04 Mar La pandemia e la gestione dei dati personali dei lavoratori
La gestione dei dati personali dei lavoratori, ed in particolare dei dati sensibili, rappresenta un tema fortemente coinvolto dall’emergenza pandemica che ha introdotto nuove casistiche sul tema.
Il legislatore, nell’urgenza di fornire risposte alla crisi, ha prodotto tutta una serie di atti e documenti che incidono, e sono destinati anche in futuro, ad incidere sulle consuete regole di funzionamento in materia di adempimenti prevenzionistici sul posto di lavoro, rafforzando le misure e gli strumenti di tutela e contestualmente valorizzando il dialogo sociale.
In questo quadro nasce il Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, documento che combinato insieme alle linee guida, FAQ e circolari da parte dei Ministeri (del Lavoro e della Salute), dell’INAIL, dell’Inps e dell’INL rappresenta il cardine del sistema delineato dal passato Governo per la gestione dell’emergenza.
Il Protocollo rappresenta in linea generale una disposizione normativa speciale, finalizzata a contenere il contagio nei luoghi di lavoro.
Per tali finalità introduce norme dirette a tutti gli attori della filiera economica quali enti e aziende, lavoratori, fornitori e clienti disciplinando l’obbligo di informare i lavoratori e chiunque entri in azienda circa le disposizioni delle autorità e le misure adottate dall’azienda stessa, nonché le modalità di accesso alle sedi aziendali.
Fornisce altresì le indicazioni per assicurare la pulizia giornaliera e la sanificazione periodica degli ambienti di lavoro così come le indicazioni circa l’igiene personale e l’utilizzo dei DPI messi a disposizione dal datore di lavoro.
Una parte fondamentale della disposizione in oggetto è rappresentata dalle indicazioni sull’organizzazione aziendale, nella quale si dettano linee guida circa le turnazioni, la limitazione delle trasferte, lo smart working, la rimodulazione dei livelli produttivi e la disciplina della “gestione aziendale” in caso di presenza di persona sintomatica.
Nel contesto dell’intero provvedimento vi è inoltre una particolare attenzione circa il ruolo del medico competente e del rappresentante dei lavoratori per la sicurezza, le cui attribuzioni e responsabilità vengono amplificate in funzione della particolare situazione epidemiologica.
Venendo nello specifico alla disamina del Protocollo, in parallelo con le disposizioni vigenti in materia di privacy, le disposizioni si possono distinguere a seconda del soggetto a cui sono dirette: Il datore di lavoro ed i dipendenti.
L’azienda innanzitutto è tenuta ad informare nel modo più efficace possibile tutti i dipendenti dei comportamenti da assumere e delle regole da rispettare, prima fra tutte l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali.
In tal senso l’azienda potrà redigere una comunicazione preventiva da affiggere all’ingresso, ed i cui contenuti dovranno, per quanto possibile, essere immediatamente percepiti. Per consentire la migliore indicazione e trasmissione dei concetti sono consigliate tutte le forme di semplificazione come ad esempio grafiche o tabelle.
Tale comunicazione dovrà essere accompagnata da una specifica informativa sul trattamento dei dati personali ex art. 13 GDPR.
L’informativa così come la comunicazione dovrà indicare quale finalità del trattamento quella dettata dall’esigenza prevenire il contagio.
La base giuridica del trattamento per i dipendenti sarà l’art. 9 comma 2 lett. b) GDPR (obblighi in materia di lavoro), mentre per gli esterni sarà l’art. 9 comma 2 lett. i) GDPR (tutela della salute pubblica) ed il termine di conservazione dovrà essere breve e strettamente correlato alle esigenze di prevenzione o all’evasione di richieste da parte dell’autorità sanitaria
Il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea.
Se la temperatura risulterà superiore ai 37,5°, non gli sarà consentito l’accesso e verrà momentaneamente isolato e fornito di mascherine; non dovrà recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovrà contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni.
Occorre evidenziare come la rilevazione in tempo reale della temperatura corporea costituisca un trattamento di dati personali e, pertanto, debba avvenire ai sensi della disciplina privacy vigente.
Se associato all’identità dell’interessato, il controllo costituisce un trattamento di dati personali ai sensi dell’art. 4, par. 1, 2 del Regolamento (UE) 2016/679 e come tale disciplinato.
Non è ammessa la registrazione del dato rilevato, ma solo la registrazione della circostanza del superamento della soglia stabilita dalla legge e comunque solo quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
Diverso è il caso dei clienti per i quali, di regola, non è necessario registrare il dato relativo al motivo del diniego di accesso.
Nel caso di ingresso in azienda di lavoratori già risultati positivi all’infezione da COVID 19 la norma dispone che questo dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione” del tampone secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza.
In questa evenienza, è evidente che l’azienda si troverà a dover trattare dati di tipo sanitario di dipendenti e collaboratori, con la necessità di dover rispettare la normativa privacy vigente.
Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli 14 giorni precedenti, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.
Al fine di una adeguata tutela della privacy sarà opportuno raccogliere solo i dati necessari, adeguati e pertinenti, rispetto alla prevenzione del contagio da Covid-19.
Occorre precisare come al fine di controllare l’accesso all’azienda l’imprenditore potrà richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
Prima di acquisire tali dati sarà opportuno che venga fornita un’adeguata informativa preventiva al personale ed a chi intenda far ingresso in azienda, della preclusione dell’accesso e dei motivi della stessa; per quanto possibile non far compilare autocertificazioni, infatti in quest’ultimo caso vi è il forte rischio di un trattamento eccessivo ed indiscriminato, contrario al principio di privacy by default.
Inoltre, l’eventuale dichiarazione dovrebbe essere il più generica possibile, senza contenere informazioni quali generalità dei soggetti, luoghi, ecc.
Un caso particolare è rappresentato dall’eventualità in cui in azienda risulti un lavoratore affetto da Covid.
Non sussistono obblighi per il datore di lavoro circa la segnalazione ai colleghi dell’identità del lavoratore ammalato.
Viceversa, il datore è tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste in relazione alla situazione emergenziale. Le predette comunicazioni però possono avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).
Il dipendente affetto da Covid-19 pone all’azienda diversi interrogativi e diversi obblighi in relazione al trattamento dei suoi dati.
Infatti, il datore di lavoro può venire a conoscenza dell’identità del dipendente affetto da Covid-19 o che presenta sintomi compatibili con il virus.
Questo accade quando ne venga informato direttamente dal lavoratore, oppure nei limiti in cui sia necessario al fine di prestare la collaborazione all’autorità sanitaria, ovvero ai fini della riammissione sul luogo di lavoro del lavoratore già risultato positivo all’infezione da Covid-19.
Solo in questi casi il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore e ciò in quanto è necessario al fine di assicurare la tutela della salute e sicurezza dei luoghi di lavoro ovvero per adempiere agli obblighi di collaborazione con gli operatori di sanità pubblica.
In tutti gli altri casi no.
Un capitolo a parte è costituito dalla sorveglianza sanitaria, le cui funzioni da “dormienti” prima dello scorso anno, sono improvvisamente balzate ai primi posti negli interessi dello sviluppo della sicurezza sul posto di lavoro.
In questa direzione le norme si esprimono nel senso di un’incentivazione, soprattutto per i soggetti che il datore di lavoro considera a maggiore rischio di infezione.
In tale attività di individuazione un ruolo importante sarà svolto anche dal medico competente, il quale si troverà a segnalare al datore di lavoro quali siano i soggetti più fragili (senza ovviamente comunicarne le patologie) al fine di facilitare l’impiego temporaneo del lavoratore in mansioni meno pericolose da un punto di vista infettivo.
Nonostante l’emergenza il medico competente ha un assoluto divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.
Tutti gli adempimenti e le visite nell’ambito della sorveglianza sanitaria dovranno essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute.
Il medico competente ovviamente collaborerà con il datore di lavoro al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnalerà al datore di lavoro le situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti che consideri rilevanti per la loro sicurezza.
A tal fine però, non è necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.
In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.
Le misure appena evidenziate impongono a tutti i protagonisti dello sviluppo economico un grande sforzo.
La gestione delle criticità, infatti, non può essere trattata con la semplice ed ordinaria diligenza del buon padre di famiglia proprio in virtù delle peculiarità emergenziali che ci troviamo di fronte.
Datori di lavoro e lavoratori debbono assumersi in pari misura gli oneri per una corretta gestione del rapporto di lavoro di fronte ai pericoli che il virus ci pone di fronte.
Responsabilizzazione delle aziende per gli eventuali danni dei prestatori di lavoro (con conseguenti oneri probatori in tema di liberatoria) e censure in sede disciplinare (fino al licenziamento nei casi più estremi) a carico dei lavoratori che non rispettino quanto indicato dal modello di prevenzione Covid19 adottato in azienda, sono dietro l’angolo, e debbono tenere alta l’attenzione di tutti gli interessati.
Al fine di una migliore ridefinizione della gestione della sicurezza sul lavoro e della privacy di tutti coloro che a vario titolo interfacciano con il sistema produttivo si sente forte la necessità di capitalizzare quanto acquisito in questi mesi che per la materia sono stati straordinariamente produttivi rappresentando l’occasione di cambiare passo sia in tema di responsabilizzazione degli interpreti del mercato, sia in ordine allo sviluppo del dialogo con le parti sociali in una sintesi che valorizzi la salute e la sicurezza degli operatori vista nel più ampio quadro della sanità pubblica.
Leggi l’articolo direttamente sul Vaglio Magazine https://www.vagliomagazine.it/la-pandemia-e-la-gestione-dei-dati-personali-dei-lavoratori/