– di Chiara M. Magalini.
E’ necessario e doveroso premettere a qualsiasi riflessione sui temi di data protection in questo momento di emergenza sanitaria che, qualora entrino in gioco diversi diritti e libertà fondamentali costituzionalmente garantiti, si deve procedere al bilanciamento degli stessi, in particolare – per quanto ci occupa qui – tra il diritto alla riservatezza e il diritto alla salute e alla sicurezza anche sul posto di lavoro. Proprio nell’ottica di questo bilanciamento a nostro avviso si devono pertanto interpretare tutti i provvedimenti, protocolli, comunicati e pareri che in questi giorni si succedono a ritmo frenetico e che spesso appaiono anche contrastanti. E’ indubbio infatti che il comunicato dell’Autorità Garante per la Protezione dei dati personali del 2 marzo scorso sembri disatteso dal contenuto del Protocollo tra Governo e Parti sociali del 14 marzo e nasce quindi il dubbio di quali comportamenti siano legittimi.
Qui di seguito qualche spunto interpretativo, senza alcuna pretesa di esaustività.
E’ legittimo per il datore di lavoro raccogliere informazioni personali di dipendenti, fornitori, utenti e visitatori con riferimento all’emergenza sanitaria in corso?
Va ricordato che il Garante per la Protezione dei Dati personali ha invitato – con il comunicato stampa del 2 marzo – tutti i titolari di trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza assumere iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
Successivamente con il Protocollo d’Intesa del 14 marzo tra Governo e Parti sociali sono state stabilite le condizioni e le modalità di attuazione per la tutela dei lavoratori, nel quale vengono previste espressamente indicazioni operative finalizzate a incrementare negli ambienti di lavoro non sanitari l’efficacia delle misure di contenimento adottate per contrastare l’epidemia, indicazioni operative che seguono – per espressa previsione – la logica della precauzione.
Va ricordato che non si tratta di provvedimenti normativi in senso stretto e pertanto si dovrà tenere sempre come riferimento la legislazione (europea e nazionale) vigente, come peraltro evidenziato anche nel comunicato della massima Autorità Europea in materia di data protection (EDPB) del 19 marzo scorso.
In particolare è possibile raccogliere dati sanitari (temperatura corporea, presenza sintomi influenzali, possibili ricoveri, esito tamponi e positività, ect..)?
Il Protocollo d’Intesa del 14 marzo ha previsto espressamente la possibilità di sottoporre il personale – prima dell’accesso in azienda – al controllo della temperatura corporea e di impedire l’accesso laddove il soggetto “controllato” dovesse presentare una temperatura superiore a 37,5°.
E’ stato altresì ribadito che il datore di lavoro informa preventivamente il personale e chi intenda fare ingresso in azienda della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COID-19 o provenga da zone a rischio secondo le indicazione dell’OMS.
Alla luce delle fonti di soft law sopra citate e della normativa vigente emergenziale (in particolare d.P.C.M. 11 marzo art. 1 nn. 7 lett. d) e 9) e non (in particolare Regolamento UE 2016/679 artt. 6 par. 1 lett. d), 9 par. 2 e 88 e D. Lgs. 196/2003 e art. 2087 c.c. e TULS), si ritiene pertanto che il datore di lavoro possa trattare – e in determinati casi ben definiti di cui meglio infra registrare – dati comuni e sanitari (temperatura corporea) di chi intenda accedere ai locali aziendali per la sola finalità di prevenzione del contagio da COVID-19, con gli accorgimenti sottoindicati.
Anche la massima l’EDPB ha precisato nel proprio comunicato del 19 marzo scorso che, fermi gli interventi normativi emergenziali dei singoli Stati membri, è possibile alla luce della normativa europea vigente il trattamento di dati personali anche appartenenti a categoria particolari di dati, se necessario per ragioni di interesse pubblico nell’ambito della sanità pubblica (art. 9 par. 2 lett. i) Regolamento UE 2016/679) o qualora vi sia la necessità di proteggere gli interessi vitali degli interessati (art. 9 par. 2 lett. c), anche alla luce di quanto specificamente previsto nel Considerando 46 del Regolamento per il controllo di emergenze sanitarie ed epidemie.
Quali accorgimenti specifici in materia di data protection deve assumere il datore di lavoro in questo frangente emergenziale?
E’ vivamente consigliato al datore di lavoro – ove sia consentita l’attività lavorativa in presenza – di assumere i seguenti specifici accorgimenti:
- informativa (con le modalità più idonee ed efficaci) ai lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità consegnando (anche a mezzo mail) e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali appositi materiali informativi inerenti:
- l’obbligo di rimanere al proprio domicilio in presenza di febbre oltre 37,5° o altri sintomi influenzali e di chiamare il proprio medico e l’autorità sanitaria;
- l’impossibilità di accedere o rimanere in azienda e di doverlo dichiarare tempestivamente qualora sussistano condizioni di pericolo (sintomi, temperatura, provenienza da zone a rischio);
- l’obbligo di rispettare le disposizioni dell’autorità e del datore di lavoro (mantenere la distanza interpersonale, osservare le regole di igiene, ect.);
- l’impegno ad informare tempestivamente il datore di lavoro dell’insorgenza di qualsiasi sintomo influenzale durante la prestazione lavorativa;
- qualora si proceda alla rilevazione della temperatura prima dell’accesso in azienda, fermo restando quanto previsto dall’Autorizzazione Generale 1/2016 e s.m.i., si dovrà:
- fornire adeguata e specifica informativa ai sensi del Regolamento UE 2916/679, anche in forma abbreviata (cartelli all’ingresso dell’azienda) od oralmente, indicando quale finalità del trattamento la sola prevenzione del contagio, come base giuridica l’implementazione di protocolli di sicurezza anti-contagio ex art. 1 n. 7) lett. d) d. P.C.M. 11 marzo e quale termine di conservazione la durata dell’emergenza;
- rilevare la temperatura (garantendo la riservatezza e la dignità dei singoli soggetti controllati) e non identificare né registrare il dato acquisito se non nel caso si renda necessario isolare un soggetto (e quindi documentare i motivi di tale provvedimento), affidando tali rilevazioni a soggetti specificamente autorizzati, istruiti e formati ex art. 29 GDPR e art. 2-quaterdecies D. Lgs. 196/2003, e ove possibile con il coinvolgimento del Medico competente;
- applicare le adeguate misure di sicurezza organizzative e tecniche (designazione, istruzione e formazione degli incaricati, cifratura, pseudonimizzazione, minimizzazione dei dati o in generale misure volte a garantire la riservatezza e l’assenza di comunicazione e diffusione dei dati raccolti, ect.) e assicurare riservatezza e dignità del soggetto coinvolto;
- alla luce degli accorgimenti che si potranno implementare e di cui sopra, si sconsiglia di predisporre e raccogliere questionari e/o dichiarazioni e/o autocertificazioni da lavoratori o da chi entra in azienda per rispetto del principio di minimizzazione: risulta superfluo – una volta informati compiutamente detti soggetti come da precedente punto 1) – e gravoso gestire la distribuzione e la conservazione di documenti di tale genere; qualora si ritenga in ogni caso di procedere in tal senso, si raccomanda di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19 (ad es. non richiedere informazioni in merito alle persone risultate positive con le quali possa essere entrato in contatto il dichiarante o agli specifici luoghi di provenienza a rischio contagio ove lo stesso sia stato);
- si dovrà provvedere alla distruzione dei dati raccolti non appena raggiunta la finalità dichiarata (prevenzione del contagio) e in ogni caso non appena terminata l’emergenza.
Si consiglia di individuare per la durata dell’emergenza un soggetto specificamente preposto (ad es. il DPO, ove nominato) facilmente raggiungibile che possa fornire agli interessati e ai soggetti autorizzati al trattamento informazioni e chiarimenti, approntare le misure di sicurezza adeguate, supervisionare lo svolgimento del trattamento e riscontrare le richieste di esercizio dei diritti.
Dovrà essere garantita la riservatezza e la dignità dei lavoratori anche in tutti i casi in cui gli stessi comunicheranno all’Ufficio del Personale o all’azienda la propria positività COVID-19 ovvero lo stato di malattia.
In tutti i casi di attivazione ex novo o di ampliamento dell’uso dello smart working, si dovrà procedere a redigere e consegnare al singolo lavoratore interessato la designazione e le specifiche istruzioni (ivi comprese le misure di sicurezza da applicare) quale soggetto autorizzato al trattamento dei dati personali in smart working.
Si richiama l’attenzione sul fatto che sono di vitale importanza nell’implementazione dello smart working ex novo la previsione degli accorgimenti e delle misure di sicurezza informatica “di base”, anche in un’ottica data protection, quali ad esempio:
- l’adozione di adeguati sistemi e misure di cybersecurity e sicurezza informatica a protezione dei device aziendali e personali in uso ai lavoratori (connessione da remoto sicura ai sistemi aziendali ad es. VPN, presenza e aggiornamento dei software in particolare di sistemi operativi e antivirus, sistemi di intrusion detection, back-up, disaster recovery);
- l’accurata valutazione nell’adozione di strumenti di collaborazione a distanza (condivisione file, conference call, ect.) avendo particolare attenzione alle applicazioni gratuite;
- la revisione (ove necessario) del regolamento per l’utilizzo degli strumenti informatici.
In tutti i casi di nuovi trattamenti, si dovrà procedere preventivamente all’inizio dell’attività di trattamento – ove necessario – alla DPIA.
Si dovrà altresì procedere all’aggiornamento – ove necessario – del registro delle attività di trattamento con riferimento ai nuovi trattamenti di cui sopra (rilevazione temperatura, smart working, ect.).
Per tutte le aziende che abbiano sedi in diversi Stati membri, si raccomanda di attenersi ai provvedimenti delle singole Autorità nazionali per la protezione dei dati personali; in molti Stati vigono specifiche disposizioni anche in materia di diritto del lavoro difformi da quelle applicabili in Italia.
E’ lecito per il datore di lavoro informare gli altri dipendenti o terzi in genere della positività e/o dell’affezione di COVID-19 di un collega, di un utente o di un visitatore ?
Alla luce della normativa vigente, si ritiene non sia lecito per il datore di lavoro fornire agli altri dipendenti o terzi in genere informazioni in merito a positività o malattia se non garantendo il totale anonimato del singolo soggetto coinvolto o con il consenso esplicito del lavoratore interessato stesso. Si consiglia di prediligere in tali casi e a garanzia della salute pubblica e degli interessi di tutti i terzi eventualmente coinvolti di attivare le competenti autorità sanitarie per le dovute comunicazioni a quanti potenzialmente coinvolti dal contagio.
E’ lecito per il lavoratore sottrarsi alle misure imposte dal datore di lavoro per l’ingresso in azienda ad es. rilevazione temperatura?
Qualora il lavoratore si rifiuti di adeguarsi alle misure implementate dal datore per l’emergenza, si ritiene che lo stesso violi gli obblighi di diligenza e di conformazione alle direttive aziendali ai sensi dell’art. 2104 c.c. valutando anche se lo stesso non si stia sottraendo ai controlli sanitari di cui al TULS. Ricorrendo tali circostanze si ritiene che l’azienda possa rifiutarsi di ammetterlo sul posto di lavoro ex art. 2087 c.c. ed avviare se del caso il procedimento disciplinare ai sensi dell’art. 7 S.L. (oltre che – qualora ne ricorrano i presupposti – procedere per l’applicazione della contravvenzione ex TULS).
Il lavoratore non potrà eccepire la violazione della propria privacy in tali casi stante le previsioni normative, anche di soft law, di cui sopra.
Per meglio approfondire le tematiche trattate scrivete a c.magalini@dusilaw.eu