Tutela della salute e protezione dei dati personali dei lavoratori. Le linee guida per i datori di lavoro

di Stefano Mele.

Emergenza COVID-19 e misure di sicurezza nel contesto lavorativo privato.
L’emergenza sanitaria legata al COVID-19 ha comportato un radicale cambiamento anche nella “vita” delle società, le quali si sono ritrovate a confrontarsi con problematiche spesso nuove e alle quali si è dovuto reagire – in alcuni casi – con soluzioni originali, se non addirittura completamente innovative.
Peraltro, il perdurare di questa crisi, comporta ancor’oggi la necessità per il datore di lavoro – attraverso la propria funzione Security – di trovare quel difficile e precario bilanciamento tra i numerosi diritti e interessi in gioco, come, ad esempio, preservare la continuità lavorativa, garantendo contestualmente l’adozione e l’implementazione delle più idonee misure di prevenzione e di sicurezza volte a prevenire il contagio sui luoghi di lavoro.
Per raggiungere tale obiettivo, un aiuto senz’altro prezioso può essere rintracciato nel contenuto del “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”. Un documento che, anche solo dalla semplice lettura del titolo, esprime con chiarezza la sua centralità all’interno di questo ragionamento.
Infatti, tra le numerose misure di sicurezza previste al suo interno (qui non richiamate per ragioni di brevità), il Protocollo stabilisce anzitutto che il personale, prima dell’accesso al luogo di lavoro, possa essere sottoposto al controllo della temperatura corporea e, laddove questa risulti superiore ai 37.5°, l’ingresso non dovrà essere consentito. Di conseguenza, la società, attraverso le modalità più idonee ed efficaci, dovrà informare i lavoratori e chiunque acceda ai suoi locali, inter alia:

    • dell’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o di altri sintomi influenzali, nonché di avvisare il proprio medico di famiglia e l’Autorità sanitaria;
    • del non poter fare ingresso o di non poter permanere in azienda – e di doverlo dichiarare tempestivamente – laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura corporea, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti) per le quali i provvedimenti dell’Autorità impongano di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio;
    • dell’impegno di informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti sul luogo di lavoro.

 

Anche solo da quanto finora accennato, appare fin da subito evidente come, tra le misure di sicurezza che il datore di lavoro è chiamato ad individuare e implementare all’interno dei luoghi di lavoro, ci sia anche l’ormai imprescindibile misura della protezione dei dati personali dei dipendenti.

Il necessario equilibrio tra tutela della salute e protezione dei dati personali dei lavoratori.
L’European Data Protection Board ha affermato che, nonostante l’emergenza sanitaria in atto, qualsiasi trattamento di dati personali svolto all’interno della società non possa prescindere dai principi sanciti dalla normativa vigente in materia di protezione dei dati personali. Pertanto, particolare attenzione dovrà essere prestata ai principi di liceità del trattamento e di minimizzazione dei dati personali, a maggior ragione nel caso – quantomai attuale – di una società che abbia l’esigenza di adottare nuove misure di sicurezza per il contrasto alla diffusione del COVID-19, come, ad esempio, l’uso di “termoscanner” o la richiesta di autodichiarazioni.
In questi casi, come in tutti gli altri, la società dovrà sempre trattare i dati personali in maniera lecita e limitandosi alla raccolta di quelli strettamente necessari al perseguimento della finalità, fermo restando che i dati raccolti potranno essere trattati esclusivamente per la finalità di prevenzione dal contagio da COVID-19 e non dovranno essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es., in caso di richiesta da parte dell’Autorità sanitaria).
Inoltre, occorre evidenziare che il Protocollo specifica in maniera chiara che la rilevazione della temperatura corporea (ottenuta con qualsivoglia strumento) è da qualificarsi come un trattamento di dati personali e che, pertanto, essa deve essere svolta in conformità con la normativa vigente. Tuttavia, il Garante per la protezione dei dati personali, a tal proposito, ha precisato di recente che, seppure si sia in presenza di un trattamento di dati personali solo laddove la rilevazione della temperatura sia associata all’identità dell’interessato, non è comunque ammessa la registrazione del dato relativo alla temperatura corporea rilevata. Infatti, nel rispetto del principio di “minimizzazione” del GDPR, è consentita la registrazione della sola circostanza del superamento della soglia di temperatura stabilita dalla legge e comunque solo quando sia necessario documentare le ragioni che hanno impedito l’accesso ai luoghi di lavoro.
Contestualmente, in caso di raccolta di autodichiarazioni da parte dei lavoratori, il datore di lavoro è autorizzato a raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.
In aggiunta a quanto sopra, in caso di adozione di nuovi strumenti per la rilevazione della temperatura, per il controllo degli accessi e più in generale per qualsiasi nuovo trattamento di dati personali in relazione all’emergenza sanitaria, sarà sempre necessaria un’analisi dei nuovi mezzi utilizzati alla luce dei principi di Privacy by design e Privacy by default, sanciti dall’articolo 25 del GDPR. Questi richiedono che il titolare del trattamento (la società, quindi) metta in atto misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati, oltre che ad attuare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Inoltre, poiché gli strumenti finora evidenziati comportano necessariamente un trattamento di dati personali, sarà anzitutto obbligatorio che il datore di lavoro fornisca un’informativa privacy agli interessati, ai sensi dell’articolo 13 del GDPR. Questa dovrà indicare, inter alia:

    1. le finalità del trattamento, cioè la prevenzione dal contagio da COVID-19;
    2. la base giuridica, quindi l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d), del DPCM 11 marzo 2020;
    3. la conservazione dei dati, per la quale si può far riferimento al termine dello stato d’emergenza.

 

Gli obblighi del datore di lavoro, però, non si esauriscono qui. Infatti, il Protocollo specifica non solo che la società dovrà definire anche le misure di sicurezza e organizzative adeguate a proteggere quei dati personali, quant’anche che essa dovrà designare e istruire, ai sensi dell’art. 29 del GDPR, tutti coloro che saranno preposti al trattamento di questi dati personali.
Contestualmente, data l’introduzione di nuovi trattamenti, sarà necessario anche aggiornare il registro delle attività di trattamento, redatto ai sensi dell’articolo 30 del GDPR, nonché valutare la necessità di effettuare – prima di procedere al trattamento – una Data Protection Impact Assessment (“DPIA”), ai sensi dell’articolo 35 del GDPR, laddove si dovesse ritenere che il trattamento possa presentare un rischio elevato per i diritti e le libertà degli interessati.

Rilevazione di temperatura elevata e gestione di un soggetto sintomatico.
Limitrofo al tema della protezione dei dati personali è anche il caso della gestione di un soggetto sintomatico. Come detto in precedenza, il Protocollo afferma che, nel caso in cui il datore di lavoro rilevi una temperatura corporea del lavoratore superiore ai 37.5°, l’accesso ai locali della società non dovrà essergli consentito. In tale evenienza, quindi, il soggetto dovrà essere momentaneamente isolato e fornito di mascherina. Inoltre, non dovrà recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovrà contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni.
In questa evenienza, quindi, il datore di lavoro dovrà assicurare – e quindi dovrà avere già predisposto – modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie dovranno essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19, così come nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria, nonché dei suoi colleghi.
Anche nel caso in cui un lavoratore sviluppi febbre e sintomi di infezione respiratoria durante lo svolgimento delle sue mansioni, si dovrà procedere al suo isolamento sempre nel rispetto della sua riservatezza e dignità, nonché si dovranno avvertire le Autorità competenti attraverso gli specifici contatti.
Per tutto quanto finora evidenziato, è evidente, quindi, che non spetta alla società rendere nota agli altri lavoratori l’identità del dipendente affetto da COVID-19. Dovranno essere le Autorità sanitarie competenti ad informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi. Infatti, la comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle Autorità competenti in base a poteri normativamente attribuiti.
L’accesso all’interno dell’azienda da parte di soggetti già risultati positivi al COVID-19 dovrà essere preceduto da una preventiva comunicazione avente contenente la certificazione medica, rilasciata dal Dipartimento di prevenzione territoriale di competenza, da cui risulti la “avvenuta negativizzazione” del tampone secondo le modalità previste.

Accesso da parte di soggetti esterni.
Infine, per quanto riguarda l’accesso nei locali da parte di fornitori esterni, il Protocollo specifica che esso deve essere ridotto il più possibile. Tuttavia, qualora fosse necessario l’ingresso di visitatori esterni (impresa di pulizie, manutenzione, ecc.), gli stessi dovranno sottostare a tutte le regole di sicurezza aziendali, ivi comprese quelle per l’accesso ai locali. Di conseguenza, il datore di lavoro potrà richiedere anche ai fornitori esterni le medesime informazioni previste per i dipendenti, purché si preoccupi di seguire pedissequamente le stesse regole sul trattamento dei dati personali analizzate in precedenza per i dipendenti.
In relazione alla rilevazione della temperatura corporea, il Garante per la protezione dei dati personali ha precisato che, nel caso in cui questa venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali, anche qualora risulti superiore alla soglia indicata nelle disposizioni emergenziali, non è di regola necessario registrare il dato relativo al motivo del diniego di accesso.

La richiesta di effettuare test sierologici.
Il Garante per la protezione dei dati personali, di recente, ha stabilito che è possibile richiedere l’effettuazione di test sierologici, ma solo se siano disposti dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle Autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza dei test.
Infatti, solo il medico competente, in quanto professionista del settore sanitario, può stabilire la necessità di particolari esami clinici e biologici e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori.
Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non potranno essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.
Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e comunque nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.
Inoltre, i datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza ovviamente poterne conoscere l’esito.

 

Avv. Stefano Mele
Partner presso Carnelutti Law Firm
Socio di AIPSA