Loading...
Data di pubblicazione: 7 Maggio 2020

Fase 2 dell’emergenza covid e trattamento dati

Nunzia Turco
Privacy Consultant & IT Specialist Gruppo Silaq - Ricercatrice Centro Ricerche e Studi dei Laghi

Nella gestione dell’emergenza Covid-19, sul luogo di lavoro, è di primaria importanza adottare protocolli di sicurezza che consentano di evitare il contagio dei lavoratori. A questo scopo è stato sottoscritto lo scorso 14 marzo - e integrato il 24 aprile, - il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”.

L’obiettivo del Protocollo condiviso è quello di fornire indicazioni operative finalizzate a incrementare, negli ambienti di lavoro, l’efficacia delle misure precauzionali di contenimento adottate per contrastare l’epidemia.

Oltre al rischio biologico derivante dal Covid-19 c’è anche un altro aspetto di non secondaria importanza, ovvero il possibile trattamento dei dati derivante dalle procedure messe in atto nelle organizzazioni.

Di seguito quanto suggerito dal Garante e dal Comitato europeo per la protezione dei dati:

  • l’Autorità Garante per la protezione dei dati personali è intervenuta con un comunicato con il quale ricordava ai datori di lavoro dall’astenersi dal raccogliere, a priori e in modo sistematico e generalizzato - anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite - informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa;
  • l’EDPB (Comitato europeo per la protezione dei dati) ricorda invece come l’adozione di misure per mitigare e contenere il rischio relativo al COVID-19 possa comportare il trattamento di diverse categorie di dati personali e che il Titolare del trattamento deve garantire la protezione dei dati personali degli interessati.

Nella fase 2 dell’emergenza Covid-19, le aziende che affrontano la ripresa devono quindi seguire alcune raccomandazioni per la gestione delle informazioni in conformità alla normativa sul trattamento dei dati personali.

  • La rilevazione della temperatura al personale (dipendenti/collaboratori) costituisce un trattamento di dati personali perché è una informazione aggiuntiva rispetto ai dati anagrafici; inoltre dalla misurazione della temperatura potrebbero derivare informazioni sullo stato di salute. È fondamentale quindi che la raccolta dei dati avvenga in conformità con quanto stabilito dalla normativa privacy vigente.
  • La misurazione della temperatura in azienda non è un obbligo, è una facoltà. Il Protocollo stabilisce che “Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea”. Alcune ordinanze regionali hanno invece successivamente raccomandato questa prassi e per il personale sanitario hanno previsto un obbligo di monitoraggio della temperatura.
    Le imprese possono controllare la temperatura, perciò il personale potrà essere sottoposto a controlli e se risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. La misurazione potrà essere effettuata anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata.
    La rilevazione in tempo reale della temperatura corporea, associata all’identità dell’interessato, costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy.
  • Le imprese che decidono di rilevare la temperatura devono attuare delle misure quali non registrare il dato acquisito (nel rispetto del principio di “minimizzazione”) qualora la stessa sia inferiore o uguale a 37,5°. Si può identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso. Inoltre si dovrà dara apposita informativa sul trattamento dei dati personali.
  • L’informativa privacy può essere fornita anche oralmente e si possono omettere le informazioni di cui l’interessato è già in possesso. Nell’informativa si devono riportare: la finalità di prevenzione del contagio, la base giuridica del trattamento, l’indicazione della conservazione dei dati sino alla durata dell’emergenza sanitaria e della condivisione solo con chi sia previsto dalla legge (es. l’Autorità sanitaria). Ove possibile si consiglia di pubblicare l’informativa privacy estesa sulla intranet aziendale, in bacheca e/o di apporne una copia all’ingresso dei locali (dove viene rilevata la temperatura).
  • Le imprese non possono comunicare ai colleghi i nominativi dei contagiati, in quanto non conforme ai principi di proporzionalità e di riservatezza. Tuttavia, si ritiene ammissibile la comunicazione da parte del datore di lavoro di casi di contagio nella propria organizzazione al fine di tutelare la salute e la sicurezza dei propri dipendenti, purché sia effettuata in modo da non identificare il lavoratore interessato.
    Non è possibile condividere con clienti e fornitori lo stato di quarantena di un dipendente, ma al fine di tutelare la salute e la sicurezza di personale alle dipendenze dei clienti e fornitori con cui la persona contagiata abbia avuto contatti, si ritiene ammissibile la comunicazione di casi di contagio nella propria organizzazione (in modo da non identificare, neppure indirettamente, il lavoratore interessato).
    La ricostruzione della filiera di contagio è di competenza esclusiva dell’Autorità.
  • Il datore di lavoro ha il diritto di sapere se un suo dipendente/collaboratore è positivo al Covid-19, in quanto il datore ha il dovere di ottemperare ai propri obblighi in materia di salute e sicurezza sui luoghi di lavoro. Pertanto, il dipendente ha l’obbligo di segnalare al datore qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Anche la competente Autorità sanitaria provvede a fornire tale informazione al datore attraverso apposita comunicazione.
  • Non è possibile richiedere ad un dipendente se ha effettuato il tampone. Le uniche informazioni acquisibili dal datore sono quelle indicate all’interno del Protocollo condiviso. Tuttavia, questo dato potrebbe essere raccolto e trattato dal medico competente in sede di sorveglianza sanitaria. Non si escludono, però, ulteriori previsioni specifiche da parte del Governo per taluni settori (es. sanitario).
  • Le aziende possono richiedere al personale il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19.
    Tuttavia, come stabilito dal “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti lavoro”, occorrerà assicurare tutte le garanzie possibili a tutela del trattamento dati, pertanto andranno raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19. Ad esempio non è possibile raccogliere informazioni quali l’identità della persona risultata positiva né informazioni aggiuntive in merito alle specificità dei luoghi.
  • L’azienda non può inviare un sondaggio a tutto il personale aziendale chiedendo se si è positivi al Covid-19, potrà solo eventualmente richiedere le autodichiarazioni individuali e raccogliere eventuali segnalazioni da parte dei lavoratori, anche creando canali di comunicazione dedicati.
  • Vengono identificati i ruoli aziendali che possono trattare in azienda i dati acquisti. Il Garante ed il Protocollo hanno precisato che la finalità di prevenzione deve essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato, consentendo, inoltre, il coinvolgimento dell’ufficio Risorse Umane (HR). I soggetti qualificati e identificati in tal senso dovranno essere in numero estremamente limitato e dovranno avere ricevuto idonee istruzioni sul tema (es. medico competente, RSPP, ufficio HR).
  • Il datore di lavoro non può geolocalizzare i dipendenti ai fini di prevenzione del Covid-19. L’EDPB è intervenuto ricordando i presupposti giuridici e le modalità lecite per utilizzare la geolocalizzazione quale misura di prevenzione dal Covid-19.
  • Non è possibile, ai fini di prevenzione, investigare sugli spostamenti del personale e soprattutto tale attività non spetta al datore di lavoro. Il datore di lavoro può solo richiedere il rilascio della dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico, senza includere informazioni sulla specificità dei luoghi.
  • Non è possibile raccogliere informazioni sulle patologie pregresse del personale. Questo tipo di attività, rientra nella sorveglianza sanitaria sul luogo di lavoro e potrà essere svolta dal Medico competente che provvederà a valutare patologie attuali o pregresse dei dipendenti e a segnalare all’azienda situazioni di particolare fragilità nella tutela e nel rispetto della privacy. Il Medico competente applicherà le indicazioni delle Autorità Sanitarie.
  • I dati acquisiti non possono essere diffusi indiscriminatamente per finalità di sicurezza. Ai sensi dell’art. 2-septies del Codice Privacy, i dati relativi alla salute non possono essere oggetto di diffusione. Nel contesto attuale è ammessa solo la comunicazione alle competenti Autorità sanitarie e ai soggetti indicati all’interno dei diversi provvedimenti emanati dal Governo.
  • Il datore di lavoro può comunicare alla ASL i casi accertati o presunti di Covid-19. La comunicazione è richiesta qualora una persona presente in azienda sviluppi febbre e sintomi di infezione respiratoria quali la tosse, ciò al fine di permettere alle autorità di applicare le necessarie e opportune misure di quarantena.
  • Alle informazioni raccolte e alla rilevazione della temperatura vanno applicate le misure di sicurezza tipicamente previste per i dati sanitari. Nei dati personali relativi alla salute “dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso”, nonché “qualsiasi informazione riguardante, ad esempio, il rischio di malattie” (cfr. art. 4 e Considerando 35 del GDPR).
  • Al fine di prevenire forme di contagio è possibile raccogliere dati di contatto personali dei dipendenti per avvisarli in breve tempo in caso di chiusura delle attività o al fine di effettuare comunicazioni (più o meno tempestive) in merito ad eventuali situazioni di contagio.

Per ulteriori approfondimenti, anche per contesti differenti, è possibile visionare quanto suggerito dal Garante alla seguente pagina https://www.garanteprivacy.it/temi/coronavirus/faq

Quindi per consentire al mondo produttivo e lavorativo di affrontare al meglio la ripresa dalla pandemia di coronavirus, le organizzazioni dovranno adottare tutte quelle misure possibili al fine di garantire la salubrità e la sicurezza degli ambienti di lavoro, individuate partendo dalle indicazioni contenute nel Protocollo condiviso, e garantire che il trattamento dati avvenga in conformità con quanto stabilito dalla normativa privacy.

Torna alla lista degli articoli