Coronavirus: new guidelines on containing the spread of the virus adopted

In light of the approval, of the “Shared Protocol for the regulation of measures to combat and contain the spread of the Covid-19 virus in the workplace” (the “Protocol”) on March 14, 2020, we deem necessary to update our previous newsletter having as object the relationship between the autonomous initiatives of employers in order to manage the emergency related to the spread of the COVID-19 virus (“Coronavirus“) and the legislation on the protection of personal data.

IL FATTO:

Il Protocollo contiene delle linee guida oggetto di condivisione con le parti sociali coinvolte per agevolare le imprese nell’adozione di misure di sicurezza idonee a prevenire la diffusione del Coronavirus, imponendo una serie di obblighi e attribuendo una serie di poteri ai datori di lavoro, anche in parziale deroga (o contrasto?) con quanto affermato pochi giorni fa dal Garante per la protezione dei dati personali.

Varie sono le indicazioni operative riportate nel Protocollo, tuttavia ai fini della presente analisi manterremo il focus sulle disposizioni correlate ad aspetti privacy e, in particolar modo, alla possibilità delle società di raccogliere dati relativi alla salute ai fini di regolamentare l’accesso ai locali aziendali.

Infatti, il Protocollo prevede espressamente la possibilità per il datore di lavoro di:

  1. sottoporre il personale al controllo in tempo reale della temperatura corporea;
  2. richiedere ai soggetti in entrata il rilascio di una dichiarazione attestante “la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19”.

Costituendo le operazioni sopra indicate un trattamento di dati personali – peraltro c.d. “sensibili”, in quanto relativi alla salute degli interessati – il Protocollo prevede la necessità di adottare una serie di precauzioni idonee a tutelare i diritti, le libertà e la dignità dei lavoratori, fornendo indicazioni utili ai fini della corretta individuazione della finalità del trattamento e della relativa base giuridica.

In primo luogo, il Protocollo impone il rispetto del principio di minimizzazione dei dati e proporzionalità del trattamento, pertanto:

  • sarà consentito registrare il dato relativo alla temperatura unicamente in caso di superamento della soglia di 37,5° e al solo fine di documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
  • nell’ambito delle dichiarazioni relative a provenienza e assenza di contatti con soggetti contagiati, si dovrà evitare di richiedere informazioni aggiuntive in merito alla persona risultata positiva o alle specificità dei luoghi di provenienza.

In secondo luogo, il datore di lavoro dovrà adempiere in maniera rigorosa agli obblighi informativi previsti dall’art. 13 del Regolamento (UE) 2016/679 (il “GDPR”), mettendo a disposizione degli interessati un’adeguata informativa relativa al trattamento dei dati personali. L’informativa andrà fornita – anche oralmente o mediante affissione in luogo accessibile agli interessati – prima di procedere all’acquisizione del dato relativo alla temperatura e/o alla raccolta delle auto-certificazioni sopra citate. In relazione al contenuto del documento, il Protocollo stabilisce che:

  • con riferimento alla finalità del trattamento, potrà essere indicata la prevenzione dal contagio da COVID-19 (riconducibile all’art. 6, c.1, lett. c) del GDPR).
  • con riferimento alla base giuridica, potrà essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020; e
  • con riferimento alla durata dell’eventuale conservazione dei dati, si potrà far riferimento al termine dello stato d’emergenza”;
  • con riferimento ai destinatari, i dati non potranno essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19”).

Nel quadro sopra delineato non viene (colpevolmente) affrontato il tema il tema della deroga da impiegare per superare il generale divieto al trattamento di categorie particolari di dati personali: in considerazione del fatto che un consenso al trattamento potrebbe non risultare lecito nel caso di specie – anche in considerazione del rapporto tra datore di lavoro e dipendenti – è ragionevole ritenere che il suddetto trattamento possa essere svolto in quanto necessario per motivi di interesse pubblico nel settore della sanità sulla base dell’art. 1, n. 7, lett. d) del D.P.C.M. 11 marzo 2020.

In terzo luogo, il Protocollo invita i datori di lavoro a definire misure di sicurezza organizzative adeguate a proteggere i dati personali acquisiti con le modalità sopra descritte. Nello specifico sarà necessario:

  • individuare e designare i soggetti preposti al trattamento;
  • predisporre e fornire agli incaricati istruzioni specifiche e dettagliate in merito al trattamento dei dati personali;
  • adottare procedure interne idonee a tutelare la salute delle persone presenti all’interno dell’azienda e garantire la salubrità dell’ambiente di lavoro.

Il Titolare del trattamento sarà inoltre tenuto ad aggiornare il proprio registro delle attività di trattamento, integrandolo con gli estremi dei trattamenti in questione.

Infine, il Protocollo suggerisce ai datori di lavoro di assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore a fronte di:

  1. isolamento momentaneo dovuto al superamento della soglia di temperatura;
  2. allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi;
  3. attestazione di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19.

È d’obbligo segnalare che il mancato rispetto degli accorgimenti e delle misure sopra indicate potrà comportare l’illiceità del trattamento dei dati cui esse si riferiscono, esponendo il titolare al rischio delle onerose sanzioni pecuniarie di cui al GDPR.

PERCHÉ È IMPORTANTE:

L’adozione del Protocollo capovolge la prospettiva alla base del comunicato stampa del 2 marzo 2020, con  cui il Garante aveva espresso le proprie considerazioni in merito alle iniziative poste in essere in autonomia da società ed enti pubblici e privati al fine di gestire l’emergenza connessa al diffondersi del Coronavirus: se prima l’invito era quello di astenersi dal trattamento sistematico di informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti, a valle dell’adozione del Protocollo la medesima pratica non solo viene incoraggiata, ma anche ritenuta una misura adeguata a tutelare la sanità pubblica, a condizione che essa avvenga nel rispetto dei limiti imposti dalle linee guida. Un simile approccio, peraltro, si pone in perfetta armonia, con il comunicato stampa del Comitato Europeo per la Protezione dei Dati del 16 marzo 2020 dedicato al trattamento di dati personali nel contesto della pandemia.

Certo, il comunicato del Garante non prevedeva un assoluto divieto di trattamento e invitava comunque ad attenersi in maniera scrupolosa alle regole di sanità pubblica implementate dall’esecutivo, tuttavia non si può non rilevare come un previo coordinamento tra le istituzioni avrebbe forse contribuito a evitare di alimentare una situazione di incertezza in un momento già di per sé caotico.

No Comments
Leave a Reply