LA RIFLESSIONE

GDPR e coronavirus: modalità pratiche per il rilevamento della temperatura dei dipendenti

Nell’attuale emergenza sanitaria e alla luce sia del Protocollo d’intesa tra sindacati e imprese sia del recente comunicato del Garante Privacy, è opportuno puntualizzare le modalità pratiche per gestire correttamente il rilevamento della temperatura dei dipendenti all’ingresso in azienda. Ecco come procedere

23 Mar 2020
M

In tema di GDPR e coronavirus, sembra rilevarsi una distonia tra il Protocollo d’intesa fra sindacati e imprese siglato il 14 marzo scorso e il Comunicato del Garante del 2 marzo in tema di rilevamento della temperatura dei dipendenti all’ingresso sul luogo del lavoro così come indicato nell’art. 2: “Modalità di ingresso in azienda”.

In particolare, il Garante preclude ai datori di lavoro la raccolta a priori e sistematica di informazioni inerenti la presenza di eventuali sintomi influenzali, demandando il compito a soggetti che istituzionalmente svolgono queste funzioni in modo qualificato.

Di contro, il Protocollo consente la misurazione della temperatura da parte datoriale, pur nel rispetto della normativa GDPR e, dunque, senza registrare il dato a meno che la temperatura rilevata sia superiore ai 37,5°, nel qual caso è possibile identificare l’interessato registrandone la temperatura e documentando le ragioni che hanno impedito l’accesso ai locali.

Viene poi specificato:

  • la finalità: che potrà essere individuata nella prevenzione anti-contagio da Covid-19;
  • la base giuridica: su cui si dibatte tra “interesse pubblico rilevante” di cui alla lettera g) dell’articolo 9 GDPR e le lettere b) e c) della medesima disposizione. Nessun dubbio, invece, che debba essere inclusa l’implementazione dei protocolli anti-contagio ai sensi dell’art 1 lettera d) del DPCM 11 marzo 2020 così come del resto indicato nella stessa nota protocollare dell’art 2;
  • il divieto di comunicazione e diffusione del dato (salvo specifica richiesta dell’autorità sanitaria): punto che sviluppo di seguito a proposito dell’art. 11 del Protocollo “Gestione di una persona asintomatica in azienda”;
  • l’obbligo di adeguamento delle misure tecniche e organizzative adeguate a proteggere i dati: tra le misure organizzative, il Protocollo richiama l’attenzione sulla necessità di individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie;
  • la durata della conservazione del dato: deve rispettare il principio c.d. Data Retention e, dunque, essere conservato in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario allo scopo per il quale sono raccolti.

Il contrasto tuttavia appare superato nella misura in cui, in chiusura, il Garante invita tutti i titolari di trattamento ad attenersi in modo scrupoloso alle istruzioni dettate dal Ministero della Salute e delle istituzioni competenti per la prevenzione della diffusione del coronavirus, disincentivando le iniziative autonome. Questo implica dunque che, se il titolare/datore di lavoro si attiene a quanto indicato nel Protocollo d’intesa, giocoforza eviterà di intraprendere autonome iniziative.

GDPR e coronavirus: la gestione dei dipendenti asintomatici

Come accennavo, un’ulteriore delicata questione in tema di GDPR e coronavirus riguarda l’art 11 del medesimo Protocollo: “Gestione di una persona asintomatica in azienda”.

Riporto la norma:

  • “Nel caso in cui una persona presente in azienda sviluppi febbre e sintomi di infezione respiratoria quali la tosse, lo deve dichiarare immediatamente all’ufficio del personale, si dovrà procedere al suo isolamento in base alle disposizioni dell’autorità sanitaria e a quello degli altri presenti dai locali, l’azienda procede immediatamente ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il Covid-19 previsti dalla Regione o dal Ministero della Salute.
  • L’azienda collabora con le Autorità sanitarie per la definizione degli eventuali “contatti stretti” di una persona presente in azienda che sia stata riscontrata positiva al Covid-19. Ciò al fine di consentire alle autorità di applicare le necessarie e opportune misure di quarantena. Nel periodo dell’indagine, l’azienda potrà chiedere agli eventuali possibili contatti stretti di lasciare cautelativamente lo stabilimento, secondo le indicazioni dell’Autorità sanitaria”.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

In questo caso, il contrasto sembrerebbe rilevarsi con l’art 5 dello Statuto dei Lavoratori con cui si vuole da un lato prevenire la realizzazione di condotte discriminatorie da parte datoriale e dall’altro garantire l’obiettività degli accertamenti medici.

Ho trovato molto coerente un’osservazione che focalizza l’attenzione sulla “neutralità” del parametro utilizzato. E ciò sulla base di due semplici considerazioni:

  • la rilevazione della temperatura superiore ai 37,5° non è detto che sia sintomatica del contagio da coronavirus, ben potendo essere un banale virus influenzale;
  • di contro, non è da escludere che gli asintomatici siano portatori sani.

Da ciò si deduce che l’unica informazione conoscibile dal datore di lavoro sarà la temperatura corporea e dunque slegata dalla patologia la quale invece rimarrà un dato non accessibile.

Mi sento di aderire a tale opinione, con un dubbio in merito alla sua diffusione e garanzia di riservatezza: il rilevamento dello stato febbricitante “di allerta” – già di per se trattamento di un dato rientrante nella “particolare categoria di dati” e capace di svelare l’identità dell’interessato perché direttamente collegabile al medesimo – potrebbe essere diffuso in modo immediato ed automatico con l’allontanamento del soggetto (si pensi al dipendente che viene allontanato dalla coda e invitato a non entrare in azienda), con ciò violando le garanzie richieste.

Conclusioni

La questione, dunque, si dovrà incentrare sulle modalità pratiche: molte aziende si stanno infatti interrogando sulla possibilità di isolare il dipendente con febbre superiore ai 37,5° senza che venga divulgata la notizia.

Una soluzione in tema di GDPR e coronavirus già adottata da alcuni titolari prevede ad esempio quella di creare un percorso ad hoc di per sé stesso riservato e inserito poi in specifiche procedure.

Non si dimentichi, infine, che l’art 2087 c.c. e l’intero decreto legislativo n. 81/2008 impongono al datore di lavoro di tutelare l’integrità psico-fisica e la personalità morale dei prestatori di lavoro: è, dunque, difficile pensare che in una situazione di emergenza attuale il datore di lavoro si sottragga a un simile obbligo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5