Sono giorni frenetici per tutti coloro che si occupano di privacy nelle aziende. Sui luoghi di lavoro, a seguito del coronavirus Covid-19, sono in atto le misure di emergenza previste nelle forme più disparate. La situazione tuttavia pone problemi anche sul fronte della data protection, in particolare relativamente all’introduzione di questionari con domande molto generiche e talvolta discutibili e che perlopiù non contengono alcuna informativa privacy o in taluni casi rimandano solo a generiche affermazioni. Vediamo come fare per gestire correttamente questo ambito, considerando il GDPR.
Indice degli argomenti
L’emergenza coronavirus e i questionari in azienda
L’emergenza in Italia è esplosa in poche ore ed ha richiesto adeguate misure di prevenzione per la tutela e sicurezza sui luoghi di lavoro. È stato necessario garantire la continuità operativa ma allo stesso tempo la sicurezza dei lavoratori. Lavoratori fuori e dentro la c.d. “zona rossa” che devono recarsi nelle aziende fuori e dentro tale zona. Aziende perlopiù presenti in una delle regioni oggetto di specifiche misure restrittive. Aziende che in taluni casi non possono bloccare le attività perché garantiscono servizi pubblici essenziali. La necessità di fondo è sempre quella di evitare il diffondersi del virus identificando i soggetti a rischio per porre in essere le adeguate contromisure.
Per questa ragione in molte realtà si è diffuso l’uso di questionari che vengono fatti sottoscrivere ai fornitori e talvolta anche a propri lavoratori che devono accedere ai siti produttivi. Le domande richieste hanno più o meno questo tenore:
- Ha soggiornato in Cina o in uno dei comuni della Zona Rossa negli ultimi 15 giorni?
- Negli ultimi 15 giorni ha avuto contatti con qualcuno che è stato in Cina/zone italiane attenzionate e presentava sintomi come tosse e/o febbre?
- Ha avuto qualcuno dei seguenti sintomi negli ultimi 15 giorni? Febbre superiore a 37 gradi, tosse…
E così via.
Il trattamento dei dati sanitari da parte delle autorità
Non si può non constatare che molte delle informazioni raccolte rientrano nell’ambito dei dati sanitari (dette categorie particolari di dati personali). Il trattamento di tali dati su luogo di lavoro è disciplinato dal Garante Privacy mediante le “Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro” (Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019) che richiamano in sostanza le previsioni del Regolamento UE 679/2016. Il trattamento di tali dati è in linea di principio vietato dalla normativa (Art 9 GDPR) e concesso in casi estremamente limitati. Uno solo dei casi previsti rientrerebbe nel caso di specie. A prevederlo è sempre l’art 9 del GDPR (par 2 lett. i)) “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici …”.
Anche l’ordinanza del Ministero della Salute del 21 febbraio 2020 relativa alla quarantena cita il presupposto dell’art. 9, paragrafo 2, del regolamento (UE) 2016/679 e al contempo rimarca che “I dati personali raccolti nell’ambito delle attività di sorveglianza vengono trattati … nel rispetto delle disposizioni vigenti in materia di protezione dei dati personali, ivi incluse quelle relative al segreto professionale, e in relazione al contesto emergenziale in atto”. Inoltre, proprio il Ministero fornisce un requisito dal quale le aziende dovrebbero almeno trarre ispirazione per la redazione della Informativa Privacy: “La documentazione acquisita viene distrutta trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto”.
Anche il Parere dell’Autorità Garante Privacy del 2 febbraio 2020 sulla “bozza di ordinanza recante disposizioni urgenti di protezione civile” non fornisce una chiara indicazione sull’approccio che le aziende devono tenere ma delinea una “tolleranza” di massima per sei mesi ai trattamenti dei soggetti operanti nel Servizio nazionale di protezione civile. Trattamenti perlopiù relativi alla comunicazioni dei dati che risultino necessari per l’espletamento della funzione di protezione civile considerato lo stato di emergenza sul territorio nazionale ed il relativo al rischio sanitario.
Chi può occuparsi dei dati sanitari
Da tutto ciò ne deriva che il trattamento è certamente ammesso da parte delle organizzazioni preposte, non certo da parte delle aziende che non si possono sostituire alle autorità sanitarie o alla protezione civile. Ove ciò sia ammissibile i dati relativi alla salute devono comunque essere trattati da un numero estremamente limitato di soggetti, adeguatamente formato ed istruito in tal senso e il trattamento deve essere limitato alle sole informazioni essenziali. In teoria l’unico soggetto idoneo al trattamento sarebbe il medico competente. Ai sensi della normativa sulla Sicurezza sui luoghi di lavoro (d.lgs. 81/2008), è il datore di lavoro che ha infatti la responsabilità di tutelare i lavoratori dall’esposizione a “rischio biologico” con la collaborazione, ove presente, del medico competente,
Non è neanche escluso infatti che a fronte del nuovo rischio Coronavirus, sia opportuno provvedere all’aggiornamento del Documento di Valutazione dei Rischi (DVR). La presenza infatti di un nuovo rischio biologico comporterebbe anche la necessaria fornitura al personale dei DPI (dispositivi di protezione individuali). Sarebbe stato auspicabile un pronunciamento da parte dell’Autorità Garante Privacy, ma in mancanza dello stesso, pur assumendosi una dose di rischio, le aziende possono affermare che l’attività di somministrazione di specifici questionari rientra nel novero delle misure poste in essere dall’azienda nel complesso delle misure di sicurezza sui luoghi di lavoro ed è correlato ad una valutazione dei rischi che tiene anche conto del contesto aziendale. Per tale ragione ogni azienda dovrà adeguatamente valutare le informazioni da raccogliere, fornire adeguata informativa privacy e destinare le informazioni raccolte ad un numero limitato di soggetti. Oltre al medico competente, il personale che tratterà tali dati dovrà essere formato sui protocolli da utilizzare (es. cosa fare qualora il questionario compilato riporti un indice di allarme?). I soggetti deputati ai singoli trattamenti dovranno sempre garantire la segretezza delle informazioni trattate.
Le informazioni raccolte dovranno poi essere cancellate entro i termini (minimi) dichiarati nella informativa. Ad ogni modo, è bene ricordarlo, nel rispetto dei principi di liceità e minimizzazione del trattamento dei dati, durante la fase di ricerca e selezione e durante il rapporto di lavoro, non possono in linea generale essere acquisiti dati particolari (stato di salute), a meno che non si tratti di caratteristiche che incidono sulle svolgimento dell’attività’ lavorativa. Il dato di salute potrebbe per esempio costituire un requisito essenziale e determinante ai fini dello svolgimento dell’attività’ lavorativa (es. appartenenza a categorie protette). La situazione che stiamo vivendo in queste ore rappresenta una situazione di emergenza e, ci auguriamo, momentanea. Infine alla luce delle informative privacy dei questionari che circolano in queste ore, è bene ricordarlo, la base giuridica non può essere il legittimo interesse.
