Covid-19, lavoratori e trattamento dei dati
A cura degli avv.ti Michele Gioffrè, Giusy Cardinale, AMTF Avvocati
Il datore di lavoro può rilevare la temperatura corporea dei propri dipendenti o di soggetti terzi (ad es. clienti, fornitori, ecc.) all’ingresso della propria sede?
Nell’attuale situazione correlata all’emergenza COVID-19, si sono succeduti, in tempi decisamente ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali” del 14 marzo 2020, con relativo aggiornamento del 24 aprile 2020 (di seguito “Protocollo”).
Il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta un’apposita e separata modalità di accesso (cfr. Protocollo par. 2 e 3 e nota n. 1).
La rilevazione della temperatura dovrebbe essere effettuata da una figura dedicata (ad esempio un membro della squadra di emergenza/primo soccorso o un collaboratore aziendale che per esperienza, competenza, consapevolezza, abbia dimestichezza con aspetti relativi alla salute).
Il soggetto incaricato deve essere:
• dotato dei Dispositivi di Protezione Individuali previsti, come indicato nel documento integrativo alla valutazione dei rischi;
• istruito in merito alle misure di prevenzione da adottare, come indicato nel suddetto documento;
• istruito in merito alle modalità per la rilevazione della temperatura o di eventuali altri parametri fisiologici;
• nominato come autorizzato al trattamento dei dati personali in relazione alle finalità del trattamento”, ai sensi e per gli effetti di cui all’art. 29 del GDPR con specifiche istruzioni.
Come confermato anche dal Garante della Privacy, in ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1 del GDPR), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del GDPR), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
Il Protocollo suddetto sottolinea, appunto, la valenza non obbligatoria nel rilevare la temperatura corporea dei dipendenti e dei terzi e l’invito a non registrare il dato acquisito.
È possibile identificare l’interessato e registrare il superamento della soglia di temperatura – previo rilascio di un’apposita informativa ex art. 13 GDPR – solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.
In ogni caso, configurandosi un trattamento dei dati personali, è necessario rendere noto a coloro che accedono a detti ambienti le modalità e le finalità del trattamento dei dati personali e sanitari.
È necessaria un’apposita informativa?
Per quanto riguarda i lavoratori (e non gli esterni), potrebbe anche non essere necessaria, nel caso in cui quella fornita al dipendente al momento dell’assunzione o successivamente specificasse chiaramente tra le finalità, in modo dettagliato, anche quelle della raccolta dati ai fini della valutazione degli aspetti relativi alla salute e sicurezza del lavoratore stesso. Tuttavia, sembrerebbe preferibile adottarne una apposita atteso che le finalità del trattamento potrebbero essere diverse rispetto a quelle di cui a precedenti informative.
Sulla base di quanto sopra, i contenuti specifici dell’informativa da prevedere potranno essere:
• la finalizzazione della raccolta dei dati all’emergenza COVID-19 per tutti quei soggetti che, a qualsiasi titolo, accedono nel perimetro della società, sulla base dei protocolli e della normativa nazionale/regionale e della valutazione del rischio biologico come riportato nell’ultima versione del DVR;
• le basi giuridiche che rendono legittimo il trattamento tra le quali occorre considerare i seguenti articoli del GDPR:
— l’art. 9 par. 2, lett. b) concernente la salvaguardia della protezione sociale;
— l’art.9 par.2 lett. f) inerente il perseguimento di un interesse pubblico rilevante;
— l’art. 9 par. 2 lett. i) riguardante motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute;
— l’art. 6 par. 1, lett. c) previsto da un obbligo di legge (nel caso specifico art. 2087 c.c. e D.lgs. 81/08 tutela salute e sicurezza nei luoghi di lavoro, oltre alle specifiche disposizioni delle autorità di volta in volta emanate);
— l’art. 6 par. 1, lett. d) concernente la salvaguardia dell’interesse vitale degli operatori che collaborano con il Titolare, oltre alle persone fisiche, tra cui i visitatori. Sulla base di ciò, non va richiesto consenso alcuno;
— l’art. 6.1 lett. e) esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento;
• i tempi di conservazione da non limitare al “termine dello stato di emergenza”, ma facendo riferimento anche alla casistica che i dati potranno anche essere conservati sulla base delle indicazioni provenienti dal Ministero della Salute o dalla ATS o da altro organo deputato per eventuali indagini epidemiologiche;
•la comunicazione dei dati, indicando che, su richiesta delle autorità, gli stessi potranno essere trasmessi ad altri soggetti autorizzati tra cui, a titolo di esempio, il Ministero della Salute, l’ATS altro organo deputato per eventuali indagini epidemiologiche;
•informare che quale conseguenza del mancato conferimento dei dati si deve specificare l’impossibilità di accedere nei locali aziendali;
•circa la sottoscrizione dell’informativa, infine, si suggerisce di farla sottoscrivere per accettazione atteso che la finalità non è da rinvenirsi nel consenso dell’interessato.
Ci pare non banale rammentare che, ovviamente, in presenza di un nuovo trattamento dovrà essere aggiornato sia il registro dell’attività dei trattamenti sia l’analisi dei rischi, definendo le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento (oltre all’ eventuale raccolta dei dati e loro conservazione) e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19”).
Il datore di lavoro può richiedere informazioni, anche mediante un’autodichiarazione, ai dipendenti in merito all’eventuale esposizione al contagio da COVID-19, quale presupposto per l’accesso alla sede di lavoro?
In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81).
Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (vedasi il Protocollo), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.
Il Protocollo del 24 aprile 2020 prevede, infatti, che “qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, si ricorda di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati (…) si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi“.
L’ingresso presso gli ambienti di lavoro da parte di lavoratori già risultati positivi all’infezione da COVID-19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti l'”avvenuta negativizzazione” del tampone secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza. Qualora, per prevenire l’attivazione di focolai epidemici, nelle aree maggiormente colpite dal virus, l’Autorità sanitaria competente disponga misure aggiuntive specifiche, come ad esempio, l’esecuzione del tampone per i lavoratori, il datore di lavoro fornirà la massima collaborazione.
Nondimeno, già il 2 marzo ultimo scorso con un comunicato il Garante della Privacy ha sancito che: “i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato. L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.
Pertanto, appare ancora condivisibile quanto comunicato dal Garante della Privacy che nello sconsigliare le iniziative “fai da te” nella raccolta dei dati lascia, quindi, le attività di controllo e verifica agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica e non, invece, al datore di lavoro (in proposito, peraltro, si ricorda che è di prossima adozione l’App “Immuni” volta proprio a tal fine, di cui parleremo infra).
Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?
Nel contesto dell’emergenza, secondo il par. 12 del Protocollo, gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente (ad es. anche la possibilità di sottoporre i lavoratori a visite straordinari stante la maggiore esposizione al rischio di contagio degli stessi) si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni fornite dal Ministero della Salute.
In dette circostanze emergenziali, infatti, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al COVID-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti”, suggerendo eventualmente l’impiego del soggetto interessato in ambiti meno esposti al rischio di infezione. A tal fine, non è invece, necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.
In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (in proposito si veda l’art. 5 GDPR), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.
Il datore di lavoro può comunicare al Rappresentante dei Lavoratori per la Sicurezza (RLS) l’identità dei dipendenti contagiati?
In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
Il Rappresentante dei Lavoratori per la Sicurezza dovrà, invece, continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).
Il datore di lavoro può rendere nota l’identità del dipendente affetto da COVID-19 agli altri lavoratori?
Al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle Autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi e non al datore di lavoro.
Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).
La comunicazione, sia intra che extra-aziendale, di informazioni relative alla salute del dipendente o del collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle Autorità competenti in base a poteri normativamente attribuiti (ad es. esclusivamente per finalità di prevenzione dal contagio da COVID-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).
In ogni caso, restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da COVID-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute come richiamate dal par. 4 del Protocollo il quale prevede la pulizia e sanificazione degli ambienti aziendali secondo le disposizioni della circolare n. 5443 del 22 febbraio 2020 del Ministero della Salute, nonché alla loro ventilazione.
L’App”Immuni” è coerente con la normativa sul trattamento dei dati? Può essere usata dal datore di lavoro per la localizzazione del dipendente e per verificare il possibile rischio di contagio?
L’App “Immuni” (di seguito “App”) individuata con ordinanza n. 10/2020 datata 16 aprile 2020 del Commissario straordinario per l’emergenza, prevede due modalità di funzionamento. La prima è un sistema di tracciamento dei contatti che sfrutta la tecnologia Bluetooth: mediante il Bluetooth è possibile rilevare la vicinanza tra due smartphone entro un metro e ripercorrere a ritroso tutti gli incontri di una persona risultata positiva al Covid-19, così da poter rintracciare e isolare i potenziali contagiati. Una volta scaricata, infatti, l’App conserva sul dispositivo di ciascun cittadino una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino.
La seconda funzione dell’App, invece, è un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci). Lo stesso utente dovrà avere cura di aggiornare quotidianamente il diario clinico con eventuali sintomi e dettagli sullo stato di salute. Si tratta, di fatto, di una caratteristica simile a quella già presente nell’App AllertaLOM (CercaCovid) della Regione Lombardia.
Con un “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19” del 29 aprile 2020 il Garante della Privacy ha espresso un giudizio favorevole in merito all’App in quanto essa appare conforme, ai criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile scorso a proposito dei sistemi di “contact tracing”, che possono sintetizzarsi nei termini seguenti:
(a) volontarietà: in ragione del rilevante impatto individuale del tracciamento, l’adesione al sistema deve essere frutto di una scelta realmente libera da parte dell’interessato;
(b) previsione normativa: il presupposto può individuarsi nell’esigenza di svolgimento di un compito di interesse pubblico, in particolare per esigenze di sanità pubblica, in base a “previsione normativa o disposizione legislativa” dell’Unione europea o degli Stati membri;
(c) trasparenza: è necessario assicurare il pieno rispetto degli obblighi di trasparenza previsti dal Regolamento nei confronti degli interessati. L’App sembra in linea con tale esigenza che assicura agli interessati un’idonea informazione sul trattamento e in particolare sulla pseudonimizzazione dei dati, mentre si raccomanda all’Amministrazione interessata di sottoporre la valutazione di impatto cui è tenuta al più ampio regime di conoscibilità e di prevedere, anche nella norma, il carattere libero e aperto del software da rilasciare con licenza open source;
(d) determinatezza ed esclusività dello scopo: il tracing dev’essere finalizzato esclusivamente al contenimento dei contagi, escludendo fini ulteriori, ferme restando le possibilità di utilizzo a fini di ricerca scientifica e statistica, purché nei soli termini generali previsti dal Regolamento;
(e) selettività e minimizzazione dei dati: i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. Devono essere raccolti solo i dati strettamente necessari ai fini della individuazione dei possibili contagi, con tecniche di anonimizzazione e pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al periodo strettamente necessario, da valutarsi sulla base delle decisioni dell’autorità sanitaria su parametri oggettivi come il periodo di incubazione;
(f) interoperabilità con altri sistemi di contact tracing utilizzati in Europa;
(g) reciprocità di anonimato tra gli utenti dell’App, i quali devono peraltro non essere identificabili dal titolare del trattamento, dovendo la identificazione ammettersi al limitato fine dell’individuazione dei contagiati.
L’App Immuni, come evidenziato in precedenza, sarà ed esclusivo appannaggio delle Autorità competenti non legittimando, quindi, il datore di lavoro ad accedere alle informazioni in essa incluse. Quanto sopra avrebbe validità anche qualora l’App venisse installata sui dispositivi mobili aziendali da parte dei dipendenti, pratica che pare opportuno suggerire ai datori di proibire ai lavoratori, onde evitare di incorrere in eventuali violazioni in materia di protezione dei dati personali, non essendo il datore di lavoro legittimato appunto ad accedere (seppur incidentalmente ad esempio per risolvere da remoto un problema tecnico del dispositivo) né a trattare detti dati qualora ne entrasse in possesso.
In conclusione, la materia si presenta evidentemente molto complessa e necessita di una valutazione caso per caso delle singole necessità, soprattutto in vista del progressivo rientro dei lavoratori alla regolare attività aziendale in presenza e non esclusivamente in “smart-working”.