[A cura del Dott. Daniele Innamorati]
Il terzo appuntamento della rubrica vuole chiarire gli aspetti attinenti alla non agevole conciliabilità tra la necessità di predisporre misure aziendali finalizzate al contenimento della diffusione del contagio da coronavirus, all’interno dei luoghi di lavoro, e il rispetto del diritto alla riservatezza dei lavoratori.
Ciò, anche in vista dell’auspicata riapertura di attività economiche e produttive ritenute non essenziali, quando i dati sulla diffusione del contagio permetteranno di farlo in assoluta sicurezza per i lavoratori.
In tal senso, il Garante per la protezione dei dati personali si era già espresso prima dell’inizio del lockdown generalizzato, invitando ad evitare iniziative “fai-da-te” nella raccolta dei dati personali dei lavoratori, e rimarcando la necessità di rispettare i principi relativi al trattamento dei dati personali in linea con quanto previsto dal regolamento UE/679/2016 e dal più recente d. lgs. n. 101/2018.
Da ultimo, indicazioni operative relative alle misure da adottare per prevenire il contagio nei luoghi di lavoro vanno rinvenute nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19” stipulato tra il Governo e le associazioni datoriali e sindacali maggiormente rappresentative in ottemperanza all’art. 1, comma 1, n. 9 del D.P.C.M. dell’11 marzo 2020. Lo stesso protocollo indica alcuni accorgimenti atti ad assicurare il rispetto della privacy dei lavoratori, che andranno con tutta evidenza allineati a quanto già previsto dalla normativa generale già richiamata.
Quanto agli accorgimenti operativi di contenimento del contagio, il protocollo prevede che:
1. — i lavoratori potranno essere sottoposti a misurazione della temperatura prima dell’ingresso nei locali aziendali, restando inteso che qualora risulti superiore a 37.5°, l’accesso non sarà consentito, e avendo cura di specificare che solo in questo ultimo caso potrà avvenire la registrazione del dato, onde documentare il negato accesso ai locali;
2. — il datore di lavoro sia tenuto ad informare preventivamente il personale, ed eventuali terzi che intendano fare ingresso in azienda, della preclusione all’accesso di chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS;
In relazione al rispetto della normativa in materia di privacy, la rilevazione della temperatura corporea — costituendo trattamento di dato personale (peraltro “particolare” ex art. 9 GDPR) — dovrà avvenire fornendo l’informativa di cui all’art. 13 con indicazione, in particolare, della finalità del trattamento, della base giuridica che lo legittima e del periodo di conservazione dei dati personali.
Quanto alle finalità di trattamento, il protocollo suggerisce di indicare la prevenzione del contagio da coronavirus, mentre con riferimento al tempo di conservazione invita a fare riferimento al “termine dello stato di emergenza”, che ben potrà ricondursi — ad avviso di chi scrive — alla finestra temporale delineata dalla delibera del consiglio dei ministri datata 31 gennaio 2020, con cui si è dichiarato lo stato di emergenza per il periodo di sei mesi.
La base giuridica del trattamento merita una riflessione a parte, poiché trattandosi di dati “particolari” attinenti alla salute dei lavoratori (e volendo prescindere dalla richiesta di esplicito consenso del lavoratore, che rischia di complicare il processo di acquisizione dei dati), viene solitamente collocata sotto l’ombrello dell’art. 9 para. 2 lett. b) GDPR, che legittima il trattamento di detti dati quando “necessario ad assolvere gli obblighi […] del titolare del trattamento (n.d.r. datore di lavoro)[…] in materia di diritto del lavoro e della sicurezza sociale e protezione sociale […] in presenza di garanzie appropriate per i diritti fondamentali gli interessi dell’interessato (n.d.r. lavoratore)”;
In merito, la liceità del trattamento dati poggerà sul d.p.c.m. 11 marzo 2020 (e sul relativo obbligo di attuare i protocolli di sicurezza ai sensi dell’art. 1 n. 7 lett. d), per le finalità di prevenzione del contagio, e — invero più solidamente — sull’art. 2087 c.c. e il T.U. sicurezza 81/2008, per quanto attiene agli obblighi di garantire la sicurezza nei luoghi di lavoro. Proprio la disposizione codicistica, quale norma a chiusura del sistema — e suscettibile di interpretazione estensiva, atteso il suo rilievo costituzionale (combinato artt. 32, 35 e 41 Cost.) — impone al datore di lavoro di porre in essere ogni e più opportuna misura per garantire che l’attività produttiva si eserciti senza pregiudizi per la vita e la salute psico-fisica del lavoratore.
Pari considerazioni valgono nei confronti dei terzi, per i quali il protocollo fornisce precise indicazioni, con precipuo riferimento all’ingresso dei fornitori, e a cui si rimanda per una compiuta trattazione.
L’informativa, occorre precisare, potrà essere generale e rivolta a tutti coloro che vogliano entrare nei locali aziendali, mediante affissione nelle zone d’ingresso ai locali.
Resta comunque inteso che, come ha anticipato il Garante per la protezione dei dati personali (comunicato stampa 2 marzo 2020), il datore di lavoro deve attenersi al protocollo — astenendosi dal compiere indagini non consentite o dal raccogliere in modo sistematico e generalizzato informazioni sullo stato di salute del lavoratore o sui suoi contatti più stretti —, potendo tuttalpiù:
a.) richiedere una dichiarazione nella quale il lavoratore confermi di non essere stato/a in contatto negli ultimi 14 giorni con soggetti risultati positivi al coronavirus;
b.) facilitare con canali e mezzi idonei la comunicazione da parte dei lavoratori di eventuali variazioni del loro stato di salute (ad es. nei confronti dell’ufficio HR);
c.) collaborare con l’autorità sanitaria preposta condividendo, su richiesta, eventuali informazioni e dati di cui sia in possesso.
Sul piano generale, dunque, la raccolta e il trattamento dei dati dovrà pur sempre avvenire nell’orbita dei principi di “minimizzazione dei dati”, oltre che di “limitazione della conservazione” (v. supra).
Parimenti, quanto agli adempimenti formali e documentali, e nell’ottica di garantire la sicurezza dei dati raccolti, andranno individuati i soggetti all’interno della struttura aziendale incaricati al trattamento operativo dei dati menzionati, predisponendo le rispettive nomine ai sensi dell’art. 29 GDPR e fornendo le relative istruzioni di trattamento. Mentre, sotto il diverso aspetto dell’“accountability”, non si potrà prescindere dall’aggiornamento del registro dei trattamenti per dare conto delle scelte effettuate.
La gestione di tutte queste operazioni dovrà comunque essere preceduta da una valutazione col professionista di fiducia, avuto riguardo alla peculiarità dell’apparato produttivo-strumentale.