GUIDA NORMATIVA

Fase 2 e GDPR: adempimenti del datore di lavoro e del medico competente

Nella Fase 2 dell’emergenza Covid-19 il GDPR è oggetto di specifiche e limitate deroghe adottate per la salvaguardia della salute e incolumità pubblica. Ecco, alla luce dei recenti protocolli e atti amministrativi, gli adempimenti necessari per affrontare al meglio la ripartenza anche sotto il profilo del trattamento dei dati personali

18 Mag 2020
G
Renato Goretta

Consulente GDPR – DPO


In questo periodo così particolare di avvio della Fase 2 dove tutto sembra ancora sospeso, alcuni ritengono che anche il GDPR lo sia mentre invece è (sembrerebbe) oggetto di specifiche e limitate deroghe a fronte di un maggior interesse relativo alla salute e incolumità pubblica.

Vediamo, alla luce degli ultimi provvedimenti (protocolli e atti amministrativi), quali sono le novità più significative e come affrontare la ripartenza sotto il profilo del trattamento dei dati personali e degli adempimenti del datore di lavoro che per comodità faremo coincidere con il titolare del trattamento dei dati personali.

Novità alla luce di protocolli e atti amministrativi

Il 24 aprile scorso, il Governo e le parti sociali hanno integrato e aggiornato il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” richiamato all’Allegato 6 nel DPCM del 26 aprile introducendo alcune novità significative che impattano sul trattamento dei dati personali.

In particolare, il recente aggiornamento del Protocollo lascia pressoché intatti gli adempimenti in tema di trattamento dei dati in capo al titolare del trattamento dei dati personali, primo fra tutti quello di informazione su finalità, modalità e termine del trattamento dei dati.

Tra gli obblighi che l’organizzazione (azienda/studio) dovrà osservare – e con i quali abbiamo preso una certa confidenza – vi è quello di informare sulle prassi anti-contagio tutti i lavoratori e chiunque entri in organizzazione in merito alle disposizioni delle autorità e alle particolarità del Protocollo anti-Covid adottato dall’organizzazione stessa, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali dell’organizzazione (aree comuni, vie di transito ecc.) cartelli con le seguenti specificazioni minime:

  1. l’impegno a rispettare tutte le disposizioni delle autorità e del datore di lavoro nel fare accesso in organizzazione (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano della pulizia e sanificazione);
  2. l’obbligo di rimanere al proprio domicilio in presenza di febbre (pari o superiore 37,5°) o altri sintomi influenzali e di chiamare il proprio medico di base e l’autorità sanitaria (112);
  3. l’obbligo di informare tempestivamente il datore di lavoro, anche successivamente all’ingresso, sull’esistenza di condizioni di potenziale pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti ecc.) avendo cura di rimanere ad adeguata distanza dalle persone presenti. In tali casi i provvedimenti dell’autorità impongono di informare il medico di base e l’autorità sanitaria (112);
  4. l’ingresso in organizzazione di lavoratori già risultati positivi all’infezione da Covid-19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti di essersi sottoposto al tampone (doppio esito negativo nell’arco di 48 ore), secondo le modalità previste e rilasciata dal dipartimento ASL di prevenzione territoriale di competenza.

A fronte di tali adempimenti, i legali rappresentanti delle aziende e i titolari degli studi (datori di lavoro/titolari del trattamento dei dati personali) hanno, in molti casi, prodotto moduli da compilare, spesso, ai sensi del DPR 445/2000 di dubbia validità, di dubbio valore e di dubbia utilità sia formale che sostanziale.

Una novità contenuta nell’aggiornamento del Protocollo del 24 aprile è rappresentata invece dal ruolo centrale riconosciuto al medico competente (ex art. 18 del D.lgs. 81/2008), nell’attuazione delle misure previste, attraverso la segnalazione al datore di lavoro di situazioni di particolare fragilità (c.d. lavoratori fragili) relativa a patologie attuali o pregresse dei dipendenti (immunodeficienze, cronicizzazioni, trattamenti post-oncologici ecc.) che richiede nuovi accorgimenti per il trattamento dei dati personali.

Fase 2 e GDPR: adempimenti del datore di lavoro

In particolare, per quanto concerne il trattamento dei dati personali, il datore di lavoro/titolare del trattamento dei dati personali dovrà gestire, essenzialmente, i dati sanitari (ex art. 4 c. 15 GDPR) – rilevazione della temperatura corporea dei propri dipendenti, positività o sospetta positività da Covid-19 – comunicati in varie forme o, viceversa, negatività al Covid-19 oltre alle misure da attuare per l’eventuale gestione di una persona sintomatica all’interno dell’organizzazione anche in considerazione del dovere di collaborazione con l’autorità sanitaria al fine di contenere il contagio Covid-19.

Quindi, prima di tutto, occorrerà definire processi ad hoc in considerazione di quanto disposto dall’art. 25 GDPR (privacy by design) individuando i mezzi del trattamento e le modalità tecniche e organizzative adeguate (es.: pseudonimizzazione, archiviazione ecc.).

Nella rilevazione della temperatura corporea (che potrà essere effettuata all’entrata del luogo di lavoro) non si dovrà registrare il dato acquisito se quest’ultima risulta al di sotto dei 37,5°. In caso contrario si potrà identificare l’interessato e registrare il superamento della soglia di temperatura anche allo scopo di documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

In caso di identificazione, l’organizzazione dovrà fornire l’informativa sul trattamento dei dati personali ex art. 13 del Regolamento UE 2016/679. Dal momento – so che ci sono opinioni diverse sul punto e credo, per altro di essere in minoranza ma it’s my opinion – che tale disposizione è contenuta in un Protocollo richiamato in un DPCM e che il DPCM è un provvedimento emanato, in forma di Decreto, dal Presidente del Consiglio dei Ministri e che, al pari di ogni Decreto ministeriale, ha natura amministrativa e in quanto atto amministrativo, non ha forza di Legge e ha carattere di fonte normativa secondaria, suggerisco di acquisire il consenso dell’interessato per il trattamento di tali dati personali.

Gli elementi essenziali, indicati nel testo del Protocollo al fine di trattare correttamente i dati personali sono:

  1. la finalità del trattamento: individuata nella prevenzione dal contagio da Covid-19;
  2. la base giuridica: il consenso (mio suggerimento, mentre il Protocollo in realtà indica il DPCM);
  3. il termine di conservazione dei dati: che sarà il termine dello stato d’emergenza (fatta salva la tutela dei diritti in sede giudiziaria per obblighi normativi o per espressa richiesta dell’interessato).

Sotto il profilo organizzativo, occorre individuare i soggetti autorizzati al trattamento e fornire loro le istruzioni necessarie (ex art. 29 GDPR).

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

È essenziale che i dati possano essere trattati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori di specifiche previsioni normative e in caso di richiesta da parte dell’autorità sanitaria per la ricostruzione del cluster dei contatti del lavoratore risultato positivo al Covid-19.

Il trattamento per la finalità sopra evidenziata apparirebbe come una esplicita deroga al divieto di trattare le categorie particolari di dati personali (tra i quali i dati relativi alla salute) posto dall’art 9, par. 1, GDPR riconducibile all’art. 9 par. 2, lett. b).

Sul punto, per la verità, si è espresso anche l’European Data Protection Board (EDPB) sostenendo che «l’emergenza sanitaria è una condizione che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza».

L’acquisizione del consenso da parte dell’interessato ex art. 9 par. 2 c. 1 al trattamento dei suoi dati particolari – per altro acquisiti non obbligatoriamente – farebbe venir meno la necessità di appellarsi alla una deroga contenuta un atto non avente forza di Legge (un Protocollo contenuto in un DPCM).

In caso di isolamento momentaneo del lavoratore dovuto al superamento della soglia di temperatura, di altri sintomi riconducibili al COVID-19 o nel caso in cui il lavoratore comunichi all’ufficio personale e/o al datore di lavoro di aver avuto, al di fuori del contesto dell’organizzazione, contatti con soggetti risultati positivi al Covid-19 l’organizzazione dovrà assicurare modalità tali da garantire la riservatezza della comunicazione e la riservatezza e la dignità del lavoratore. Tali garanzie dovranno essere assicurate anche in caso di allontanamento del lavoratore dal luogo di lavoro.

Qualora si richieda (non è un obbligo) il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19, occorrerà assicurare tutte le garanzie a tutela del trattamento dei dati personali.

Andranno, pertanto, raccolti solo i dati “adeguati, pertinenti e necessari” (ex art. 5 par. 1 lett. c) GDPR) rispetto alla prevenzione del contagio da Covid-19 (a esempio, se si richiedesse una dichiarazione sui contatti con persone risultate positive al Covid-19, non bisogna richiedere informazioni aggiuntive in merito alla persona risultata positiva; oppure, se si richiedesse una dichiarazione sulla provenienza da zone a rischio epidemiologico, non bisogna richiedere informazioni aggiuntive in merito alle specificità dei luoghi).

Inoltre, in caso di acquisizione di tali dati personali, dovrà essere aggiornata la valutazione d’impatto (DPIA) (ex art. 35 GDPR) che dovrà tener conto della natura particolare dei dati personali trattati e il registro dei trattamenti dei dati personali (ex art. 30 GDPR) con l’aggiunta dei nuovi trattamenti che il titolare intende adottare.

Fase 2 e GDPR: ruolo e adempimenti del medico competente

Il medico competente assume in organizzazione il duplice ruolo di titolare del trattamento dei dati personali di natura sanitaria (Provvedimento 194/2016 del Garante per la protezione dei dati personali) nonché di responsabile esterno del trattamento (ex art. 28 GDPR) nella sua qualità di libero professionista in relazione ai dati personali comuni dei lavoratori che gli vengono trasmessi dal datore di lavoro o soggetto autorizzato al trattamento (ex art. 29 GDPR) nel caso il medico competente sia un dipendente dell’organizzazione stessa ma, come vedremo tra poco, emerge una nuova “configurazione”.

Nel caso in cui il medico competente presti la propria opera come libero professionista, sarà compito del datore di lavoro/titolare del trattamento dei dati personali formalizzare la nomina anche dal punto di vista del trattamento dei dati personali mediante un contratto di affidamento “che individui la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” ex art. 28 GDPR.

Dobbiamo, inoltre, considerare la normativa di salute e sicurezza sul luogo di lavoro (D.lgs. 81/2008) la quale stabilisce compiti che gravano sul datore di lavoro e sul medico competente, circoscrivendo i limiti e gli ambiti del rispettivo trattamento.

L’art. 39, c. 4, D.lgs. 81/2008 stabilisce che “il Datore di Lavoro assicura al Medico competente le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia” e l’art. 2, c. 1, lett. m), definisce la sorveglianza sanitaria “insieme degli atti medici, finalizzati alla tutela dello stato di salute e sicurezza dei lavoratori, in relazione all’ambiente di lavoro, ai fattori di rischio professionali e alle modalità di svolgimento dell’attività lavorativa”.

Da questo deriva il dovere del medico competente di effettuare in sicurezza il trattamento dei dati personali contenuti nelle cartelle sanitarie che possono anche essere custodite presso il datore di lavoro ma che a quest’ultimo sono precluse nei contenuti.

Il datore di lavoro, secondo il D.lgs. n. 81/2008, sebbene sia obbligato – su parere del medico competente – ad adottare le misure preventive e protettive per i lavoratori interessati, non è legittimato a conoscere le eventuali patologie accertate, ma solo la valutazione finale circa “l’idoneità” o “non idoneità” alla mansione del dipendente.

La novità apportata dal Protocollo del 24 aprile, riguarda il dovere del medico competente di “segnalare all’organizzazione situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” lasciando aperta la questione per le aziende che in considerazione della valutazione dei rischi salute e sicurezza non hanno – legittimamente – il medico competente.

Si tratta di una novità rilevante. Infatti, viene modificato (temporaneamente) il limite delle informazioni sanitarie a cui il datore di lavoro ha accesso. Non più il mero giudizio di idoneità del dipendente, ma informazioni relative a patologie attuali o pregresse dei lavoratori a cui fa seguito il dovere, per il datore di lavoro, di “provvedere alla loro tutela nel rispetto della privacy”.

In questo caso, il mio suggerimento è quello di non esplicitare le patologie ma di indicarne – nella comunicazione del medico competente al datore di lavoro – la sola presenza.

Comunque, in seguito a questo ampliamento di funzioni, il medico competente dovrà necessariamente coinvolgere il datore di lavoro per ragioni di sorveglianza sanitaria e prevenzione del contagio, nel trattare il caso di un dipendente positivo o sospetto tale.

Così facendo emerge una nuova fattispecie: il medico competente non rimane solo il titolare del trattamento dei dati sanitari ma assume il ruolo di contitolare del trattamento insieme al datore di lavoro. Infatti, ai sensi dell’art. 26 GDPR i contitolari “determinano congiuntamente le finalità e i mezzi del trattamento, (…). Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento”.

Conclusioni

Abbiamo visto quali sono i presidi anti-contagio indicati nel DPCM del 26 aprile scorso, i dati personali da acquisire e quali gli adempimenti GDPR correlati necessari alla riapertura delle attività produttive.

Prima di tutto è bene ricordare che tale acquisizione di dati (temperatura, provenienza, contatti) sono una facoltà del datore di lavoro (art. 2 Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro).

In secondo luogo, qualora si decidesse di acquisire tali dati credo che la riflessione più importante sia legata alla scelta sull’acquisizione o meno del consenso.

Ribadisco che, a mio avviso, qualora i dati venissero acquisiti e conservati, il consenso deve essere richiesto.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Infine, ritengo che una riflessione debba essere fatta anche sul valore probatorio delle autodichiarazioni ex art 47 DPR 445/200 soprattutto quella in merito ai contatti o meno con persone non infette da Covid-19.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5