Coronavirus e lavoro, la tutela dei diritti e delle libertà fondamentali dei lavoratori, con riguardo al trattamento dei dati personali

Finalità della presente trattazione è quella di fornire – da un lato - un quadro aggiornato dei recenti provvedimenti in materia di lavoro e dati personali, nonché - dall’altro - delle linee operative da rispettare negli ambienti lavorativi al fine di perseguire la migliore applicazione della normativa in materia di tutela dei dati personali.
Compito quanto mai arduo in quanto con il diffondersi dell’epidemia di coronavirus in Italia si sono susseguite differenti disposizioni, non sempre in linea le une con le altre, che di seguito ci apprestiamo ad approfondire.
È, tuttavia, possibile individuare all’interno delle stesse dei precetti il cui rispetto permette alle aziende di porre in essere i comportamenti, di volta in volta, più idonei.

1) La nota informativa del Garante del 2 marzo 2020
2) Il decreto legge n. 14 del 9 marzo 2020
3) Il protocollo del 14 marzo 2020
4) Lo Statement del Comitato Europeo per la protezione dei dati del 16 marzo 2020

1) La nota informativa del Garante del 2 marzo 2020
Il garante Privacy con una nota informativa, in seguito al diffondersi dell’epidemia, ha inibito l’utilizzo delle iniziative fai-da-te nella raccolta dei dati, specificando che soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti.
Il garante ha ritenuto doveroso precisare i termini della questione in quanto numerosi soggetti (sia pubblici che privati) hanno iniziato, a chiedere di poter raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio.
Altrettante richieste sono pervenute dai datori di lavoro pubblici e privati, i quali hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata.
Le suddette richieste non hanno atteso risposta e su tutto il territorio nazionale si è diffusa la prassi, tanto velocemente quanto spontaneamente, rendendo così l’intervento si è reso ancor più necessario, alla luce della prassi diffusasi, in diverse aziende che avevano predisposto simili questionari.
L’Autorità ha specificato a riguardo che tale comportamento risulta assolutamente illegittimo.
Deve rilevarsi, tuttavia, che tale indicazione è in contrasto con l’orientamento precedente diffuso dai consulenti i quali, invece, sulla base del combinato disposto degli artt. 2087 cc e art 9 GDPR, avevano ritenuto possibile un simile controllo da parte del datore, favorendo così il proliferare dei più diffusi questionari.
Il Garante, in contrapposizione tale precedente orientamento, ha ritenuto che il datore abbia dei doveri, maquesti doveri potranno essere esercitati solo ed esclusivamente mediante gli strumenti più opportuni predisposti dall’ordinamento.
Tale impostazione risulta in linea con il tentativo del Governo di individuare una linea comune, evitando prassi disomogenee tra le varie aree del nostro territorio.
In Conclusione, “i datori di lavoro devono quindi astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”, spiega il Garante.

Le prescrizioni del Garante sono riassumibili come segue:/Cosa fare

Per i lavoratori:
- chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, deve comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti;
- resta fermo l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro;
- in caso di sospetto di contatto tra il dipendente che svolge mansioni a contatto con il pubblico venga in relazione caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, provvederà a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.
I datori di lavoro: - è opportuno aggiornare il “Documento di Valutazione dei Rischi” (c.d. DVR) facendo espressa menzione del rischio epidemia;
- devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.
- possono invitare i propri dipendenti a fare, ove necessario, le suddette comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati;
- devono comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.
- non devono sostituirsi agli operatori sanitari e al sistema attivato dalla protezione civile cui spetta l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo.
- devono in qualità di titolari del trattamento, attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti;

2) Il decreto legge n. 14 del 9 marzo 2020
L’art. 14 detta nel contesto emergenziale disposizioni straordinarie sul trattamento dei dati personali.
Esso prevede che per motivi di interesse pubblico e, in particolare, per garantire la protezione dall'emergenza sanitaria determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonche' per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, i soggetti operanti nel Servizio nazionale di protezione civile, nonche' gli uffici del Ministero della salute e dell'Istituto Superiore di Sanita', le strutture pubbliche e private che operano nell'ambito del Servizio sanitario nazionale e tutti i soggetti attuatori delle misure straordinarie, possono effettuare trattamenti, compresa la comunicazione tra loro, dei dati personali anche relativi agli articoli 9 e 10 del gdpr che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del COVID-19. Tali soggetti possono omettere l'informativa di cui all'articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione. Nello stesso modo potranno essere conferite le autorizzazioni.
Precisa la norma che la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, e' effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attivita' connesse alla gestione dell'emergenza sanitaria in atto.
La norma specifica che i trattamenti di dati personali sono effettuati nel rispetto dei principi del regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle liberta' degli interessati e limitatamente al periodo dello stato di emergenza, al cui termine saranno adottate misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.
Per alcuni questa disposizione rappresenta un passo indietro nella tutela della privacy, tuttavia si deve rilevare che l’interesse preminente in questo momento e che risulta meritevole di tutela in questo momento è la salute pubblica, pertanto, sempre nel rispetto della dignità delle persone la norma permette, in casi del tutto eccezionali ed emergenziali di derogare temporaneamente alle buone norme del GDPR.
In conclusione qualora l’azienda rientri in una delle categorie richiamate nel citato art. 14, in caso di necessità, può effettuare i trattamenti con le modalità sopra descritte.

3) Il protocollo del 14 marzo 2020 - per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro
Le Parti sociali sono giunte ad un protocollo che fornisce indicazioni operative finalizzate a incrementare, negli ambienti di lavoro non sanitari, l’efficacia delle misure precauzionali di contenimento per contrastare l’epidemia di COVID-19. All’interno del documento viene confermata la previsione della riduzione e/o della sospensione temporanea delle attività, unitamente alla possibilità per l’azienda di ricorrere al lavoro agile e agli ammortizzatori sociali.
Obiettivo dichiarato del Protocollo è di coniugare la prosecuzione delle attività produttive con la garanzia di condizioni di salubrità e sicurezza degli ambienti di lavoro e delle modalità lavorative. Nell’ambito di tale obiettivo, la prosecuzione delle attività produttive potrà infatti avvenire solo in presenza di condizioni che assicurino ai lavoratori adeguati livelli di protezione.
Di seguito vediamo i risvolti operativi del Protocollo all’interno dell’azienda.
Le Informazioni che il datore deve fornire ai lavoratori
Ad esse è dedicato il primo punto del Protocollo.
L’azienda, deve informare tutti i lavoratori e a chiunque acceda ai locali della stessa, del contenuto delle disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, degli appositi documenti informativi dai quali deve evincersi:
a) l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;
b) l’impossibilità di accedere al luogo di lavoro,ovvero di permanervie di dover dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc). In tali casi, infatti, i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio;
c) l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene);
d) l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.

Il secondo punto del protocollo è dedicato alle modalità di ingresso in azienda.

- Il datore di lavoro deve informare preventivamente i lavoratori, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.
- Anche l’ingresso di visitatori esterni (impresa di pulizie), premesso che per quanto possibile va ridotto, dovrà essere sottoposto alle regole aziendali:
- Al momento dell’accesso i lavoratori potranno essere sottoposti in tempo reale al controllo della temperatura corporea. In caso in cui il rilievo risulti superiore ai 37,5°, non è consentito l’accesso ai luoghi di lavoro.
- Il soggetto che in azienda sviluppi febbre e sintomi da infezione respiratoria, sarà momentaneamente isolato (in base alle disposizioni dell’autorità sanitaria) e l’azienda procederà immediatamente ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-19 forniti dalle Istituzioni.
- Nel caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, nonché nel caso in cui il soggetto/lavoratore comunichi di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19, è necessario garantire la riservatezza e la dignità del lavoratore.
- Analogamente, nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi da infezione respiratoria è necessario assicurare la riservatezza e la dignità dello stesso.

Informazioni in materia di protezione dei dati personali
La rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679).
Il Protocollo suggerisce, altresì, le modalità operative del trattamento dati:
1) rilevare la temperatura e non registrare il dato acquisito.
2) fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 GDPR

Quanto ai contenuti dell’informativa, il Protocollo specifica che:
- con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19,
- con riferimento alla base giuridica potrà essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR;
- con riferimento ai tempi dell’eventuale conservazione dei dati è possibile indicare il termine dello stato d’emergenza.

Il Protocollo ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative.

Con riferimento alla base giuridica, il trattamento di cui sopra rappresenta una esplicita deroga al divieto ex art 9, par. 1, GDPR di trattare le categorie particolari di dati personali – tra le quali i dati relativi alla salute – riconducibile al caso del par. 2, lett. b), dello stesso articolo ove “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.”

Le misure di sicurezza
Il Protocollo di regolamentazione suggerisce, altresì, di definire le misure di sicurezza e organizzative adeguate a proteggere i dati.
In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. Per soggetti preposti si intendono iprofessionisti soggetti al segreto professionale. Il Protocollo infatti specifica che “il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie”.
Quanto alle misure chi effettua i suddetti trattamenti deve sempre operare con riferimento a quanto previsto dal paragrafo 1 dell’art. 25 GDPR in relazione alla pseudonimizzazione dei dati, nonché a tutto quanto previsto dall’art. 32 GDPR.

Sul rilascio della dichiarazione sul rischio epidemiologico
A riguardo è intervenuto il Garante che ha precisato che qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, è lo stesso Protocollo a ricordare di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati.
A tal fine (in conformità al cd. principio di minimizzazione ex art. 5, par. 1, lett. c), GDPR) si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.

Il datore di lavoro e/o l’azienda, pertanto:
– se richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, deve astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva,
– se richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, deve astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.

4) Lo Statement del Comitato Europeo per la protezione dei dati del 16 marzo 2020 GDPR e coronavirus: l’intervento dell’EDPB

In data 16 marzo 2020 la Presidente del Comitato Europeo per la Protezione dei Dati (EDPB) si è espressa, attraverso l’emanazione di uno Statement, su come applicare la normativa sulla protezione dei dati personali nel contesto della crisi legata al coronavirus.
Tale intervento si è reso necessario al fine di tentare di armonizzare le precedenti indicazioni fornite dalle numerose autorità Garanti Europee, che nei giorni si scorsi si sono espresse, in modo spesso discordante, in materia. In primo luogo, l’EDPB ha chiarito che la normativa sulla privacy, non costituisce un limite all’adozione di misure per combattere la pandemia del coronavirus. Anzi sottolinea il Comitato come il proprio il Regolamento Europeo offra svariate basi giuridiche che possono essere utilizzate, in alternativa al consenso, per poter trattare dati personali come misura di contenimento del contagio.

L’EDPB indica in particolare che il trattamento potrebbe essere giustificato se:
a) “necessario per motivi di interesse pubblico nel settore della sanità pubblica”;
b) “necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica”
c) “necessario per adempiere un obbligo legale”

Alla luce di quanto affermato il Comitato sembra essere in linea con i provvedimenti di urgenza che, negli ultimi giorni, potrebbero sembrare, ad un primo sguardo, aver compresso la sfera dei diritti legati alla tutela dei dati personali.
Con l’emanazione dello Statement si può affermare che l’EDPB sembri aperto alla possibilità di consentire alle aziende di raccogliere i dati personali dei propri dipendenti e di altri, compresi i dati sanitari, per prevenire la diffusione del virus, almeno se ciò avviene secondo criteri di proporzionalità e nel rispetto della dignità di ogni individuo.

Alla luce delle normative e delle indicazioni sopra esposte, ed in attesa, di ricevere indicazioni più puntuali, sia a livello nazionale che comunitario, si raccomanda di limitare i trattamenti a quelli ritenuti strettamente necessari, e di effettuarli sempre nel rispetto delle disposizioni della normativa GDPR nonché nel rispetto della dignità umana.

Bologna – 20 giugno 2020

Avv. Chiara Salerno – Studio Legale de Capoa e Associati – Bologna – chiarasalerno@decapoa.com