
Circolare di Studio n. 41 del 26/4/2020
Azioni di contrasto al Coronavirus nei luoghi di lavoro. L’impatto sulla tutela dei dati personali
Con l’approssimarsi dell’auspicata ripresa delle attività lavorative, il datore di lavoro ha l’obbligo di provvedere all’attuazione del Protocollo del 14 marzo u.s. (così come integrato il 24 aprile u.s.), nominato “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, al fine di garantire le necessarie misure di sicurezza previste a tutela dei lavoratori.
Tuttavia, l’adozione di tali misure non può prescindere dall’osservanza della normativa sulla Privacy, volta a tutelare la riservatezza dei dati afferenti alle persone fisiche, con particolare riferimento a quelli c.d. “particolarmente sensibili”, come lo stato di salute.
Con particolare riferimento alla rilevazione dello stato di salute dei dipendenti che sono chiamati ad accedere al luogo di lavoro, in questo particolare periodo di diffusione del Coronavirus, l’Autorità Garante per la protezione dei dati personali era intervenuta il 02 marzo ultimo scorso con un comunicato con il quale diceva no a iniziative “fai da te” nella raccolta dei dati. Tale presa di posizione era molto chiara nel ricondurre le attività di acquisizione di informazioni rilevanti ai fini della prevenzione della diffusione del Coronavirus all’ambito operativo dei soggetti istituzionali, in ragione del chiaro sistema di comunicazione di tali informazioni che pone specifici obblighi in capo agli individui e definisce i relativi canali e modalità di gestione delle informazioni. Occorre pertanto valutare come conciliare l’interesse pubblico con il diritto alla riservatezza dei lavoratori, bilanciamento che appare di difficile attuazione. Nell’analizzare la situazione nel contesto italiano, di particolare interesse risulta essere, oltre alla già citata posizione del Garante Privacy, anche la stipulazione in sede concertativa del Protocollo del 14 marzo, che si segnala per l’aver adottato una direzione che entra in tensione con quella fatta propria dal Garante.
Il punto 2 del succitato Protocollo, prevede infatti che al momento dell’accesso i lavoratori potranno essere sottoposti in tempo reale al controllo della temperatura corporea: se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Nel caso di persone in tale condizione, ovvero di persona già presente in azienda che sviluppi febbre e sintomi di infezione respiratoria come la tosse, queste saranno fornite di mascherine e momentaneamente isolate (in base alle disposizioni dell’autorità sanitaria); l’azienda procederà immediatamente ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-19 forniti dalla Regione o dal Ministero della Salute.
È appena il caso di ricordare che la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679, anche detto GDPR).
Il testo del Protocollo tuttavia, come appare evidente, non fornisce indicazioni su come operare il trattamento dei dati nel rispetto delle regole individuate dal GDPR, si limita a riportare un semplice suggerimento espresso oltretutto in una nota. Si proverà di seguito a riportare il contenuto di tale nota evidenziandone le criticità di non poco conto. Nella nota 1, il Protocollo suggerisce le modalità operative da adottare in tali attività di trattamento dati:
1. rilevare la temperatura e non registrare il dato acquisito. Soltanto nell’eventualità in cui sia necessario documentare le ragioni che hanno impedito l’accesso ai locali aziendali sarà possibile identificare l’interessato e registrare il superamento della soglia di temperatura;
2. fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 GDPR. Come pure previsto nel Regolamento europeo in materia di protezione dei dati personali, il Protocollo prevede che l’informativa potrà essere fornita anche oralmente (cfr. art. 12, par. 1, GDPR)
Quanto ai contenuti dell’informativa, il Protocollo specifica – sempre alla nota 1 – che con riferimento:
– alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19;
– alla base giuridica potrà essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020;
– ai tempi dell’eventuale conservazione dei dati (conformemente all’art. 13, par. 2, lett. a), GDPR) si potrà fare riferimento al termine dello stato d’emergenza.
Il testo della nota non individua una specifica base giuridica del trattamento, che si ricorda essere la base su cui si fonda la legittimità del trattamento stesso, si limita a richiamare il generico obbligo di adempiere alla implementazione dei protocolli di sicurezza previsti dalla legge. Il Protocollo sembrerebbe riferirsi in particolare alla previsione di cui alla lett. b dell’art. 9 del GDPR, ovvero quella relativa all’assolvimento di un obbligo posto in capo al titolare del trattamento in materia di “diritto del lavoro e della sicurezza sociale e protezione sociale” e, per i dati non riferibili alle categorie particolari come la salute, all’art. 6, comma 1, lett. c), relativo “all’adempimento di un obbligo legale”. Altre basi giuridiche sarebbero ipotizzabili, come sottolinea lo “Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak”, laddove riconosce la legittimità di «processing of personal data […] necessary for the employers for reasons of public interest in the area of public health or to protect vital interests». In quest’ultimo caso la base giuridica sarebbe rinvenibile nell’art. 6, comma 1, lett. e) relativo al “trattamento necessario per l’esecuzione di un compito di interesse pubblico”. In ultimo, occorre porre l’accento su un’ulteriore base giuridica di certa applicazione al caso di specie, ovvero la previsione di cui all’art. 6, comma 1, lett. d), “il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica”. Sul punto, il Considerando 46 del GDPR prevede espressamente che “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.” Dunque, il trattamento per la finalità sopra evidenziata appare una esplicita deroga al divieto ex art. 9, par. 1, GDPR di trattare le categorie particolari di dati personali – tra le quali i dati relativi alla salute. Dinnanzi a tale quadro normativo di riferimento, si ritiene che il mero riferimento, nel testo del Protocollo, alla implementazione dei protocolli di sicurezza, data la genericità della previsione che nulla dispone con riferimento al trattamento dei dati, potrebbe non essere ritenuta una legittima base giuridica del trattamento. Stante il ruolo espressamente riconosciuto alla contrattazione collettiva da parte del GDPR (art. 9, comma 2, e art. 88, comma 1), il Protocollo dovrebbe essere considerato la fonte giuridica che autorizza espressamente al trattamento a quei determinati fini – essendo, peraltro, stato sottoscritto ai sensi dell’art. 1, comma 1, n. 9, d.P.M.C. 11 marzo 2020 – e che fissa le specifiche tutele dei diritti degli interessati come richiesto dal Regolamento. La tecnica redazionale utilizzata dalle Parti, però, non parrebbe pienamente rispettosa dei requisiti posti dalla disciplina europea difettando in alcuni passaggi – l’espressione utilizzata è «si suggerisce» – di una adeguata cogenza in termini di tutele ed essendo l’autorizzazione al trattamento espressa non in termini espliciti, ma implicitamente e in nota.
A seguito delle integrazioni al protocollo avvenute il 24 aprile u.s., nulla è stato modificato in merito. Si rileva che è stato aggiunta in tale sede, nel punto 2 del protocollo, la seguente prescrizione avente anch’essa impatto sul trattamento dei dati personali dei dipendenti:
“L’ ingresso in azienda di lavoratori già risultati positivi all’infezione da COVID 19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione” del tampone secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza.”
Per tale prescrizione, non è stato previsto alcun riferimento alla normativa sulla Privacy, nemmeno in nota. Si ritiene ad ogni buon conto che anche per questo ulteriore trattamento valgano le considerazioni sinora riportate.
Si auspica in merito una pronuncia del Garante al fine di scongiurare la contestazione di un eventuale trattamento illegittimo.
Nel rispetto del principio cd. di limitazione della finalità (art. 5, par. 1, lett. b), GDPR), il Protocollo ricorda inoltre che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative. Si fa menzione, a titolo esemplificativo, del caso della richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti” di un lavoratore risultato positivo al COVID-19.
Il Protocollo di regolamentazione suggerisce altresì, nella medesima nota n. 1, di definire le misure di sicurezza e organizzative adeguate a proteggere i dati.
In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. Ad una prima lettura potrebbe pensarsi che per “soggetti preposti” possa intendersi un qualsivoglia lavoratore dipendente ovvero soggetto esterno all’azienda (ad esempio, si potrebbe immaginare l’istituto di vigilanza che effettua il servizio di guardiania) in qualità rispettivamente di personale autorizzato o di responsabile del trattamento.
Tale soluzione non può essere condivisa: si ritiene che per soggetti preposti dovranno intendersi ancora una volta i professionisti soggetti al segreto professionale. Non pare casuale che – alla fine dell’articolato del Protocollo (si veda l’ultimo punto dell’art. 12-SORVEGLIANZA SANITARIA/MEDICO COMPETENTE/RLS) – sia previsto che “Il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie” .
Quanto alle misure, inoltre, non può non ricordarsi quanto previsto dal paragrafo 1 dell’art. 25 GDPR: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”
Con riferimento alle misure di sicurezza tecniche, il Protocollo non fa menzioni specifiche ma ci si può riportare a tutto quanto previsto dall’art. 32 GDPR.
Il Protocollo, alla nota n. 2, si esprime in merito all’ipotesi di richiesta, ai dipendenti, del rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, ricordando altresì di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati.
A tal fine (in conformità al cd. principio di minimizzazione ex art. 5, par. 1, lett. c), GDPR) il protocollo suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. A titolo di esempio l’Accordo riporta che:
– se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva; oppure,
– se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
Con riferimento a quest’ultimo punto, appare ancora condivisibile quanto comunicato dal Garante Privacy secondo il quale “L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.
Si suggerisce pertanto di non procedere alla richiesta di rilascio delle attestazioni.
In conclusione, le misure sopra descritte non possono essere adottate a prescindere da ogni valutazione specifica sulla relativa necessità e in modo generalizzato.
Così come specificato nel provvedimento del Garante 2 marzo 2020 non sono consentite raccolta di informazioni inerenti allo stato di salute dei lavoratori ad opera dei datori di lavoro a priori e in modo sistematico e senza criteri definiti. Lo stato di emergenza consente l’adozione di misure anche eccezionali che implicano il trattamento di dati personali, purché caso per caso ne siano valutate la necessità e la proporzionalità in relazione alla finalità perseguita da parte del datore di lavoro Titolare del trattamento.
Occorrerà tenere in considerazione pertanto il settore di attività e l’organizzazione del lavoro sotto diversi profili, quali a titolo esemplificativo:
– l’area di riferimento;
– il numero di contagi presenti in quell’area;
– la conformazione dei locali di lavoro;
– le modalità con cui sono state attuate le dovute prescrizioni igienico sanitarie previste dalla recente normativa;
– il settore produttivo;
– la tipologia e dalla quantità di soggetti che, per ragioni produttive, hanno accesso a quell’area (dipendenti, fornitori etc…).
In ogni caso, tutte le misure adottate dal datore di lavoro per fare fronte a contesti eccezionali ove è coinvolta non solo la salute dei lavoratori ma anche la salute pubblica, devono essere documentate e motivate. Nel caso in cui ritenga che la misurazione della temperatura dei dipendenti sia una misura necessaria, dovranno essere in primis adottati degli accorgimenti che potremmo definire basati sul buonsenso: misurazione della temperatura in una stanza ove sia possibile accedere singolarmente, e da dove sia possibile isolare il lavoratore ove presenti una temperatura superiore a 37,5 ° mantenendone la riservatezza ed evitando che possa essere identificato da parte dei colleghi.
Qualora invece uno dei dipendenti manifesti sintomi ascrivibili al Coronavirus o sia venuto in contatto con soggetti positivi, a garanzia della riservatezza, si consiglia di adottare un canale di comunicazione riservato e specifico per permettere ai lavoratori di rendere tale informazione, eventualmente in accordo con il medico del lavoro. I soggetti destinati a ricevere le predette informazioni dovranno essere sottoposti ad un obbligo legale e/o contrattuale di riservatezza.