Le misure imposte a imprese pubbliche e private per il contenimento della diffusione del contagio da Covid-19 previste dalla normativa vigente e dal “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020 e s.m.i., prevedono prescrizioni che comportano il trattamento di dati personali da parte dei datori di lavoro, sia con riferimento a dati relativi al personale dipendente che a eventuali terzi che accedano ai locali aziendali, al fine di garantire la sicurezza dei luoghi di lavoro. Pertanto, con specifico riferimento alle criticità in materia di data protection, il Garante per la protezione dei dati personali è intervenuto per fornire alle imprese indicazioni concrete per un corretto trattamento dei dati personali nell’ambito dell’attuale contesto emergenziale.

IL FATTO

Per far fronte all’attuale contesto emergenziale e consentire la prosecuzione e la ripresa delle attività lavorative, nonché in considerazione dei vari provvedimenti del Governo e di quanto emanato dal Ministero della Salute, in data 14 marzo 2020 è stato adottato un “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” (successivamente modificato in data 24 aprile 2020). Il Protocollo mira a garantire che la prosecuzione dell’attività lavorativa avvenga solo in presenza di condizioni che assicurino adeguati livelli di sicurezza e protezione. Alcune delle misure imposte ai datori di lavoro, comportano un trattamento straordinario di dati personali anche relativi alla salute, di lavoratori e terzi che accedono all’azienda (es. in qualità di fornitori o visitatori). Anche nell’attuale contesto emergenziale, il trattamento dei dati personali, non può prescindere dal rispetto della normativa vigente in materia di data protection, e, in primo luogo, dal rispetto del Regolamento UE 679/2016 e del D.Lgs. 196/2003 e s.m.i.. Il Garante è pertanto intervenuto con alcuni utili chiarimenti in merito alle modalità consentite di trattamento dei dati personali nel contesto dell’emergenza da Covid-19 da parte dei datori di lavoro, pubblicando nel proprio sito web alcune utili FAQ.

Il Protocollo citato prevede la possibilità per il datore di lavoro di procedere al controllo della temperatura corporea del personale e dei terzi in fase di accesso alla sede aziendale, al fine di impedire l’accesso nell’ipotesi in cui la temperatura rilevata risulti superiore ai 37,5°. Il datore di lavoro è tenuto inoltre ad informare preventivamente il personale e eventuali terzi della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’Organizzazione Mondiale della Sanità (OMS). Le attività descritte comportano un trattamento di dati personali che deve essere svolte nel rispetto della normativa vigente.

La rilevazione della temperatura corporea è un adempimento imposto ai datori di lavoro per il contenimento e la gestione dell’emergenza epidemiologica; il Garante ritiene pertanto legittimo che a tale misura siano sottoposti dipendenti, clienti, fornitori e visitatori. In considerazione del fatto che la rilevazione della temperatura corporea rappresenta un trattamento di un dato personale quando è associata all’identità dell’interessato, il Garante ha sottolineato che, nel rispetto del principio di minimizzazione dei dati, non è ammessa la registrazione del dato se non nelle ipotesi in cui la temperatura rilevata superi la soglia di 37.5 ° (stabilita dalla legge). La registrazione del dato è consentita solo per documentare le ragioni che hanno impedito l’accesso del dipendente al luogo di lavoro. In ogni caso, quando l’azienda procede alla rilevazione della temperatura corporea di clienti o visitatori occasionali, non è necessario che il dato sia conservato per giustificare il diniego dell’accesso.

Con riferimento alla possibilità di richiedere ai dipendenti autodichiarazioni relative all’eventuale esposizione al contagio da Covid-19 o alla provenienza da zone a rischio secondo le indicazioni dell’OMS, anche la raccolta di tali informazioni comporta un trattamento di dati personali che esula dall’ordinario trattamento di dati nel contesto dell’attività lavorativa; l’acquisizione di tali informazioni è possibile sia con riferimento a dipendenti che a terzi (es. visitatori o utenti), ma è in ogni caso necessario che le aziende si astengano dal richiedere informazioni aggiuntive (es. in merito alla persona risultata positiva o i luoghi visitati).

Con riferimento al trattamento dei dati personali svolto dal medico competente, il Garante precisa preliminarmente che anche nell’attuale contesto emergenziale permane il divieto di informare il datore di lavoro in merito alle specifiche patologie occorse ai lavoratori. Per favorire il contrasto della diffusione del Covid-19, il medico competente è tenuto a collaborare con gli addetti alla sicurezza interni all’azienda al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, ai sensi del protocollo, a segnalare al datore di lavoro esclusivamente eventuali “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti”. Con riferimento alle comunicazioni consentite all’interno del luogo di lavoro, il Garante precisa che il datore di lavoro non può, in ogni caso, comunicare ai dipendenti l’identità di un dipendente affetto da Covid-19, anche nelle ipotesi in cui i destinatari della comunicazione rivestano il ruolo di rappresentante dei lavoratori per la sicurezza (RLS). Il compito di informare i “contatti stretti” del contagiato, spetta infatti esclusivamente alle autorità sanitarie competenti; pertanto, il datore di lavoro, è tenuto a fornire le informazioni necessarie alle istituzioni competenti e alle autorità sanitarie affinché possano assolvere ai compiti e alle funzioni previste dalla normativa vigente. In ogni caso, la comunicazione di informazioni relative alla salute, può avvenire solo qualora ciò sia previsto da una disposizione normativa o disposto da autorità competenti in base a poteri normativi attribuiti. Infine, con riferimento ai test sierologici, solo il medico competente può stabilire la necessità di particolari esami per i dipendenti, tenuto conto del rischio derivante dal Covid-19 e delle condizioni di salute dei lavoratori; il datore di lavoro non può pertanto, di propria iniziativa e senza specifiche indicazioni da parte del medico competente o delle autorità sanitarie, richiedere ai dipendenti l’effettuazione di test sierologici. Il Garante nelle FAQ precisa inoltre che salvo il caso di espressa previsione di legge, il datore di lavoro non può trattare informazioni relative alla diagnosi o all’anamnesi familiare dei lavoratori (ad esempio mediante consultazione degli esiti degli esami), potendo trattare solo i dati relativi al giudizio di idoneità del dipendente. Anche nelle ipotesi in cui il datore di lavoro offra ai propri dipendenti la possibilità di effettuare test sierologici, il datore di lavoro non ha diritto di conoscere l’esito di tali esami.

PERCHÉ È IMPORTANTE:

Il trattamento di dati personali ulteriori rispetto al trattamento ordinario effettuato dalle aziende per la gestione del rapporto di lavoro e per regolamentare l’accesso e la permanenza presso la sede aziendale, è certamente giustificato dall’attuale contesto emergenziale di contrasto alla diffusione del Covid-19. Tale trattamento di dati personali deve tuttavia essere effettuato in conformità con quanto previsto dalla normativa vigente in materia di protezione dei dati personali. Pertanto, l’intervento del Garante è fondamentale per fare chiarezza e fornire una guida in merito al delicato tema del trattamento dei dati personali nel contesto lavorativo nell’ambito dell’attuale emergenza sanitaria.