della normativa in materia di igiene e di sicurezza del lavoro “in qualità di autonomo titolare del trattamento.

Volendo raggiungere una prima conclusione, anche con la piena applicazione del GDPR, il medico competente deve considerarsi titolare del trattamento con riferimento ai dati sanitari in quanto è l’unico soggetto che determina le finalità e i mezzi del trattamento.

Invece, in relazione ai dati comuni dei lavoratori (nome, cognome ecc.) che gli vengono trasmessi dal datore di lavoro, il medico competente deve essere designato alternativamente come:

  • responsabile del trattamento ex art. 28 GDPR nella sua qualità di libero professionista;
  • autorizzato al trattamento ex art. 29 GDPR nella sua qualità di dipendente.

Il trattamento dei dati sanitari in ambito lavorativo con il GDPR

Il legislatore europeo prestando specifica attenzione al trattamento di categorie particolari di dati personali (c.d. dati sensibili), all’art. 9, par. 1, GDPR prescrive che è vietato trattare – tra gli altri – dati relativi alla salute. Questi sono definiti dall’art. 4, n. 15, GDPR e – più in particolare – dal Considerando 35 che stabilisce: “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono […] le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato”.

Tanto premesso, l’art. 9, par. 2, prevede delle deroghe al divieto di cui al paragrafo 1 e – per quanto qui d’interesse – stabilisce che è possibile il trattamento di dati relativi alla salute quando “h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3.

Infatti, è lo stesso paragrafo 3 dell’art. 9 GDPR a prevedere che “I dati personali di cui al paragrafo 1 [tra cui i dati relativi alla salute] possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.”

Dunque, è lo stesso Regolamento europeo a prescrivere che nell’ambito della medicina del lavoro il trattamento dei dati relativi alla salute debbono essere trattati da un professionista soggetto al segreto professionale quale il medico competente.

La nuova autorizzazione generale n. 1/2016

In quest’ambito, con specifico riferimento al quadro normativo italiano, è altresì necessario considerare quanto previsto dall’art. 9, par. 4, GDPR: “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.

Ebbene – in attuazione dell’art. 9, par. 4, GDPR – l’art. 21 del D.lgs. 101/2018 ha demandato al Garante il compito di individuare le prescrizioni contenute nelle Autorizzazioni generali adottate in passato[5].

Di conseguenza, con il provvedimento n. 497 del 13 dicembre 2018 [doc. web n. 9068972] il Garante Privacy ha individuato e aggiornato le prescrizioni contenute nelle Autorizzazioni gen. del 2016 che sono risultate compatibili[6] con il GDPR e con lo stesso decreto 101/2018 che ha modificato il Codice Privacy.

In verità, vista l’importanza del provvedimento, tale disamina è necessaria esclusivamente per far notare che dalla lettura dell’Autorizzazione generale n. 1 (di ultima edizione) non è possibile discernere le attività di trattamento attribuibili al datore di lavoro rispetto a quelle riservate al medico competente.

Infatti, l’art. 1 riferisce che le Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, si applicano nei confronti di tutti coloro che, a vario titolo (titolare/responsabile), effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro, ovvero (tra gli altri) al datore di lavoro[7] e al medico competente. Quindi, le Prescrizioni non assegnano esclusivamente al medico competente compiti (rectius trattamenti di dati sanitari) in materia di igiene e sicurezza del lavoro (cfr. art. 1.3, lett. a).

Considerazioni conclusive

Sebbene l’ultima Autorizzazione n. 1 del Garante non abbia circoscritto puntualmente il titolare del trattamento dei dati sanitari in materia di igiene e sicurezza del lavoro, in un quadro di garanzie per i lavoratori-interessati, a parere di chi scrive restano in ogni caso fermi gli obblighi previsti dalle norme del GDPR, nonché dal D.lgs. 81/2008, che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali relativi alla salute.

In conclusione, benché gli accertamenti (della temperatura corporea) volti all’applicazione della normativa in materia di igiene e di sicurezza del lavoro siano svolti a spese e a cura del datore di lavoro, essi devono essere posti in essere esclusivamente per il tramite del medico competente.

Quest’ultimo, lo si ribadisce, in virtù del segreto professionale a cui è tenuto risulta l’unico legittimato a trattare i dati relativi alla salute dei lavoratori.

NOTE

  1. V. Considerando n. 4 del Regolamento (UE) 2016/679.
  2. In particolare, sul medico competente e sui trattamenti dei dati sanitari a cui è deputato, v. art. 33 delle “Linee guida in materia di trattamento dei dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro” [doc web n. 1364939].
  3. In questo senso, v. art. 39, comma 4, D.lgs. 81/2008 secondo il quale: “Il datore di lavoro assicura al medico competente le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia”.
  4. L’art. 2, comma 1, lett. m), del D.lgs. 81/2008, definisce la “«sorveglianza sanitaria»: insieme degli atti medici, finalizzati alla tutela dello stato di salute e sicurezza dei lavoratori, in relazione all’ambiente di lavoro, ai fattori di rischio professionali e alle modalità di svolgimento dell’attività lavorativa”.
  5. Ai sensi dell’abrogato art. 26, comma 1, del Codice privacy previgente, i soggetti privati e gli enti pubblici economici potevano trattare i dati sensibili solo previa autorizzazione del Garante per la protezione dei dati personali, ove necessario, con il consenso scritto degli interessati, nell’osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti. Inoltre, il comma 4, lett. d), del medesimo art. 26, stabiliva che i dati sensibili potevano essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento medesimo era necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa dell’Unione europea per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall´autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all´art. 111 del Codice (previgente). Invero, le autorizzazioni di carattere generale rilasciate nel tempo dal Garante privacy sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di provvedimenti di autorizzazione da parte dei singoli titolari del trattamento.
  6. Sul punto, si consideri che l’art. 21 del D.lgs. n. 101/2018, in attuazione delle disposizioni di cui al GDPR, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del GDPR, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice Privacy, provvedendo altresì al loro aggiornamento ove occorrente.
  7. In particolare, all’art. 1, lett. b), dell’Autorizzazione gen. n. 1/2016 si parla di b) persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale […]”.
FORUM PA 6- 11 luglio
Innovazione e trasformazione digitale per la resilienza. Scopri il nuovo FORUM PA digitale
CIO
Dematerializzazione

@RIPRODUZIONE RISERVATA

Articolo 1 di 5