PRIVACY E LUOGHI DI LAVORO: dall’intervento del Garante della Privacy al Protocollo di sicurezza

L’impatto che il virus COVID-19 sta avendo sui costumi sociali degli italiani è oltremodo evidente – basti pensare all’improvvisa impennata nell’uso dello smartworking – e lo sarà ancor di più nei tempi a venire quando, superata la fase di crisi, gli organi di governo saranno chiamati a predisporre politiche programmatiche di prevenzione e contenimento delle epidemie. Politiche decisamente più strutturare e omogenee, differenti da quelle assunte negli ultimi mesi, elaborate con l’intenzione di approntare presidi efficaci e rapidi per contenere la diffusione del virus.

Sarà proprio in quel momento che le Autorità Pubbliche saranno chiamate a compiere scelte legislative di complessa soluzione, di certo non più giustificate da quelle esigenze di eccezionalità che tutt’oggi sono giustamente impiegate per “scagionare” politiche che potrebbero altrimenti apparire repressive o addirittura incostituzionali.

E sarà proprio in quel momento, ancora, che il Legislatore dovrà correttamente contemperare due opposte esigenze pubbliche, entrambe meritevoli di un equo bilanciamento in termini di compressione dei diritti in gioco, e cioè la salute pubblica e il diritto alla privacy. Già ad oggi sono state percepite alcune “avvisaglie”: basti pensare al dilemma circa la conservazione dei dati sanitari di quanti, pazienti, sono stati sottoposti ai test (c.d. tamponi) volti ad accertare l’infezione virale, e alla correlata diatriba sulla gestione dei flussi e dell’interscambio dei suddetti; all’acquisizione coatta di dati sanitari tramite i c.d. scanner termini; al tracciamento degli spostamenti degli infettati, etc.

Su tutti, però, aleggia un quesito-madre, dalla cui risposta dipende anche la legittimità degli altri, subordinati e, in una qualche misura, dipendenti; una risposta emblematica per comprendere il bilanciamento dei diritti di cui sopra, e cioè: potranno essere riconosciuti poteri di acquisizioni e gestione dei dati anche ai privati?

Detto altrimenti, fermo restando l’obbligatorietà del cittadino al rispetto degli interventi di azione pubblica (es. test obbligatorio nelle zone ad alto rischio), i datori di lavoro, persone fisiche o giuridiche che siano, potranno imporre misure coercitive di controllo al solo fine di impedire la diffusione virale? Un dipendente di una società sarà tenuto a illustrare i propri spostamenti? Il gestore di un centro ludico o di una discoteca potrà richiedere un test all’ingresso dei locali? È evidente che la risposta al presente dilemma, positiva o meno che sia, farà trasparire la percezione che la società, per il tramite dei propri rappresentati, ha avuto dell’evento COVID-19.

Ebbene, ad oggi è complesso riuscire a dare una risposta fondata a un simile quesito. Molto, se non tutto, dipenderà dall’evoluzione (e, si spera, arresto) della pandemia, dal tasso di mortalità che causerà e dall’impatto sull’economia, nonché, per concludere, da un’infinita serie di fattori più o meno importanti. Certamente una “bozza” di risposta è stata fornita dallo stesso Garante della Privacy che, interrogato al riguardo, si è espresso in maniera chiara e precisa.

Infatti, in un comunicato stampa del 2 marzo, questi riporta di “sta[r] ricevendo numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio”.

E nel far ciò, fornisce anche una risposta che non lascia dubbi quando afferma che “la finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”, e poi aggiunge che “l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.

Detto ciò, però, lascia intravedere la possibilità che, in futuro, possa esprimersi diversamente. In particolar modo, è alquanto significativo rilevare che invita “tutti i titolari del trattamento [quindi anche i privati] ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute […] senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”. In altri termini, da quanto esposto può evincersi una regola di generale applicazione per cui, in futuro, potrebbe aprirsi anche ai privati la facoltà di accertare lo stato di salute di soggetti altri purché ciò avvenga legittimamente, e cioè nell’ambito delle coordinate normative previste e da prevedere.

Detto altrimenti, quel che l’Authority vuol forse dire è che, in occasioni sporadiche – e sicuramente ampiamente giustificate da elementi di fatto incontestabili – i privati possono agire autonomamente al fine di impedire danni alla salute pubblica (nel caso di specie, diffusione dell’infezione), purché sulla scorta di un provvedimento autorizzativo che deponga in tal senso.

Tuttavia, tale ricostruzione incontra un limite attinente al mondo del lavoro – quantomeno per adesso – nella parte del provvedimento in cui si afferma che “i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. Tale inciso merita sicuramente un approfondimento.

In proposito, infatti, sorge spontaneo un quesito: può negarsi a priori una simile opzione per il futuro in caso di aggravamento dello status quo dell’ormai pandemia? E come agire considerato che “permangono altresì i compiti del datore di lavoro relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti”? Come conciliare, insomma, le due opposte esigenze di tutela della privacy e sicurezza dei luoghi di lavoro?

Tale dilemma diviene ancora più problematico alla luce dell’art. 2087 c. c., in ragione del quale vi è una sorta di diritto/dovere del datore di lavoro di agire nel miglior modo possibile per tutelare la salubrità dei locali di lavoro e la salute dei propri dipendenti. Tuttavia, è vero anche che il problema ad oggi sembra non essere di concreta e attuale importanza, o quantomeno non è azzardato affermare che lo è in misura inferiore a quanto si potrebbe presumere.

In primo luogo, infatti, si consideri che le difficoltà datoriali a garantire ambienti salutari possono essere agilmente arginate facendo leva sul disposto dell’art. 20 del D.lgs 81/2008, secondo cui “ogni lavoratore deve prendersi cura della propria salute e sicurezza e di quella delle altre persone presenti sul luogo di lavoro, su cui ricadono gli effetti delle sue azioni o omissioni, conformemente alla sua formazione, alle istruzioni e ai mezzi forniti dal datore di lavoro”; tuttavia, ciò comunque non rimette al datore di lavoro alcun potere, anzi: il dovere di agire in tale senso è attribuito al solo lavoratore.

Tale ultimo scoglio è però superato dal “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, siglato in data 14 marzo dalle organizzazioni datoriali e sindacali, su invito del Presidente del Consiglio dei Ministri e di altri esponenti del Governo. Ai fini di nostro interesse, l’art. 2 del detto documento prevede dapprima che “il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea”, e poi che “il datore di lavoro informa preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS”, entrambe circostanze che presuppongono un trattamento di dati personali, seppur appartenenti a categorie differenti.

Nel far ciò, peraltro, le parti hanno posto l’attenzione e l’accortezza dovute nel contemperamento dei diritti in gioco – da un lato la salute dei luoghi di lavoro e, dall’altro, la riservatezza delle informazioni – suggerendo, rispettivamente nelle note 1 e 2, corrette indicazioni pratiche e giuridiche per il legittimo trattamento dei dati personali.

A conti fatti, insomma, sembra che le suddette abbiano adottato misure in palese contrasto con quanto statuito dal Garante della Privacy che, ricordiamo, aveva ammonito “i datori di lavoro […] dal raccogliere, a priori e in modo sistematico e generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. Pertanto, nel valutare la legittimità di tali interventi alla luce delle indicazioni della detta Authority, occorre soffermarsi su diversi profili di interesse.

In primo luogo, occorre tenere in debito conto che il Governo ha conferito “carta bianca” alle parti ai fini dell’individuazione delle misure aziendali di contrasto al COVID-19, rimettendo loro, così facendo, una sorta di discrezionalità tecnica nell’applicazione e graduazione dei presidi sanitari. Insomma, a voler utilizzare una terminologia impropria ma efficace, potrebbe parlarsi di una sorta di “intervento legislativo delegato” che, stando così le cose, trova comunque un fondamento giuridico nell’art. 1, comma 1, num. 9, del decreto del Presidente del Consiglio dei Ministri dell’11 marzo 2020, il quale autorizza “intese” in tema di attività produttive e nel perimetro delle raccomandazioni già enucleate. Non trattasi, dunque, di un potere scevro di qualsiasi forma di controllo o vigilanza.

Alla luce di ciò, sembra dunque che siano soddisfatte le esigenze di legalità richieste dal Garante quando afferma che “tutti i titolari del trattamento [quindi anche i privati] ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute […] senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”.

Peraltro, si tenga anche in considerazione che un valido supporto normativo all’azione delle parti è altresì fornito da un’interpretazione estensiva dell’art.  9, comma 2, lett. i) del GDPR, secondo cui possono trattarsi dati dell’interessato anche senza il suo consenso qualora ciò sia necessario “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.

Infine, accantonando per un attimo argomentazioni di natura squisitamente giuridica, una terza e ultima considerazione emerge dall’esame dei momenti storici di adozione dei detti interventi. Le parole del Garante della Privacy risalgono, come visto, alla data del 2 marzo, e cioè a un momento storico in cui la gravità dell’epidemia – poi definita pandemia per i drammatici livelli di diffusione raggiunti – non era tanto intensa quanto quella che poi, in data 14 marzo, ha “costretto” le parti datoriali e sindacali all’adozione del detto Protocollo.

In altri termini, vuol dirsi che, nonostante quanto disposto dal Garante, le misure adottate sono pienamente valide e legittime. Pertanto, non può rinvenirsi nel comunicato di quest’ultimo un limite alla loro operatività per il semplice fatto che lo stesso si fondava su di una situazione di fatto decisamente meno complessa, tanto a livello sociale quanto epidemiologico, rispetto a quella che successivamente ha “giustificato” l’adozione del Protocollo.

A questo punto, non possiamo fare altro che attendere con forte curiosità scientifica un ulteriore intervento in materia dell’Authority.

di FC Law Firm

FC Law Firm è uno studio professionale che presta consulenza e assistenza legale a società ed enti. Opera prevalentemente nei settori assicurativo, finanziario e bancario, assistendo il cliente in sede giudiziale e stragiudiziale, nella risoluzione di problematiche attinenti al diritto commerciale, societario e della privacy, nella gestione e organizzazione dei sistemi di controllo interni, nella corporate governance e nella compliance aziendale – segreteria@fclaw.eu