Privacy e contenimento del coronavirus

Tra emergenza sanitaria in atto e salvaguardia della riservatezza dei lavoratori: guida operativa per ...


La presente guida operativa è stata redatto a seguito dell’adozione:

  1. del Comunicato stampa del 2 marzo 2020 emesso dal Garante per la protezione dati personali con il quale di fatto disapprova il “fai da te” nella raccolta dei dati

  2. del Protocollo di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto tra le parti sociali del 14 marzo 2020.

  3. Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak adottato dal Comitato europeo per la protezione dei dati – EDPB- del 19 marzo 2020.

 

Il vademecum viene redatto per agevolare l’interpretazione sistematica delle disposizioni riportate nei diversi documenti citati per ciò che concerne le attività che comportano un trattamento di dati personali.

Premessa necessaria è che i trattamenti dei dati personali realizzati nel corso delle attività di prevenzione devono essere improntati al principio di proporzionalità[1], prediligendo il ricorso a misure meno invasive possibili. E’, pertanto, opportuno che il titolare dell’azienda provveda a rendicontare le scelte in base alle quali ha ritenuto il trattamento posto in essere necessario per il perseguimento delle finalità, anche nel rispetto del principio di accountability.

Come riferisce il Comitato europeo per la protezione dei dati – EDPB- “l’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza”[2].

Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, sottoscritto il 14 marzo 2020 da sindacati e associazioni di categoria – su invito del presidente del Consiglio e dei ministri dell’Economia, del Lavoro, dello Sviluppo economico e della Salute – si pone l’obiettivo di evitare il blocco dell’operatività delle imprese in questa fase emergenziale, garantendo la tutela della salute dei lavoratori; c’è da aggiungere però che qualora tali misure comportino il trattamento di dati personali è necessario procedere in conformità ai principi generali contenuti nel Regolamento europeo 679/2016 (GDPR). Si riportano pertanto qui di seguito una serie di informazioni che potranno rappresentare buona prassi aziendali per evitare una eccessiva intrusione nella sfera privata del lavoratore.

È POSSIBILE RACCOGLIERE INFORMAZIONI SU SPOSTAMENTI E PATOLOGIE DI DIPENDENTI? CON QUALI LIMITI?

  • NO 

Nella maggior parte dei casi la raccolta dei dati potrebbe non essere giustificata in base al principio di proporzionalità e minimizzazione dei dati. È importante quindi una valutazione caso per caso. Il Garante nel comunicato del 02.03.2020 puntualizza che “i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”, anche in conformità all’art. 14 del D.L. del 9 marzo 2020, n. 14[3].

Qualora si ritenga strettamente necessario, l’Azienda potrà richiedere il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19. In tal caso dovrà motivare le ragioni per cui ha ritenuto necessaria tale iniziativa, oltre al fatto che in presenza di specifiche circostanze, la finalità preventiva non poteva essere perseguita con altre modalità e comunicazioni meno invasive. Si suggerisce, in ogni caso, di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19[4].

  • SI

Sì, a “comunicazioni non invasive”[5]. Si potrebbe posizionare un cartello all’ingresso, mandare una comunicazione o un dépliant informativo a dipendenti, clienti e fornitori indicando che se sono stati nelle zone a rischio negli ultimi 14 giorni, a contatto con le persone a rischio o hanno sintomi influenzali o semplicemente la febbre o la tosse non possono avere accesso allo stabile della società. Resta fermo, infatti, l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

È POSSIBILE RILEVARE LA TEMPERATURA CORPOREA?

Qualora il management per tutelare la salute di tutti volesse comunque raccogliere la temperatura dei dipendenti/fornitori/visitatori all’ingresso della società, potrà farlo fornendo prima l’informativa privacy.  È importante sapere che sul Protocollo approvato dalle parti sociali si legge “è possibile” e non “si deve” (“Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea”). Pertanto, tale misura particolarmente invasiva potrà essere adottata solo se ritenuta strettamente necessaria.

CONDIZIONI E LIMITI

Il datore di lavoro è quindi tenuto ad effettuare una valutazione in termini di “necessità del trattamento”[6] e documentare il motivo per cui ha ritenuto che tale misura fosse indispensabile e necessaria. L’informativa sul trattamento dei dati personali potrà essere fornita anche oralmente o eventualmente appesa nei locali in cui viene rilevata la temperatura. L’informativa dovrà contenere:

  • Titolare del trattamento: Azienda in persona del legale rappresentante/Datore di lavoro
  • Finalità del trattamento: Prevenzione del contagio da COVID19 (il trattamento è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica).
  • Base giuridica: l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020. Il presupposto di legittimità del trattamento è una norma di legge finalizzata a contrastare la diffusione dell’epidemia, e non il consenso lavoratori. Invero. Il GDPR prevede deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell'Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali dell'interessato (articolo 9.2.c), poiché il considerando 46 fa esplicito riferimento al controllo di un'epidemia .
  • Periodo di conservazione: fino al perseguimento delle finalità (es. isolamento del lavoratore) e comunque non oltre il termine dello stato d’emergenza.
  • Misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19).

In ogni caso, sulla rilevazione in tempo reale della temperatura corporea il Protocollo[7] suggerisce di:

  • rilevare la temperatura e non registrare il dato acquisto. È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
  • fornire l’informativa sul trattamento dei dati personali.
  • definire le misure di sicurezza e organizzative adeguate a proteggere i dati.
  • In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi

 

Avv. Alexandra Canestrari

 

[1] Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali (di Angela Majoli, Ansa, 17 marzo 2020) “Sì alle misure eccezionali per far fronte all'emergenza coronavirus, purché siano proporzionate e limitate nel tempo […] La sfida posta da questa emergenza di tipo sanitario è coniugare efficacia dell'azione di prevenzione e contrasto del contagio, con le garanzie essenziali di tutela dei diritti fondamentali, quali appunto la privacy, che sono soggetti a bilanciamento con altri beni giuridici quali, in primo luogo, la salute pubblica". Articolo consultabile sul sito ufficiale: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9292565

[2] Comitato europeo per la protezione dei dati – EDPB: “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19”, adottata il 19 marzo 2020, documento consultabile sul sito ufficiale dell’EDPB: https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_it

[3] Si tratta del D.L. n. 14 del 9 marzo 2020, pubblicato in Gazzetta Ufficiale e vigente al 10 marzo 2020, recante Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza Covid-19. Le sue disposizioni si applicano a soggetti pubblici e privati che operano nell’ambito del Sistema Sanitario Nazionale (SSN), fino al 3 aprile 2020.

[4] “Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi”. Si v. la nota 1 del "Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, sottoscritto il 14 marzo 2020 da sindacati e associazioni di categoria. Il testo integrale è consultabile al sito ufficiale dell’INAIL al seguente link: https://www.inail.it/cs/internet/comunicazione/news-ed-eventi/news/news-protocollo-14-marzo-sicurezza-lavoratori-covid-19-2020.html

[5] Giulio Coraggio e Giampiero Falasca: “Coronavirus, Garante privacy: niente fai-da-te sullo scanner termico ai dipendenti” articolo reperibile al seguente link: https://www.ilsole24ore.com/art/la-privacy-limita-controlli-aziendali-ACuGzYMB

[6] Marco Martorana: “Coronavirus: vademecum per il contenimento negli ambienti di lavoro” articolo reperibile al seguente link: https://www.altalex.com/documents/news/2020/03/19/coronavirus-vademecum-per-contenimento-negli-ambienti-di-lavoro 

[7] V. sopra- pag. 6, nota 1 del Protocollo Covid-19 sulla sicurezza aziendale.