Dall'inizio della pandemia si sono moltiplicati i conflitti tra la tutela della privacy di ogni individuo da un lato e gli interessi della collettività dall'altro, e tra misurazioni della temperatura indiscriminate e app di tracciamento, la sensazione di violazione è forte.
Si tratta di un conflitto che coinvolge etica medica e diritti personali, dove appare chiaro che, per limitare la diffusione del contagio, è necessario raccogliere e utilizzare i dati che riguardano la nostra salute: solo quelli strettamente necessari, per un periodo di tempo limitato e solo da chi è autorizzato, come stabilito dal regolamento europeo sulla protezione dei dati personali.
Il Garante della privacy ha chiarito immediatamente coloro i quali potranno attuare queste raccolte di dati e gestire i dati sanitari con anche una serie di indicazioni a cui attenersi.
Alle strutture statali ed agli operatori sanitari è vietata la diffusione dei dati relativi allo stato di salute di un individuo e non esistono deroghe a causa dell’emergenza; soli dati diffondibili devono essere in forma anonima e aggregata. Agli operatori sanitari è concessa la raccolta delle informazioni necessarie per le attività di cura dei loro pazienti. Le informazioni sugli spostamenti per ricostruire la filiera dei contati stretti del soggetto risultato positivo sono invece di competenza degli operatori sanitari e del sistema attivato dalla protezione civile.
In tutte le attività lavorative i datori di lavoro sono tenuti a osservare quanto indicato nel protocollo condiviso tra Governo e parti sociali per la regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro.
Il Protocollo prevede che "nel caso in cui una persona presente in azienda sviluppi febbre e sintomi di infezione respiratoria quali la tosse, lo deve dichiarare immediatamente all'ufficio del personale, si dovrà procedere al suo isolamento in base alle disposizioni dell’autorità sanitaria e a quello degli altri presenti dai locali, l’azienda procede immediatamente ad avvertire le autorità sanitarie competenti". Il datore di lavoro ha l’obbligo di “comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e di collaborare per l’individuazione dei contatti stretti, per l’attivazione delle misure di profilassi. Saranno, infatti, le autorità sanitarie a occuparsi di informare questi ultimi, non potendo il datore comunicare il nominativo del dipendente affetto da COVID-19 agli altri lavoratori. Il datore di lavoro dovrà comunque adottare, in caso di presenza di persona affetta all'interno dei locali, le misure relative alla pulizia e alla sanificazione, secondo le indicazioni del Ministero della Salute" (punto 4 - Protocollo condiviso).
Il Protocollo specifica che il datore di lavoro deve "rilevare la temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, ma anche nei confronti degli utenti, dei visitatori, dei clienti nonché dei fornitori (ove per questi ultimi non ci sia una modalità di accesso separata)". In questo caso, l’associazione tra temperatura e identità dell’interessato costituisce senza dubbio un trattamento di dati personali, in base all’art. 4, par. 1, del GDPR. L’Autorità Garante ha chiarito a riguardo che non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di minimizzazione, "è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e nel caso in cui sia necessario documentare la ragione che ha escluso l’accesso al luogo di lavoro. Nel caso in cui la temperatura corporea venga rilevata a clienti o visitatori occasionali, anche se la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali, non è, di regola, necessario registrare il dato concernente il motivo del diniego di accesso".
Nel comunicato del 2 Marzo 2020 il Garante ha indicato la necessità di seguire le indicazioni date dalle autorità competenti in materia, chiedendo ai datori di lavoro di "astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa". Il datore di lavoro potrebbe venire quindi in contatto con dati personali particolari del dipendente, nel caso in cui una sintomatologia compatibile con l’infezione e di conseguenza deve predisporre tutte le misure di protezione per questi dati.
Il trattamento di tali dati personali, in queste circostanze, è autorizzato anche in assenza di consenso e dovrà in ogni caso essere organizzato e gestito nel rispetto dei principi fondamentali del GDPR fornendo agli interessati una specifica informativa chiara, precisa e circostanziata.
Il DPCM 26 Aprile 2020 ha introdotto la possibilità, estesa a tutte le imprese, di adottare particolari modalità organizzative del lavoro al fine di limitare i rischi di contagio, funzionali, ad esempio, a garantire la salubrità degli ambienti e il distanziamento sociale, tra cui lo smart working o più in generale il lavoro a distanza, aprendo le porte alle implicazioni giuslavoristiche in relazione al divieto di controllo a distanza dei lavoratori ed alla necessità di gestire alcune problematiche in materia di trattamento dei dati personali.
Nell'ottica della gestione della privacy, le imprese dovranno necessariamente procedere, anche ai sensi dell’art. 32 del GDPR, all'aggiornamento delle misure tecnico-organizzative e di sicurezza, verificando e integrando: