Nell’attuale situazione di emergenza sanitaria dovuta alla pandemia di coronavirus, sono evidenti le implicazioni sul piano della privacy derivanti dal trattamento in misura esponenziale dei dati sanitari dei lavoratori da parte dei datori di lavoro, ma l’aggravarsi della situazione di emergenza sanitaria e la necessità di consentire comunque la continuità delle attività aziendali ha determinato e ammesso una sorta di attenuazione al divieto generale di “trattamenti fai da te” di dati sanitari da parte dei titolari di azienda.
Detta attenuazione è introdotta dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto dalle parti sociali il 14 marzo scorso.
Indice degli argomenti
Trattamento di dati sanitari dei lavoratori: una deroga al GDPR?
Lo scorso 19 marzo il Comitato europeo per la protezione dei dati (EDPB, European Data Protection Board) ha adottato la dichiarazione sul trattamento dei dati personali nel contesto Covid-19.
L’istituto citato nella propria dichiarazione sottolinea come le normative sulla protezione dei dati, quali il Regolamento Europeo 2016/679 (c.d. GDPR), non costituiscono un ostacolo alle misure adottate nella lotta contro l’epidemia, chiarendo come il trattamento dei dati sanitari in fase emergenziale non configura una deroga al Regolamento.
Anzi, come specificato dal Comitato europeo per il trattamento dei dati (EDPB) la base giuridica che rende legittimi i trattamenti di dati sanitari in circostanze eccezionali come quella che stiamo vivendo, realizzati al fine di fronteggiare la diffusione epidemiologica, si rinviene nel combinato disposto degli artt. 6 par. 1 lett. c) (adempimento obblighi legali a cui è soggetto il titolare del trattamento – tra cui quello in materia di medicina del lavoro-) e lett. e) ( trattamenti posti in essere dal titolare per l’esecuzione di compiti di interesse pubblico a cui lo stesso è chiamato a dar seguito, quale può essere appunto il controllo delle epidemie).
Per quello che concerne il trattamento di dati particolari sappiamo, inoltre, che il GDPR prevede deroghe al divieto di trattamento di determinate categorie speciali di dati personali, come i dati sanitari, ove siano necessari per motivi di notevole interesse pubblico nel settore della sanità pubblica (art. 9, comma 2, lettera i), quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o dei singoli Stati membri o laddove necessario al fine di proteggere gli interessi vitali dell’interessato (art. 9, comma 2, lettera c), in quanto il considerando 46 fa espressamente riferimento al controllo di un’epidemia affermando come “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
La novità apportata dal Protocollo per il contrasto al coronavirus sul lavoro
Il divieto di trattamenti di dati personali sanitari, lo ricordiamo, è previsto all’art. 14 del D.L. 14/2020 entrato in vigore lo scorso 10 marzo dove veniva rimarcato che solo i soggetti pubblici deputati (operatori sanitari) sono autorizzati alla raccolta autonoma di dati sanitari, in linea a quanto espresso dal Garante Privacy Antonello Soro lo scorso 2 marzo (Doc. Web 9282117), secondo cui: “La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”.
A distanza di pochi giorni, in data 14 marzo, tra le parti sociali (parti sindacali e datoriali) è stato raggiunto e sottoscritto il Protocollo condiviso per prevenire il contagio del virus Covid-19 in ambienti di lavoro, la cui novità è rappresentata dalla previsione di misure straordinarie che, come tali, determinano una sorta di attenuazione al divieto generale di “trattamenti fai da te” dei dati personali sanitari da parte dei datori di lavoro.
Trattasi di un documento composto di 13 punti, contenente obblighi precisi a carico del datore di lavoro al fine di tutelare la salute del lavoratore e consentire in pari luogo la continuità della attività aziendale.
Nell’applicazione di tali contingenti misure, il titolare d’azienda deve prestare la massima attenzione a non ledere altresì il lavoratore sotto il profilo della tutela della sua privacy attraverso il corretto trattamento di dati personali sanitari, adesso quindi ammesso in virtù del Protocollo condiviso. Ciò equivale a dire che il datore di lavoro, anche nel contesto dell’emergenza sanitaria, sarà tenuto ad agire secondo il principio dell’accountability (principio della responsabilizzazione) imposto dal Regolamento Europeo 2016/679 (c.d. GDPR) e ad osservare gli altri principi cardine in esso enunciati quali i principi della proporzionalità, minimizzazione e riservatezza dei dati personali.
Solo rispettando la normativa vigente infatti potrà assicurare la riservatezza e garantire al lavoratore la dignità di cui ha diritto.
Cosa prevede il Protocollo condiviso tra le parti sociali
Innanzitutto, occorre chiarire il perché dell’emanazione di tale nuovo documento che, come sopra accennato, costituisce una sorta di guida per i datori di lavoro specificamente dettato per l’emergenza sanitaria in corso.
Esso è il frutto di un accordo raggiunto tra le parti sociali sindacali e datoriali emanato al chiaro obiettivo di garantire la continuità delle attività produttive.
Inevitabilmente, nel contesto in atto di grave crisi sanitaria nazionale, non potevano non essere emanate misure specifiche e straordinarie volte ad escludere il contagio e la diffusione del virus Covid-19 negli ambienti lavorativi.
Preme evidenziare che in virtù del Protocollo, l’alternativa in capo al datore di lavoro che non rispetta e non fa rispettare le misure straordinarie è quella di bloccare e sospendere la propria attività.
Passando alla descrizione dei nuovi obblighi scanditi nei 13 punti del Protocollo condiviso, ve ne sono alcuni non potenzialmente lesivi della privacy del dipendente quali: lavorare ad almeno un metro di distanza; smart working; la turnazione e rimodulazione dei livelli produttivi.
L’arresto delle riunioni e della formazione dal vivo. La sanificazione periodica e la pulizia giornaliera delle postazioni di lavoro, delle aree comuni e di svago (macchinette caffè, ascensori).
Poi vi sono misure potenzialmente lesive della privacy del lavoratore. Tra queste ultime vengono sicuramente in rilievo quelle da adottare nei confronti dei dipendenti e dei fornitori esterni all’azienda.
Le misure di contenimento dettate a favore dei dipendenti e incidenza privacy
Il Protocollo condiviso contempla al punto 1) un obbligo di informazione cui è tenuto il titolare dell’azienda o datore di lavoro avente un preciso contenuto legato all’emergenza sanitaria nazionale in atto. Vi è la comunicazione ai propri dipendenti circa l’obbligo di rimanere a casa in presenza di febbre oltre i 37,5° o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria.
Inoltre, il Protocollo al punto successivo, descrive le condizioni alle quali può avvenire l’accesso in azienda. In tale contesto è prevista la possibilità del lavoratore di essere sottoposto al controllo della temperatura corporea.
Tale misura particolarmente invasiva (rilevamento temperatura corporea del lavoratore) rappresenta una scelta lasciata alla mera discrezionalità del titolare.
Qualora questi ritenga opportuno procedere alla misurazione dovrà giustificarne il motivo. In tale contesto, sarà tenuto altresì a rilasciare l’informativa sul trattamento dei dati personali ex art 13 che potrà essere resa anche in modalità semplificata, ossia, oralmente, o appesa nel locale in cui è misurata la temperatura.
Nella stessa si indica: quale finalità, la prevenzione del contagio; quale base giuridica, l’impiego dei protocolli d’intesa di cui alle raccomandazioni del DPCM del 11 marzo scorso; quale periodo di conservazione, la cessazione dello stato di crisi d’emergenza nell’ipotesi in cui sia necessario l’archivio delle informazioni rilevate.
L’attuazione di tale fase è particolarmente delicata e dovrà pertanto connotarsi da riservatezza e rispetto per i dati personali acquisiti quali la temperatura e dati identificativi del dipendente.
L’obbligo di informativa comprende altresì la preclusione di accedere in azienda laddove il soggetto, negli ultimi 14 giorni, abbia avuto contatti con persone risultate positive al Coronavirus o provenga da zone a rischio.
L’obbligo di informativa qui descritto può essere assolto anche tramite l’affissione di depliant o, comunque, la diffusione di locandine all’interno del contesto lavorativo, affinché tutti i dipendenti ne abbiano piena conoscenza.
Le previsioni dell’accesso in azienda da parte di soggetti estranei
Con riguardo ai fornitori, ed altre categorie di soggetti quali i visitatori, il datore di lavoro avrà cura di organizzare l’accesso in via preventiva, tramite una precisa programmazione.
Dovrà essere stabilito prima il momento e il percorso da adottare, al fine di evitare al massimo eventuali contatti con i dipendenti presenti.
Inoltre, il datore di lavoro è tenuto a comunicare a chiunque intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio.
A tale riguardo, qualora lo ritenga necessario potrà richiedere apposita auto-dichiarazione in tal senso, motivando le ragioni della misura adottata.
Cosa fare se il dipendente manifesta sintomi in azienda
Vi è un’ulteriore ipotesi che potrebbe verosimilmente verificarsi in azienda, anch’essa prevista nel Protocollo: la persona presente in azienda potrebbe sviluppare febbre e sintomi influenzali o infezioni respiratorie come la tosse.
In questo caso si dovrà procedere al suo isolamento e a quello delle altre persone presenti nei locali, informando immediatamente le autorità sanitarie competenti e i numeri di emergenza forniti dalla Regione o dal Ministero della Salute.
Conclusioni
A distanza di qualche giorno dal D.L. 14/2020 (entrato in vigore il 10 marzo) la situazione si è evoluta e modificata con il Protocollo condiviso del 14 marzo, in base al quale oggi i datori di lavoro sono autorizzati a raccogliere e trattare dati personali, come quelli sanitari, nel rispetto di precisi limiti sopra descritti.
Le misure contingenti previste dal Protocollo, suscettibili di incidere sul piano della privacy, devono essere poste in essere in modo da non ledere la dignità dei dipendenti.
A tal fine, il datore di lavoro, nel contesto dell’emergenza sanitaria in corso, sarà tenuto a motivare le precauzioni adottate nella raccolta dei sanitari oggi consentita (come la misurazione della temperatura corporea) in conformità al concetto di responsabilizzazione racchiuso nel principio di accountability imposto dal Regolamento Europeo 2016/679 (c.d. GDPR) e, altresì, ad osservare gli altri principi cardine in esso enunciati quali, soprattutto, i principi della proporzionalità, minimizzazione e riservatezza dei dati personali.
