Privacy e sicurezza negli ambienti di lavoro ai tempi del COVID 19
A seguito dell’emergenza sanitaria che in queste settimane
sta coinvolgendo tutto il mondo e tutti i settori economici, la sfida è coniugare l’efficacia dell'azione di prevenzione
e contrasto del contagio con le garanzie essenziali di tutela dei diritti
fondamentali, quali appunto il diritto alla privacy e alla salute pubblica che
sono entrambi diritti soggetti a bilanciamento con altri beni giuridici.
Come noto, l’emergenza è una condizione giuridica che,
proprio per il suo carattere di eccezionalità, legittima una restrizione della
generale condizione di libertà purché le restrizioni attuate siano
proporzionate e limitate al periodo di emergenza. Pertanto, in uno stato di democrazia
come il nostro è necessario che alcuni diritti, sebbene ritenuti fondamentali, cedano
il passo ad altri ritenuti di altrettanta importanza come il diritto alla
salute.
Nell’ambito della sicurezza negli ambienti di lavoro, in un
contesto di emergenza sanitaria, ci si chiede se e a quali condizioni il
diritto alla privacy dei lavoratori possa essere compresso a favore del diritto
alla salute dei lavoratori stessi.
Il regolamento del Parlamento
Europeo e del consiglio del 27 aprile 2016 (GDPR) prevede già la possibilità di
trattare dati personali in contesti di emergenza, di cui il COVID-19 ne
rappresenta un esempio, contemplando i presupposti giuridici per consentire ai
datori di lavoro e alle autorità sanitarie competenti di trattare i dati
personali particolari (quali appunto i dati relativi alla salute) nel contesto
di epidemie, senza la necessità di ottenere il consenso dell'interessato. Ciò
si applica ad esempio quando il trattamento dei dati personali è necessario per
i datori di lavoro per motivi di interesse pubblico nel settore della salute
pubblica o per proteggere interessi vitali (articoli 6 e 9 del GDPR) o per
ottemperare a un altro obbligo legale. Nel contesto lavorativo, ad esempio, il
trattamento di dati personali può ritenersi necessario qualora vi sia un
obbligo del datore di lavoro di garantire la sicurezza dei propri dipendenti
nel luogo di lavoro.
Anche lo stesso Garante con il comunicato
del 2 marzo 2020 non ha vietato ai soggetti pubblici e privati di applicare misure
destinate a tutelare e a garantire la salute e la sicurezza dei luoghi di
lavoro, ma ha invece ribadito la necessità di evitare di mettere in atto
“misure fai da te”, evitando la raccolta incontrollata e mal gestita di dati
personali, raccomandando invece di fare gestire l’emergenza e le necessarie deroghe
ai soggetti e alle autorità che ne hanno la responsabilità e dunque la protezione
civile e le altre autorità sanitarie sempre nel rispetto della normativa
privacy.
Il governo, poi, con il D.L. del
9.3.2020 n. 14 è intervenuto anche a regolamentare le tematiche privacy
scongiurando casi di incontrollata e cattiva
gestione di raccolta dei dati personali.
In particolare, l’art. 14 del
suddetto decreto, nel rispetto di quanto previsto dal GDPR, consente il
trattamento di dati personali (inclusa la comunicazione degli stessi anche
senza il consenso dell’interessato) e di dati cosiddetti particolari (ossia i
dati relativi alla salute) tra soggetti operanti nel Servizio nazionale di
Protezione civile, tra cui anche gli uffici del Ministero della salute e
dell'Istituto Superiore di Sanità, le strutture pubbliche e private che operano
nell'ambito del Servizio sanitario nazionale, fino a quando non sarà cessato lo
stato di emergenza. Tale eccezione trova la propria giustificazione nell’interesse
pubblico e, in particolare, nell’esigenza di garantire la protezione
dall'emergenza sanitaria a carattere transfrontaliero determinata dalla
diffusione del COVID-19.
Inoltre, sempre lo stesso articolo
prevede la comunicazione e la diffusione dei dati personali non particolari a
soggetti pubblici e privati, diversi da quelli sopra indicati, purché sia
indispensabile ai fini dello svolgimento delle attività connesse alla gestione
dell'emergenza sanitaria in atto.
Tali dati, inclusi quelli
particolari, possono dunque essere trattati a condizione che siano garantiti i
principi di cui all'articolo 5 del GDPR (in particolare i principi di correttezza,
finalità, minimizzazione, limitazione della conservazione e integrità e
riservatezza) nonché siano adottate le misure
appropriate a tutela dei diritti e delle libertà degli interessati, tenuto
conto della necessità di contemperare le esigenze di gestione dell'emergenza
sanitaria in atto con quella relativa alla salvaguardia della riservatezza
degli interessati.
È altresì prevista la facoltà per i
soggetti sopra indicati di attribuire, anche in forma orale, specifici compiti
e funzioni ai soggetti designati. Infine, è possibile omettere o fornire
un’informativa semplificata, previa comunicazione orale, agli interessati di
tale limitazione.
Tuttavia, al termine dello stato di
emergenza dovranno essere adottate misure idonee a ricondurre i trattamenti di
dati personali effettuati nel contesto dell'emergenza, all'ambito delle
ordinarie competenze e delle regole che disciplinano i trattamenti di dati
personali.
Da ultimo, il “protocollo condiviso regolazione
delle misure per il contrasto e il contenimento della diffusione del virus
Covid-19 negli ambienti di lavoro” sottoscritto il 14 marzo 2020, (il
“Protocollo”) che contiene le linee guida per agevolare le imprese
nell’adozione di protocolli di sicurezza anti-contagio, disciplina, tra
l’altro, le modalità di trattamento dei dati personali dei lavoratori nel pieno
rispetto della normativa privacy in situazione di emergenza.
Il Protocollo, fatte le dovute premesse, indica
diversi livelli di intervento.
Un primo livello prevede la possibilità per il
datore di lavoro di fornire un’informativa a tutti coloro che accedono presso i
luoghi di lavoro. In particolare tale informativa dovrà contenere:
- L’obbligo di rimanere a casa in presenza di febbre
(superiore a 37,5°) o altri sintomi influenzali e di chiamare il proprio medico
di famiglia e l’autorità sanitaria; - restare a casa se si sono avuti contatti stretti
con persone con sospetto o con tampone positivo a Covid-19 e contattare i
numeri di riferimento; - contattare il medico di famiglia e l’autorità
sanitaria nei casi previsti dalle Autorità sanitarie; - impegno ad osservare le disposizioni delle Autorità
e del datore di lavoro (ad es. rispettare le misure di sicurezza, osservare le
regole di igiene delle mani) e a segnalare eventuali sintomi influenzali.
Un altro livello riguarda la fase precedente all’ingresso
in azienda. Cosa fare?
I primi atti da compiere sono la misurazione della
temperatura corporea nonché l’informazione preventiva del personale e la preclusione
dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti
risultati positivi al COVID-19 o provenga da zone a rischio secondo le
indicazioni dell’Organizzazione mondiale della sanità.
Nel caso in cui la temperatura corporea rilevata
sia superiore a 37,5°, la persona non potrà accedere in azienda e dovrà, con il
supporto dell’azienda stessa, avvertire il medico di famiglia e le autorità sanitarie,
per individuare le successive azioni da adottare. In tale fase è importante
soffermarsi sulla modalità con le quali viene gestito il trattamento dei dati
personali del personale prima dell’accesso nella sede di lavoro.
Per
quanto concerne l’informazione da rendere all’azienda circa eventuali contatti
avuti con soggetti risultati positivi al COVID-19 o di provenienza da zone a
rischio negli ultimi 14 gg, quest’ultima può essere fornita mediante la
compilazione di un’apposita dichiarazione che attesti la non provenienza
dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni,
con soggetti risultati positivi al COVID-19.
Sia la rilevazione reale della temperatura che la raccolta
della dichiarazione costituiscono trattamento di dati personali particolari.
La nota al Protocollo indica i passaggi da
rispettare in conformità alla normativa privacy. In particolare, il Protocollo raccomanda di:
(i) rilevare la temperatura e non registrare il
dato acquisto. È possibile, invece, identificare l’interessato e registrare il
superamento della soglia di temperatura (37,5°) solo qualora sia necessario a
documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
(ii) fornire l’informativa sul trattamento dei dati
personali. È prevista la possibilità di omettere le informazioni di cui
l’interessato è già in possesso nonché della possibilità di fornirla oralmente.
In base alla finalità del trattamento potrà essere indicata la prevenzione dal
contagio da COVID-19, con riferimento alla base giuridica può essere indicata
l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art.
art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e in relazione alla durata
dell’eventuale conservazione dei dati si può far riferimento al termine dello
stato d’emergenza;
I dati raccolti non potranno essere diffusi o
comunicati a terzi al di fuori delle specifiche previsioni normative (es. in
caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della
filiera degli eventuali “contatti stretti” di un lavoratore risultato positivo
al COVID-19).
Inoltre, vengono definite le misure di sicurezza e
organizzative adeguate per proteggere i dati. In particolare, sotto il profilo
organizzativo, occorre individuare i soggetti preposti al trattamento e fornire
loro le istruzioni necessarie.
In caso di isolamento momentaneo dovuto al
superamento della soglia di temperatura, devono essere garantite la riservatezza
e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel
caso in cui il lavoratore comunichi all’ufficio responsabile del personale di
aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati
positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante
l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei
suoi colleghi.
Quanto alla dichiarazione si raccomanda di
raccogliere solo i dati necessari, adeguati e pertinenti, rispetto alla
prevenzione del contagio da COVID-19. Ad esempio, se si richiede una
dichiarazione sui contatti con persone risultate positive al COVID-19, occorre
astenersi dal richiedere informazioni aggiuntive in merito alla persona
risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza
da zone a rischio epidemiologico, è necessario astenersi dal richiedere
informazioni aggiuntive in merito alle specificità dei luoghi.
Per quanto riguarda invece i visitatori esterni (impresa
di pulizie, manutenzione, ecc.), va ridotto, per quanto possibile, il loro
accesso in azienda e qualora fosse necessario, gli stessi dovranno sottostare a
tutte le regole aziendali, ivi comprese quelle per l’accesso ai locali
aziendali già previsto per il personale.
di Daniela Ciulla