Dai recenti provvedimenti del Garante volti a trovare un delicato equilibrio tra l’esigenza di una efficace prevenzione a tutela della salute in azienda e quella di garantire il rispetto del diritto alla riservatezza dei lavoratori. Il quadro è nuovamente cambiato sabato 14 marzo, quando Governo e Sindacati hanno siglato il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro“. Questo documento (ora nella versione aggiornata del 24 aprile 2020 – ) introduce alcune misure preventive suscettibili di impattare sulla privacy dei lavoratori e degli altri soggetti (es. clienti, fornitori, utenti) che abitualmente entrano nelle sedi aziendali o nelle strutture commerciali.
Di seguito alcune “linee guida” per gestire lato privacy le misure del Protocollo, garantendo il rispetto della riservatezza dei soggetti coinvolti nei controlli.
DIPENDENTI:
All’art. 1 viene stabilito che l’azienda deve informare nel modo più efficace possibile tutti i dipendenti dei comportamenti da assumere e delle regole da rispettare. In particolare, le informazioni riguardano l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali. In tal senso l’azienda potrà redigere una “COMUNICAZIONE PREVENTIVA” da affiggere all’ingresso, magari utilizzando una info-grafica che ne renda immediatamente comprensibile il contenuto. Comunicazione che dovrà essere accompagnata da una specifica “INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI” ex art. 13 GDPR, sulla quale meglio si dirà successivamente.
Per quanto riguarda la privacy del lavoratore è però l’art. 2 ad essere il più incisivo:
- il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea. Se la temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso. Le persone in tale condizione saranno momentaneamente isolate e fornite di mascherine, non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni. Come ricordato nel Protocollo, la rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente.
- l’ ingresso in azienda di lavoratori già risultati positivi all’infezione da COVID 19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione” del tampone secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza. In questo caso, è evidente che l’azienda si troverà a dover trattare dati “particolari” di tipo sanitario di dipendenti e collaboratori, con la necessità di dover rispettare la normativa privacy vigente.
- Con riferimento alla sorveglianza sanitaria, questa non dovrà essere sospesa, anzi, incentivata, soprattutto per i soggetti che il datore di lavoro considera a maggiore rischio di infezione. In tale attività di individuazione sarà anche il medico competente a segnalare al datore di lavoro quali siano i soggetti più fragili (senza ovviamente comunicarne le patologie) al fine di facilitare l’impiego temporaneo del lavoratore in mansioni meno pericolose da un punto di vista infettivo.
Cosa deve fare quindi un’azienda? Si suggerisce di:
- fornire la “comunicazione preventiva” e l’informativa sul trattamento dei dati personali. Si ricorda che l’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Quanto ai contenuti dell’informativa: la finalità del trattamento sarà data dall’esigenza prevenire il contagio; la base giuridica del trattamento per i dipendenti sarà l’art. 9 comma 2 lett. b) GDPR (obblighi in materia di lavoro), mentre per gli esterni sarà l’art. 9 comma 2 lett. i) GDPR (tutela della salute pubblica); il termine di conservazione dovrà essere breve e strettamente correlato alle esigenze di prevenzione o all’evasione di richieste da parte dell’autorità sanitaria o, ancora, alla difesa degli interessi aziendali da contestazioni da eventuali contestazioni (es. rivalse INAIL).
- limitarsi ad informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. E’ fortemente sconsigliata la raccolta di “autocertificazioni” in tal senso, configurando un’ipotesi di trattamento eccessivo ed indiscriminato, contrario al principio di privacy by default. In ogni caso, l’eventuale dichiarazione dovrebbe essere il più generica possibile, senza contenere informazioni aggiuntive e non necessarie (generalità dei soggetti, specificità dei luoghi, ecc.).
- rilevare la temperatura e non registrare il dato acquisito. È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali (es. comunicazioni alle competenti autorità sanitarie). Il dato numerico riferibile alla temperatura non dovrà comunque essere registrato, sarà sufficiente annotare l’avvenuto superamento della soglia di sicurezza (37,5°) al fine di giustificare il negato accesso ai locali aziendali.
- definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19).
- in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi
- aggiornare il registro dei trattamenti ai sensi dell’art. 30 GDPR descrivendo e disciplinando le modalità di trattamento dei dati raccolti in applicazione del protocollo.
- qualora il dato sia conservato in formato digitale, prestare particolare attenzione al tema della sicurezza informatica in modo da evitare data breach che, per la tipologia di dati coinvolti, potrebbero portare alla necessità di effettuare una notifica al Garante ai sensi dell’art. 33 del Reg. UE n. 679/2016.
- adottare sistemi di pseudonomizzazione per i dati eventualmente archiviati, in modo che eventuali terzi non possano associare i dati personali alla persona fisica (interessato).
Qui le FAQ del Garante della protezione dei dati con riferimento agli adempimenti in capo al datore di lavoro.
FORNITORI
Il Protocollo invita, per quanto possibile, a ridurre l’accesso ai visitatori ed ai fornitori. Qualora fosse necessario l’ingresso di soggetti esterni (impresa di pulizie, manutenzione, ecc.), gli stessi dovranno sottostare a tutte le regole aziendali, ivi comprese quelle per l’accesso ai locali aziendali di cui al precedente paragrafo. In questo caso occorrerà prestare particolare attenzione a non registrare dati personali di alcun tipo, salvo quando assolutamente necessario perché imposto dalle disposizioni normative.
CLIENTI
Aggiornamento del 19/05: pubblicate le Linee guida di indirizzo per la riapertura delle attività economiche, produttive e ricreative, varate dalla Conferenza delle Regioni e delle Province Autonome, contenenti le misure che bar, ristoranti, negozi, parrucchieri, estetisti, alberghi e strutture balneari dovranno adottare fin da subito. Per le attività che richiedono la prenotazione da parte dei clienti, riguarda la predisposizione di un elenco di presenze, in cui i dati personali saranno conservati per 14 giorni. Gli esercenti dovranno quindi predisporre apposite informative per la clientela ai sensi degli artt. 13 e 14 del GDPR, oltre ad aggiornare il registro dei trattamenti.