Gli impatti privacy del protocollo per il contrasto al Coronavirus sul lavoro

Sottoscritto il 14 marzo il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”. Ma L’Autorità Garante per la protezione dei dati personali era intervenuta il 02 marzo ultimo scorso con un comunicato con il quale diceva no a iniziative “fai da te” nella raccolta dei dati. Vediamo come si conciliano, dunque, l’interesse pubblico con la protezione dei dati personali dei lavoratori

Su invito del Presidente del Consiglio dei ministri e dei ministri competenti, la notte scorsa è stato sottoscritto tra le Parti sociali un Protocollo di regolamentazione, delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.

Tale Protocollo nasce in attuazione della misura, contenuta all’art. 1, comma 1, n. 9), del decreto del Presidente del Consiglio dei ministri 11 marzo 2020, che – in relazione alle attività professionali e alle attività produttive – raccomanda intese tra organizzazioni datoriali e sindacali.

Il documento, tenuto conto di quanto emanato dal Ministero della Salute, contiene linee guida condivise tra le Parti sociali per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio. In questa sede, ci si limiterà ad analizzare le parti delle linee guida che presentano delle relazioni con la tutela dei diritti e delle libertà fondamentali dei lavoratori, con riguardo al trattamento dei dati personali.

Il Protocollo per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro

Confermata la previsione della riduzione o della sospensione temporanea delle attività, unitamente alla possibilità per l’azienda di ricorrere al lavoro agile e agli ammortizzatori sociali, obiettivo dichiarato del Protocollo è di coniugare la prosecuzione delle attività produttive con la garanzia di condizioni di salubrità e sicurezza degli ambienti di lavoro e delle modalità lavorative. Nell’ambito di tale obiettivo, la prosecuzione delle attività produttive potrà infatti avvenire solo in presenza di condizioni che assicurino ai lavoratori adeguati livelli di protezione.

Pertanto, ispirati dalla ricerca di una condivisione delle regole, le Parti sociali sono giunte ad un protocollo che fornisce indicazioni operative finalizzate a incrementare, negli ambienti di lavoro non sanitari, l’efficacia delle misure precauzionali di contenimento per contrastare l’epidemia di COVID-19.

Informazioni ai lavoratori

Il primo articolo del Protocollo è dedicato all’informazione dei lavoratori. La trasparenza, infatti, è un aspetto che da tempo si è consolidato nel diritto al fine di infondere fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi.

L’azienda, attraverso le modalità più idonee ed efficaci, deve informare tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, degli appositi depliants informativi.

In particolare, le informazioni devono specificare:

– l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;

– la consapevolezza e l’accettazione di non poter fare ingresso in azienda, ovvero di permanervi e di dover dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc). In tali casi, infatti, i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio;

– l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene);

– l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.

Modalità di ingresso in azienda

Il datore di lavoro informa preventivamente i lavoratori, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.

Qualora fosse necessario l’ingresso di visitatori esterni (impresa di pulizie, manutenzione, aziende in appalto, etc.), premesso che per quanto possibile va ridotto, gli stessi dovranno sottostare a tutte le regole aziendali che seguono.

Ebbene, al momento dell’accesso i lavoratori potranno essere sottoposti in tempo reale al controllo della temperatura corporea: se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Nel caso di persone in tale condizione, ovvero di persona già presente in azienda che sviluppi febbre e sintomi di infezione respiratoria come la tosse, queste saranno fornite di mascherine e momentaneamente isolate (in base alle disposizioni dell’autorità sanitaria); l’azienda procederà immediatamente ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-19 forniti dalla Regione o dal Ministero della Salute2.

Nel caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, sarà necessario assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie dovranno essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19.

Allo stesso modo, nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria, o dei suoi colleghi, sarà necessario assicurare la riservatezza e la dignità del lavoratore.

Anche in questo documento – è felice di ricordarlo pure chi scrive – è ribadito che le persone con temperatura corporea superiore ai 37,5° non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni.

Informazioni in materia di protezione dei dati personali

E’ il caso di evidenziare che la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, anche detto GDPR).

Il Protocollo suggerisce, altresì, le modalità operative di tali attività (di trattamento dati):

1) rilevare la temperatura e non registrare il dato acquisito. Soltanto nell’eventualità in cui sia necessario documentare le ragioni che hanno impedito l’accesso ai locali aziendali sarà possibile identificare l’interessato e registrare il superamento della soglia di temperatura;

2) fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 GDPR. Ebbene, come pure previsto nel Regolamento europeo in materia di protezione dei dati personali, il Protocollo prevede che l’informativa potrà essere fornita anche oralmente (cfr. art. 12, par. 1, GDPR)

Quanto ai contenuti dell’informativa, il Protocollo specifica che con riferimento:

– alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19, e

– alla base giuridica potrà essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR);

Con riferimento ai tempi dell’eventuale conservazione dei dati (conformemente all’art. 13, par. 2, lett. a), GDPR) si potrà fare riferimento al termine dello stato d’emergenza.

Nel rispetto del principio cd. di limitazione della finalità (art. 5, par. 1, lett. b), GDPR), il Protocollo ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative. Si fa menzione, a titolo esemplificativo, del caso della richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti” di un lavoratore risultato positivo al COVID-19. Sul punto, il Considerando 46 prevede che “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.”

Dunque, il trattamento per la finalità sopraevidenziata appare una esplicita deroga al divieto ex art 9, par. 1, GDPR di trattare le categorie particolari di dati personali – tra le quali i dati relativi alla salute – riconducibile al caso del par. 2, lett. b), dello stesso articolo ove “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.”

Le misure di sicurezza

Il Protocollo di regolamentazione suggerisce, altresì, di definire le misure di sicurezza e organizzative adeguate a proteggere i dati.

In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie.

Ad una prima lettura potrebbe pensarsi che per “soggetti preposti” possa intendersi un qualsivoglia lavoratore dipendente ovvero soggetto esterno all’azienda (ad esempio, si potrebbe immaginare l’istituto di vigilanza che effettua il servizio di guardiania) in qualità rispettivamente di personale autorizzato o di responsabile del trattamento. Tanto, direbbe qualcuno, è previsto specificamente dall’art. 29 GDPR che chiunque agisce sotto l’autorità del titolare (rectius l’azienda) o del responsabile del trattamento “che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.

Ebbene, a parere di chi scrive, tale soluzione non può essere condivisa: per soggetti preposti dovrà intendersi ancora una volta i professionisti soggetti al segreto professionale. Non sarà un caso che – alla fine dell’articolato (v. ultimo punto dell’art. 12-SORVEGLIANZA SANITARIA/MEDICO COMPETENTE/RLS) – il Protocollo  torna a ribadire che “Il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie” .

Quanto alle misure, inoltre, non può non ricordarsi quanto previsto dal paragrafo 1 dell’art. 25 GDPR: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”

Con riferimento alle misure di sicurezza tecniche, il Protocollo non fa menzioni specifiche ma ci si può (rectius deve) riportare a tutto quanto previsto dall’art. 32 GDPR.

Sul rilascio della dichiarazione sul rischio epidemiologico e intervento del Garante

Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, è lo stesso Protocollo – in una nota – a ricordare di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati.

A tal fine (in conformità al cd. principio di minimizzazione ex art. 5, par. 1, lett. c), GDPR) si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. A titolo di esempio l’Accordo riporta che:

– se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva; oppure,

– se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.

In verità, su questo tema, soltanto il 2 marzo ultimo scorso con un comunicato il Garante per la protezione dei dati aveva stabilito che “I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato. L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.”

 

Fonte: www.cybersecurity360.it