Coronavirus e privacy, le Faq del Garante sul rapporto di lavoro

 

Il Garante per la protezione dei dati personali interviene per definire i limiti al potere di controllo sullo stato di salute previsto dai provvedimenti per il contrasto all’emergenza coronavirus rispetto ai principi di libertà personale di cui il diritto alla privacy è una delle componenti

 

Il Garante della privacy ha pubblicato una serie di Faq sull’argomento tra cui alcune relative al mondo del lavoro sia privato che pubblico.

 

Analizziamo le risposte del Garante per cogliere quali siano i limiti al potere di controllo sullo stato di salute rispetto ai principi di libertà personale di cui il diritto alla privacy è una delle componenti.

 

Il Garante ha individuato alcuni aspetti conseguenti alla predisposizione delle misure di prevenzione stabilite dallo specifico Protocollo del 24 aprile 2020, che impattano sulla privacy.

Accesso ai luoghi di lavoro

Il protocollo tra parti sociali e Governo sulle misure prevenzionali da adottare nei luoghi di lavoro per le attività non sospese, prevede, tra l’altro, alcune regole organizzative per l’accesso ai luoghi di lavoro individuando come strumento di selezione degli accessi la misurazione della temperatura corporea, sia di lavoratori che di soggetti terzi.

Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Come è noto il principale dato sintomatico del contagio da Covid-19, o quanto meno l’aspetto più facilmente rilevabile, è il superamento della temperatura corporea di 37,5 gradi. L’eventuale superamento determina, in base al protocollo, il diritto di impedire l’accesso alla persona e l’invito a tornare al proprio domicilio, per contattare medico curante e struttura sanitaria territoriale. Risponde il Garante, in ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), che non è ammissibile la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par. 1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando ciò sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Il regolamento europeo che disciplina la privacy (679/2016 – art. 4) definisce un trattamento di dati personali, in quanto occorre capire se rilevare la temperatura corporea con un termo scanner avvicinato alla fronte della persona, sia o meno un trattamento di dati personali. La temperatura corporea è un dato che diventa però personale quando quell’informazione è associata ad una determinata persona o è associabile attraverso una procedura che nel tempo è in grado di creare quell’associazione. L’operazione in sé è poi sicuramente un “trattamento” stante l’ampia definizione normativa, tra cui ad esempio ritroviamo anche la “raccolta” del dato. Nella prassi di queste settimane come detto lo strumento adottato in genere per la misurazione è il termo scanner che, una volta azionato, permette di rilevare sul display il relativo valore. Ora se l’operazione è effettuata nei confronti di terzi di cui l’operatore non conosce l’identità (clienti oppure da parte di personale di un’impresa di servizi esterna che non conosce i lavoratori) non si può parlare di un dato personale, perché c’è il dato (la temperatura) ma non è associabile ad nessuna persona identificata o identificabile. Pertanto, anche lo stesso Garante conclude precisando che nel caso in cui la temperatura corporea venga rilevata a dei clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso. Invece nel caso in cui la persona possa essere identificata (la rilevazione è effettuata da un collega) qui saremmo in presenza di un trattamento dati personali per il solo fatto di acquisire il dato, tuttavia il Garante arriva alla conclusione in base alla quale:

  • se non si supera il valore di 37,5° non va fatta alcuna registrazione e pertanto ciò non innesca alcuna procedura di gestione del dato, in base al principio (art. 5 del reg. 679/2016) per cui occorre limitare la raccolta dei dati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
  • viceversa, se si supera il valore limite allora occorre la registrazione di tale circostanza (superamento della soglia stabilita dalla legge) anche perché, in base al protocollo, il lavoratore dovrà essere isolato e mandato a casa con le istruzioni di contattare il medico curante. In più il datore di lavoro dovrà giustificare l’assenza dal lavoro, presumibilmente considerando in malattia il lavoratore e registrando il relativo dato. In questo caso siamo nell’ambito del trattamento di un dato personale di tipo particolare (sensibile) in quanto inerente lo stato di salute, la cui raccolta è giustificata sia da un obbligo di legge, sia per poter gestire dal punto di vista amministrativo l’assenza dal lavoro.

Informazioni sull’esposizione al contagio

Uno dei punti del nuovo protocollo per la prevenzione nei luoghi di lavoro è l’obbligo a carico del lavoratore di comunicare al datore di lavoro eventuali contatti con soggetti risultati positivi al COVID-19. Inoltre, per i dipendenti pubblici è previsto l’obbligo di segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, se necessario, tali comunicazioni anche mediante canali dedicati.

Il citato protocollo prevede una preclusione all’ingresso in azienda da parte di chi negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio.

L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

Il Garante ricorda innanzitutto che è la legge in materia di sicurezza sul lavoro a imporre al lavoratore tale obbligo: il dipendente ha uno specifico dovere di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Pertanto, si versa in una delle situazioni indicate dal regolamento europeo del 2016 che permettono e giustificano il trattamento dei dati personali, cioè quando è la legge a imporre l’obbligo di comunicazione di determinate situazioni personali. In ogni caso, sottolinea la risposta del Garante, dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

Comunicazione a terzi di contatti aziendali

Nell’ambito della pubblica amministrazione è previsto che per le attività d’ufficio strettamente funzionali alla gestione dell’emergenza e per quelle “indifferibili”, anche con riguardo “all’utenza esterna, che devono necessariamente svolgersi sul luogo di lavoro e non da remoto, è possibile fornire all’utenza i contatti “interni” cioè di lavoratori che operano in azienda, in modo da poter gestire gli appuntamenti per l’erogazione dei servizi. La problematica riguarda anche i datori di lavoro privati, a nostro giudizio, per quelle attività che prevedono l’erogazione di servizi a una certa utenza (banche – grande distribuzione ecc.)

È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

Secondo il Garante la risposta è affermativa ma la problematica può essere gestita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici.

Medico competente

Il protocollo del 24 aprile 2020 rafforza i compiti di prevenzione affidati al medico competente.

In questo quadro ci si pone il problema se il medico può informare il datore di lavoro circa la natura delle patologie sofferte dal lavoratore che lo espongono più facilmente a contrarre il coronavirus e che giustificano un cambiamento di mansione o di luogo di lavoro al fine di ridurre tale rischio.

Per il Garante il medico deve ovviamente comunicare tale circostanza al datore di lavoro, senza però indicare la specifica patologia di cui soffre il dipendente (problemi cardiaci o respiratori ecc). Il trattamento dei dati da parte del datore di lavoro è giustificato dalla presenza della specifica comunicazione del medico competente.

Comunicazione a terzi del contagio

Una volta che un lavoratore abbia contratto il contagio da Covid-19 quali sono i soggetti a cui il datore di lavoro può legittimamente comunicarlo? Ad esempio ad altri lavoratori o al rappresentante per la sicurezza?

Rispetto al rappresentante dei lavoratori per la sicurezza (RLS) la risposta del Garante è negativa, cioè al RLS il datore di lavoro non è tenuto né può comunicare i nominativi dei dipendenti contagiati. Più problematico è invece escludere dalla comunicazione i colleghi di un lavoratore contagiato sul posto di lavoro, perché in questo caso è necessario rintracciare i contati stretti al fine di sottoporli a misure di quarantena. Dice il Garante a riguardo che ciò però spetta alle autorità sanitarie competenti, informando i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi. In pratica la corretta filiera delle comunicazioni in questi casi è:

  • dal datore di lavoro alle autorità sanitarie tutte le volte che queste ultime avanzino richieste di informazioni;
  • dal lavoratore contagiato alle autorità sanitarie che hanno il compito di interpellare i lavoratori contagiati e ricostruire i contatti stretti in modo da informare i lavoratori coinvolti al fine anche di fornire loro tutte le istruzioni circa i comportamenti da tenere per la messa in quarantena domiciliare.

 

 


Sei interessato all’articolo? Scrivici e verrai contattato da un nostro Consultant

@ Beneggi e Associati | Commercialisti al servizio delle imprese | Meda | Milano

Condividi :

ARCHIVIO

29 Lug 2024

chiusura uffici | 12-30 agosto

ARCHIVIO

31 Dic 2023

Sospensione ammortamenti 2023

ARCHIVIO

31 Dic 2023

Legge di bilancio 2024 approvata dal Parlamento

CERCA