Privacy e dati personali: guida del Garante per lavoro e imprese

Pubblicato il 26 Maggio 2020 in , da redazione grey-panthers

Il 4 maggio il Garante Privacy ha pubblicato  alcune risposte a domande frequenti (FAQ) che riassumono e mettono a sistema le indicazioni finora date per una corretta gestione dei dati personali durante il periodo emergenziale, tenendo conto dei chiarimenti già forniti a seguito di reclami, segnalazioni e quesiti ricevuti. Un documento, è bene ricordarlo, definito “in costante aggiornamento”. Le FAQ sono suddivise in cinque aree tematiche:

  • Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria.
  • Trattamento dati da parte degli enti locali nell’ambito dell’emergenza sanitaria.
  • Trattamento dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria.
  • Trattamento dati nel contesto scolastico nell’ambito dell’emergenza sanitaria.
  • Trattamento dati nel contesto delle sperimentazioni cliniche e delle ricerche mediche nell’ambito dell’emergenza sanitaria da Covid-19.

In questo articolo ci concentriamo sugli aspetti del contesto lavorativo ed in particolare sulle indicazioni fornite nell’ambito dell’attività svolta in materia di sorveglianza sanitaria e di rappresentanti dei lavoratori in materia di sicurezza. Nella prima parte delle FAQ l’Autorità conferma le indicazioni già fornite nei precedenti interventi. Nel quale ambito, è opportuno precisare, che dalla lettura delle norme il termine “dipendente” vada inteso in modo esteso, comprensivo pertanto di tutte le forme di collaborazione lavorativa.

I datori di lavoro sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 aggiornato ed allegato (n.6) con l’ultimo DPCM del 26 aprile scorso. In particolare si specifica che la gestione e il controllo (come la rilevazione della temperatura corporea) trovano applicazione nei confronti, non solo dei dipendenti, ma anche e soprattutto (ora in Fase 2) di utenti, visitatori e clienti nonché dei fornitori.

Vale la pena rammentare come il Garante sottolinei ancora una volta che la rilevazione in tempo reale della temperatura corporea, essendo associata all’identità dell’interessato, costituisce un trattamento di dati personali. Si badi, è sufficiente la rilevazione e non necessariamente anche una annotazione o conservazione, ecc. La registrazione del dato relativo alla temperatura corporea rilevata, infatti, nel rispetto del principio di “minimizzazione” non è ammessa. Vi è tuttavia una lieve deroga. È consentita la registrazione nella sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare (principio di accountability in ottica GDPR) le ragioni che hanno impedito l’accesso al luogo di lavoro. Evidentemente in questo caso scattano, in conseguenze, le opportune politiche di conservazione.

Tale deroga invece non trova applicazione nel caso in cui la temperatura corporea venga rilevata a clienti o visitatori occasionali, anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali. In questi casi, di regola, necessario registrare il dato relativo al motivo del diniego di accesso. Potrebbe tuttavia giustificarsi in relazione ai fornitori che comunque devono o potrebbero dover interagire con qualche dipendente. L’impresa dovrebbe implementare canali di comunicazione dedicati al fine di permettere di richiedere ai propri dipendenti, che ne hanno l’obbligo, di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID-19 quale condizione per l’accesso alla sede di lavoro. Autodichiarazione che può contenere anche l’indicazione che il dipendente, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.

In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti (ancora il rispetto del principio di minimizzazione) rispetto alla prevenzione del contagio da COVID-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

Sorveglianza sanitaria

In capo al medico competente permane, anche in questo periodo di emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

=> Covid e Lavoro: istruzioni per il medico competente

Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente (per es. visite straordinarie in relazione all’esposizione al rischio di contagio) si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute. Il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 segnalando al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti”.

Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi in cui la particolare condizione di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. Si badi però che, in queste ipotesi, non sarà necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore. In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati, i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

Rappresentante dei lavoratori per la sicurezza

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente che ha contratto il virus. Permane ovviamente l’obbligo di comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi. Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza. Egli, tuttavia, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).

Pertanto, il Rappresentate dei lavoratori per la sicurezza, quando nell’esercizio delle proprie funzioni, venga a conoscenza di informazioni – che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi – rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati. La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da COVID-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).

Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Coronavirus, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute.