La gestione dei dati personali in ambito lavorativo, nei periodi di emergenza.

Con riferimento al trattamento dei dati personali in ambito lavorativo va
precisato che il 14 marzo 2020 è
stato sottoscritto il protocollo di
sicurezza anti-contagio adottato ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, integrato dal
più recente protocollo del 24 aprile
2020. Come noto il documento è stato realizzato per agevolare gli enti e le
imprese nell’adozione di protocolli di sicurezza anti-contagio, ovverosia
Protocollo di regolamentazione per il contrasto e il contenimento della diffusione
del virus COVID 19 negli ambienti di
lavoro, ma contiene importanti disposizioni anche in materia di privacy.

Difatti la rilevazione in tempo reale della temperatura corporea
costituisce un trattamento di dati personali e, pertanto, deve avvenire ai
sensi della disciplina privacy vigente. Per questo motivo vengono suggerite
tutta una serie di precauzioni da adottare.

In particolare, bisogna:

1. Rilevare la temperatura e non registrare il dato
acquisito. È possibile identificare l’interessato e registrare il superamento
della soglia di temperatura solo qualora sia necessario a documentare le
ragioni che hanno impedito l’accesso ai locali.

2. Fornire l’informativa sul trattamento dei dati
personali. Si ricorda che l’informativa può omettere le informazioni di cui
l’interessato è già in possesso e può essere fornita anche oralmente. Quanto ai
contenuti dell’informativa, con riferimento alla finalità del trattamento potrà
essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla
base giuridica può essere indicata l’implementazione dei protocolli di
sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11
marzo 2020 e con riferimento alla durata dell’eventuale conservazione dei dati
si può far riferimento al termine dello stato d’emergenza.

3. Definire le misure tecniche e organizzative
adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo,
occorre individuare i soggetti preposti al trattamento e fornire loro le
istruzioni necessarie. A tal fine, si ricorda che i dati possono essere
trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e
non devono essere diffusi o comunicati a terzi al di fuori delle specifiche
previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria
per la ricostruzione della filiera degli eventuali “contatti stretti di un
lavoratore risultato positivo al COVID-19).

4. In caso di isolamento momentaneo dovuto al
superamento della soglia di temperatura, assicurare modalità tali da garantire
la riservatezza e la dignità del lavoratore. Tali garanzie devono essere
assicurate anche nel caso in cui il lavoratore comunichi all’ufficio
responsabile del personale di aver avuto, al di fuori del contesto lavorativo,
contatti con soggetti risultati positivi al COVID-19 e nel caso di
allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre
e sintomi di infezione respiratoria e dei suoi colleghi.

5. Qualora si richieda il rilascio di una dichiarazione attestante la
non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti,
negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, si ricorda
di prestare attenzione alla disciplina sul trattamento dei dati personali,
poiché l’acquisizione della dichiarazione costituisce un trattamento dati. A
tal fine, si applicano le indicazioni precedenti e, nello specifico, si
suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto
alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una
dichiarazione sui contatti con persone risultate positive al COVID-19, occorre
astenersi dal richiedere informazioni aggiuntive in merito alla persona
risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza
da zone a rischio epidemiologico, è necessario astenersi dal richiedere
informazioni aggiuntive in merito alle specificità dei luoghi.

Si rappresenta, inoltre, che il Garante per la protezione dei dati
personali nelle proprie FAQ pubblicate il 14 maggio 2020 sul
sito istituzionale ha specificato che nell’ambito del sistema di prevenzione e
sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il
datore di lavoro può richiedere ai propri dipendenti di effettuare test
sierologici solo se disposto dal medico competente o da altro professionista
sanitario in base alle norme relative all’emergenza epidemiologica.

Solo il medico del lavoro infatti, nell’ambito della sorveglianza
sanitaria, può stabilire la necessità di particolari esami clinici e biologici.
E sempre il medico competente può suggerire l’adozione di mezzi diagnostici,
quando li ritenga utili al fine del contenimento della diffusione del virus,
nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche riguardo
alla loro affidabilità e appropriatezza.

Il medico competente in questo contesto può assumere il ruolo di
responsabile del trattamento o soggetto autorizzato se il medico è
dipendente dell’azienda.

Se, come spesso accade, il medico è una figura esterna, il datore di lavoro
dovrà formalizzare la nomina con un contratto di affidamento contenente la
materia, la durata, la natura, la finalità, il tipo di dati, la categoria degli
interessati, gli obblighi e i diritti.

Il datore di lavoro deve garantire le condizioni necessarie per lo
svolgimento dei compiti, mentre il medico competente deve effettuare in
sicurezza il trattamento dei dati contenuti nelle cartelle sanitarie.

La lettura di queste cartelle è preclusa anche al datore di lavoro, che
deve solamente conoscere la valutazione finale per adottare le misure
protettive e preventive per i lavoratori.

L’unica eccezione è rappresentata da una vera e propria novità che obbliga
il medico a segnalare all’organizzazione situazioni di particolare
fragilità, patologie attuali o pregresse dei dipendenti.

In virtù di questa modifica, il medico diventa
anche contitolare del trattamento dei dati personali perché deve
coinvolgere il datore di lavoro nel trattamento di un dipendente positivo o
potenzialmente positivo per ragioni di sorveglianza sanitaria e prevenzione del
contagio.

Nelle Faq l’Autorità precisa anche che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami). Il datore di lavoro deve, invece, trattare i dati relativi al giudizio di idoneità del lavoratore alla mansione svolta e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire. Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Il Garante ha chiarito infine che la partecipazione
agli screening sierologici promossi dai Dipartimenti di prevenzione regionali
nei confronti di particolari categorie di lavoratori a rischio di contagio,
come operatori sanitari e forze dell’ordine, può avvenire solo su base
volontaria. I risultati possono essere utilizzati dalla struttura sanitaria che
ha effettuato il test per finalità di diagnosi e cura dell’interessato e per
disporre le misure di contenimento epidemiologico previste dalla normativa
d’urgenza in vigore (es. isolamento domiciliare).                                                                                

Federico Bergaminelli

Avv. Federico Bergaminelli

Avv. Federico Bergaminelli

 Name partner della
Società Bergaminelli Consulting, network professionale di consulenti legali d’azienda
specializzati in compliance e diritto delle tecnologie. Assiste le imprese in
sede giudiziale e stragiudiziale in materia di protezione dei dati personali
(Privacy), e diritto delle comunicazioni.

 Presidente
dell’Istituto Italiano per l’Anticorruzione