A seguito dell’emergenza sanitaria che in queste settimane sta coinvolgendo tutto il mondo e tutti i settori economici, la sfida è coniugare l’efficacia dell’azione di prevenzione e contrasto del contagio con le garanzie essenziali di tutela dei diritti fondamentali, quali appunto il diritto alla privacy e alla salute pubblica che sono entrambi diritti soggetti a bilanciamento con altri beni giuridici.
Come noto, l’emergenza è una condizione giuridica che, proprio per il suo carattere di eccezionalità, legittima una restrizione della generale condizione di libertà purché le restrizioni attuate siano proporzionate e limitate al periodo di emergenza. Pertanto, in uno stato di democrazia come il nostro è necessario che alcuni diritti, sebbene ritenuti fondamentali, cedano il passo ad altri ritenuti di altrettanta importanza come il diritto alla salute.
Nell’ambito della sicurezza negli ambienti di lavoro, in un contesto di emergenza sanitaria, ci si chiede se e a quali condizioni il diritto alla privacy dei lavoratori possa essere compresso a favore del diritto alla salute dei lavoratori stessi.
Il regolamento del Parlamento Europeo e del consiglio del 27 aprile 2016 (GDPR) prevede già la possibilità di trattare dati personali in contesti di emergenza, di cui il COVID-19 ne rappresenta un esempio, contemplando i presupposti giuridici per consentire ai datori di lavoro e alle autorità sanitarie competenti di trattare i dati personali particolari (quali appunto i dati relativi alla salute) nel contesto di epidemie, senza la necessità di ottenere il consenso dell’interessato. Ciò si applica ad esempio quando il trattamento dei dati personali è necessario per i datori di lavoro per motivi di interesse pubblico nel settore della salute pubblica o per proteggere interessi vitali (articoli 6 e 9 del GDPR) o per ottemperare a un altro obbligo legale. Nel contesto lavorativo, ad esempio, il trattamento di dati personali può ritenersi necessario qualora vi sia un obbligo del datore di lavoro di garantire la sicurezza dei propri dipendenti nel luogo di lavoro.
Anche lo stesso Garante con il comunicato del 2 marzo 2020 non ha vietato ai soggetti pubblici e privati di applicare misure destinate a tutelare e a garantire la salute e la sicurezza dei luoghi di lavoro, ma ha invece ribadito la necessità di evitare di mettere in atto “misure fai da te”, evitando la raccolta incontrollata e mal gestita di dati personali, raccomandando invece di fare gestire l’emergenza e le necessarie deroghe ai soggetti e alle autorità che ne hanno la responsabilità e dunque la protezione civile e le altre autorità sanitarie sempre nel rispetto della normativa privacy.
Il governo, poi, con il D.L. del 9.3.2020 n. 14 è intervenuto anche a regolamentare le tematiche privacy scongiurando casi di incontrollata e cattiva gestione di raccolta dei dati personali.
In particolare, l’art. 14 del suddetto decreto, nel rispetto di quanto previsto dal GDPR, consente il trattamento di dati personali (inclusa la comunicazione degli stessi anche senza il consenso dell’interessato) e di dati cosiddetti particolari (ossia i dati relativi alla salute) tra soggetti operanti nel Servizio nazionale di Protezione civile, tra cui anche gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale, fino a quando non sarà cessato lo stato di emergenza. Tale eccezione trova la propria giustificazione nell’interesse pubblico e, in particolare, nell’esigenza di garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19.
Inoltre, sempre lo stesso articolo prevede la comunicazione e la diffusione dei dati personali non particolari a soggetti pubblici e privati, diversi da quelli sopra indicati, purché sia indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.
Tali dati, inclusi quelli particolari, possono dunque essere trattati a condizione che siano garantiti i principi di cui all’articolo 5 del GDPR (in particolare i principi di correttezza, finalità, minimizzazione, limitazione della conservazione e integrità e riservatezza) nonché siano adottate le misure appropriate a tutela dei diritti e delle libertà degli interessati, tenuto conto della necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella relativa alla salvaguardia della riservatezza degli interessati.
È altresì prevista la facoltà per i soggetti sopra indicati di attribuire, anche in forma orale, specifici compiti e funzioni ai soggetti designati. Infine, è possibile omettere o fornire un’informativa semplificata, previa comunicazione orale, agli interessati di tale limitazione.
Tuttavia, al termine dello stato di emergenza dovranno essere adottate misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.
Da ultimo, il “protocollo condiviso regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” sottoscritto il 14 marzo 2020, (il “Protocollo”) che contiene le linee guida per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio, disciplina, tra l’altro, le modalità di trattamento dei dati personali dei lavoratori nel pieno rispetto della normativa privacy in situazione di emergenza.
Il Protocollo, fatte le dovute premesse, indica diversi livelli di intervento.
Un primo livello prevede la possibilità per il datore di lavoro di fornire un’informativa a tutti coloro che accedono presso i luoghi di lavoro. In particolare tale informativa dovrà contenere:
- L’obbligo di rimanere a casa in presenza di febbre (superiore a 37,5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;
- restare a casa se si sono avuti contatti stretti con persone con sospetto o con tampone positivo a Covid-19 e contattare i numeri di riferimento;
- contattare il medico di famiglia e l’autorità sanitaria nei casi previsti dalle Autorità sanitarie;
- impegno ad osservare le disposizioni delle Autorità e del datore di lavoro (ad es. rispettare le misure di sicurezza, osservare le regole di igiene delle mani) e a segnalare eventuali sintomi influenzali.
Un altro livello riguarda la fase precedente all’ingresso in azienda. Cosa fare?
I primi atti da compiere sono la misurazione della temperatura corporea nonché l’informazione preventiva del personale e la preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’Organizzazione mondiale della sanità.
Nel caso in cui la temperatura corporea rilevata sia superiore a 37,5°, la persona non potrà accedere in azienda e dovrà, con il supporto dell’azienda stessa, avvertire il medico di famiglia e le autorità sanitarie, per individuare le successive azioni da adottare. In tale fase è importante soffermarsi sulla modalità con le quali viene gestito il trattamento dei dati personali del personale prima dell’accesso nella sede di lavoro.
Per quanto concerne l’informazione da rendere all’azienda circa eventuali contatti avuti con soggetti risultati positivi al COVID-19 o di provenienza da zone a rischio negli ultimi 14 gg, quest’ultima può essere fornita mediante la compilazione di un’apposita dichiarazione che attesti la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19.
Sia la rilevazione reale della temperatura che la raccolta della dichiarazione costituiscono trattamento di dati personali particolari.
La nota al Protocollo indica i passaggi da rispettare in conformità alla normativa privacy. In particolare, il Protocollo raccomanda di:
(i) rilevare la temperatura e non registrare il dato acquisto. È possibile, invece, identificare l’interessato e registrare il superamento della soglia di temperatura (37,5°) solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
(ii) fornire l’informativa sul trattamento dei dati personali. È prevista la possibilità di omettere le informazioni di cui l’interessato è già in possesso nonché della possibilità di fornirla oralmente. In base alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19, con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e in relazione alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza;
I dati raccolti non potranno essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti” di un lavoratore risultato positivo al COVID-19).
Inoltre, vengono definite le misure di sicurezza e organizzative adeguate per proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie.
In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, devono essere garantite la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi.
Quanto alla dichiarazione si raccomanda di raccogliere solo i dati necessari, adeguati e pertinenti, rispetto alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
Per quanto riguarda invece i visitatori esterni (impresa di pulizie, manutenzione, ecc.), va ridotto, per quanto possibile, il loro accesso in azienda e qualora fosse necessario, gli stessi dovranno sottostare a tutte le regole aziendali, ivi comprese quelle per l’accesso ai locali aziendali già previsto per il personale.
di Daniela Ciulla
