PRIVACY E LUOGHI DI LAVORO: dall’intervento del Garante della Privacy al Protocollo di sicurezza
L’impatto che il virus COVID-19
sta avendo sui costumi sociali degli italiani è oltremodo evidente – basti
pensare all’improvvisa impennata nell’uso dello smartworking – e lo sarà ancor
di più nei tempi a venire quando, superata la fase di crisi, gli organi di
governo saranno chiamati a predisporre politiche programmatiche di prevenzione
e contenimento delle epidemie. Politiche decisamente più strutturare e omogenee,
differenti da quelle assunte negli ultimi mesi, elaborate con l’intenzione di
approntare presidi efficaci e rapidi per contenere la diffusione del virus.
Sarà proprio in quel momento che
le Autorità Pubbliche saranno chiamate a compiere scelte legislative di
complessa soluzione, di certo non più giustificate da quelle esigenze di
eccezionalità che tutt’oggi sono giustamente impiegate per “scagionare”
politiche che potrebbero altrimenti apparire repressive o addirittura
incostituzionali.
E sarà proprio in quel momento,
ancora, che il Legislatore dovrà correttamente contemperare due opposte
esigenze pubbliche, entrambe meritevoli di un equo bilanciamento in termini di
compressione dei diritti in gioco, e cioè la salute pubblica e il diritto alla
privacy. Già ad oggi sono state percepite alcune “avvisaglie”: basti pensare al
dilemma circa la conservazione dei dati sanitari di quanti, pazienti, sono
stati sottoposti ai test (c.d. tamponi) volti ad accertare l’infezione virale,
e alla correlata diatriba sulla gestione dei flussi e dell'interscambio dei suddetti;
all’acquisizione coatta di dati sanitari tramite i c.d. scanner termini; al
tracciamento degli spostamenti degli infettati, etc.
Su tutti, però, aleggia un
quesito-madre, dalla cui risposta dipende anche la legittimità degli altri,
subordinati e, in una qualche misura, dipendenti; una risposta emblematica per
comprendere il bilanciamento dei diritti di cui sopra, e cioè: potranno essere
riconosciuti poteri di acquisizioni e gestione dei dati anche ai privati?
Detto altrimenti, fermo restando
l’obbligatorietà del cittadino al rispetto degli interventi di azione pubblica
(es. test obbligatorio nelle zone ad alto rischio), i datori di lavoro, persone
fisiche o giuridiche che siano, potranno imporre misure coercitive di controllo
al solo fine di impedire la diffusione virale? Un dipendente di una società
sarà tenuto a illustrare i propri spostamenti? Il gestore di un centro ludico o
di una discoteca potrà richiedere un test all’ingresso dei locali? È
evidente che la risposta al presente dilemma, positiva o meno che sia, farà
trasparire la percezione che la società, per il tramite dei propri
rappresentati, ha avuto dell’evento COVID-19.
Ebbene, ad oggi è complesso
riuscire a dare una risposta fondata a un simile quesito. Molto, se non tutto,
dipenderà dall’evoluzione (e, si spera, arresto) della pandemia, dal tasso di
mortalità che causerà e dall’impatto sull’economia, nonché, per concludere, da
un’infinita serie di fattori più o meno importanti. Certamente una “bozza” di
risposta è stata fornita dallo stesso Garante della Privacy che, interrogato al
riguardo, si è espresso in maniera chiara e precisa.
Infatti, in un comunicato stampa
del 2 marzo, questi riporta di “sta[r] ricevendo numerosi quesiti da parte
di soggetti pubblici e privati in merito alla possibilità di raccogliere,
all’atto della registrazione di visitatori e utenti, informazioni circa la
presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come
misura di prevenzione dal contagio”.
E nel far ciò, fornisce anche una
risposta che non lascia dubbi quando afferma che “la finalità di prevenzione
dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che
istituzionalmente esercitano queste funzioni in modo qualificato”, e poi
aggiunge che “l’accertamento e la raccolta di informazioni relative ai
sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di
ogni individuo spettano agli operatori sanitari e al sistema attivato dalla
protezione civile, che sono gli organi deputati a garantire il rispetto delle
regole di sanità pubblica recentemente adottate”.
Detto ciò, però, lascia
intravedere la possibilità che, in futuro, possa esprimersi diversamente. In
particolar modo, è alquanto significativo rilevare che invita “tutti i titolari del trattamento [quindi anche i
privati] ad attenersi scrupolosamente alle indicazioni fornite dal Ministero
della salute […] senza effettuare iniziative autonome che prevedano la raccolta
di dati anche sulla salute di utenti e lavoratori che non siano
normativamente previste o disposte dagli organi competenti”. In
altri termini, da quanto esposto può evincersi una regola di generale
applicazione per cui, in futuro, potrebbe aprirsi anche ai privati la facoltà
di accertare lo stato di salute di soggetti altri purché ciò avvenga
legittimamente, e cioè nell’ambito delle coordinate normative previste e da
prevedere.
Detto altrimenti, quel che
l’Authority vuol forse dire è che, in occasioni sporadiche – e sicuramente ampiamente
giustificate da elementi di fatto incontestabili – i privati possono agire
autonomamente al fine di impedire danni alla salute pubblica (nel caso di
specie, diffusione dell’infezione), purché sulla scorta di un provvedimento
autorizzativo che deponga in tal senso.
Tuttavia, tale ricostruzione
incontra un limite attinente al mondo del lavoro – quantomeno per adesso – nella
parte del provvedimento in cui si afferma che “i datori di lavoro devono
invece astenersi dal raccogliere, a priori e in modo sistematico e
generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali
del lavoratore e dei suoi contatti più stretti o comunque rientranti nella
sfera extra lavorativa”. Tale inciso merita sicuramente un approfondimento.
In proposito, infatti, sorge
spontaneo un quesito: può negarsi a priori una simile opzione per il futuro in
caso di aggravamento dello status quo dell’ormai pandemia? E come agire considerato
che “permangono altresì i compiti del datore di lavoro relativi alla
necessità di comunicare agli organi preposti l’eventuale variazione del rischio
“biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli
altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il
tramite del medico competente, come, ad esempio, la possibilità di sottoporre a
una visita straordinaria i lavoratori più esposti”? Come conciliare,
insomma, le due opposte esigenze di tutela della privacy e sicurezza dei luoghi
di lavoro?
Tale dilemma diviene ancora più
problematico alla luce dell’art. 2087 c. c., in ragione del quale vi è una
sorta di diritto/dovere del datore di lavoro di agire nel miglior modo
possibile per tutelare la salubrità dei locali di lavoro e la salute dei propri
dipendenti. Tuttavia, è vero anche che il problema ad oggi sembra non essere di
concreta e attuale importanza, o quantomeno non è azzardato affermare che lo è
in misura inferiore a quanto si potrebbe presumere.
In primo luogo, infatti, si
consideri che le difficoltà datoriali a garantire ambienti salutari possono
essere agilmente arginate facendo leva sul disposto dell’art. 20 del D.lgs
81/2008, secondo cui “ogni lavoratore deve prendersi cura della propria
salute e sicurezza e di quella delle altre persone presenti sul luogo di
lavoro, su cui ricadono gli effetti delle sue azioni o omissioni, conformemente
alla sua formazione, alle istruzioni e ai mezzi forniti dal datore di lavoro”;
tuttavia, ciò comunque non rimette al datore di lavoro alcun potere, anzi: il
dovere di agire in tale senso è attribuito al solo lavoratore.
Tale ultimo scoglio è però
superato dal “Protocollo condiviso di regolamentazione delle misure per il
contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti
di lavoro”, siglato in data 14 marzo dalle organizzazioni datoriali e
sindacali, su invito del Presidente del Consiglio dei Ministri e di altri
esponenti del Governo. Ai fini di nostro interesse, l’art. 2 del detto
documento prevede dapprima che “il personale, prima dell’accesso al luogo di
lavoro potrà essere sottoposto al controllo della temperatura corporea”, e
poi che “il datore di lavoro informa preventivamente il personale, e chi
intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli
ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al
COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS”,
entrambe circostanze che presuppongono un trattamento di dati personali, seppur
appartenenti a categorie differenti.
Nel far ciò, peraltro, le parti
hanno posto l’attenzione e l’accortezza dovute nel contemperamento dei diritti
in gioco – da un lato la salute dei luoghi di lavoro e, dall’altro, la
riservatezza delle informazioni – suggerendo, rispettivamente nelle note 1 e 2,
corrette indicazioni pratiche e giuridiche per il legittimo trattamento dei
dati personali.
A conti fatti, insomma, sembra
che le suddette abbiano adottato misure in palese contrasto con quanto statuito
dal Garante della Privacy che, ricordiamo, aveva ammonito “i datori di lavoro
[…] dal raccogliere, a priori e in modo sistematico e generalizzato […]
informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e
dei suoi contatti più stretti o comunque rientranti nella sfera extra
lavorativa”. Pertanto, nel valutare la legittimità di tali interventi alla
luce delle indicazioni della detta Authority, occorre soffermarsi su diversi
profili di interesse.
In primo luogo, occorre tenere in
debito conto che il Governo ha conferito “carta bianca” alle parti ai fini dell’individuazione
delle misure aziendali di contrasto al COVID-19, rimettendo loro, così facendo,
una sorta di discrezionalità tecnica nell’applicazione e graduazione dei
presidi sanitari. Insomma, a voler utilizzare una terminologia impropria ma
efficace, potrebbe parlarsi di una sorta di “intervento legislativo delegato”
che, stando così le cose, trova comunque un fondamento giuridico nell’art. 1,
comma 1, num. 9, del decreto del Presidente del Consiglio dei Ministri dell’11
marzo 2020, il quale autorizza “intese” in tema di attività produttive e
nel perimetro delle raccomandazioni già enucleate. Non trattasi, dunque, di un
potere scevro di qualsiasi forma di controllo o vigilanza.
Alla luce di ciò, sembra dunque
che siano soddisfatte le esigenze di legalità richieste dal Garante quando
afferma che “tutti i titolari del trattamento [quindi anche i privati] ad
attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute
[…] senza effettuare iniziative autonome che prevedano la raccolta di dati
anche sulla salute di utenti e lavoratori che non siano normativamente
previste o disposte dagli organi competenti”.
Peraltro, si tenga anche in
considerazione che un valido supporto normativo all’azione delle parti è
altresì fornito da un’interpretazione estensiva dell’art. 9, comma 2, lett. i) del GDPR, secondo cui
possono trattarsi dati dell’interessato anche senza il suo consenso qualora ciò
sia necessario “per motivi di interesse pubblico nel settore della sanità
pubblica, quali la protezione da gravi minacce per la salute a carattere
transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza
dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base
del diritto dell'Unione o degli Stati membri che prevede misure appropriate e
specifiche per tutelare i diritti e le libertà dell'interessato, in particolare
il segreto professionale”.
Infine, accantonando per un
attimo argomentazioni di natura squisitamente giuridica, una terza e ultima
considerazione emerge dall’esame dei momenti storici di adozione dei detti
interventi. Le parole del Garante della Privacy risalgono, come visto, alla
data del 2 marzo, e cioè a un momento storico in cui la gravità dell’epidemia –
poi definita pandemia per i drammatici livelli di diffusione raggiunti – non
era tanto intensa quanto quella che poi, in data 14 marzo, ha “costretto” le
parti datoriali e sindacali all’adozione del detto Protocollo.
In altri termini, vuol dirsi che,
nonostante quanto disposto dal Garante, le misure adottate sono pienamente
valide e legittime. Pertanto, non può rinvenirsi nel comunicato di quest’ultimo
un limite alla loro operatività per il semplice fatto che lo stesso si fondava
su di una situazione di fatto decisamente meno complessa, tanto a livello sociale
quanto epidemiologico, rispetto a quella che successivamente ha “giustificato”
l’adozione del Protocollo.
A questo punto, non possiamo fare altro che attendere con forte curiosità scientifica un ulteriore intervento in materia dell’Authority.
di FC Law Firm
FC Law Firm è uno studio professionale che presta consulenza e assistenza legale a società ed enti. Opera prevalentemente nei settori assicurativo, finanziario e bancario, assistendo il cliente in sede giudiziale e stragiudiziale, nella risoluzione di problematiche attinenti al diritto commerciale, societario e della privacy, nella gestione e organizzazione dei sistemi di controllo interni, nella corporate governance e nella compliance aziendale - segreteria@fclaw.eu
