Garante privacy: COVID-19 – il trattamento dei dati nel contesto lavorativo
Il Garante per la protezione dei dati personali ha aggiornato alcune Faq relative al trattamento dei dati nel contesto lavorativo (pubblico e privato) nell’ambito dell’emergenza sanitaria.
Queste le Faq pubblicate:
1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendenteo di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?
Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020.
In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).
Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.
In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.
2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID-19 quale condizione per l’accesso alla sede di lavoro?
In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.
Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.
3. E’ possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?
Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.
Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.
Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?
In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.
Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020).
Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo).
Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.
In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.
4. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?
I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.
In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
Il Rappresentante dei lavoratori per la sicurezza, proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).
Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.
Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?
No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.
Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).
La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).
Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).
Il datore di lavoro può richiedere l’effettuazione di test sierologici ai propri dipendenti?
Si, ma solo se disposta dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.
Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020).
Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.
Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.
Resta fermo che i lavoratori possono liberamente aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19, di cui siano venuti a conoscenza anche per il tramite del datore di lavoro, coinvolto dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti (cfr. FAQ n. 10 – Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria).
I datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame.
Il datore di lavoro può trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi?
Sebbene, di regola, i dati personali relativi alle specifiche patologie di cui sono affetti i lavoratori possano essere trattati solo da professionisti sanitari (es. medici di base, specialisti, medico competente) e non anche dal datore di lavoro, quest’ultimo, in taluni casi, nel contesto dell’attuale emergenza epidemiologica, può lecitamente venire a conoscenza dell’identità del dipendente affetto da Covid-19 o che presenta sintomi compatibili con il virus.
Ciò, in particolare, può verificarsi quando ne venga informato direttamente dal dipendente, sul quale grava l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Coerentemente il Protocollo condiviso tra il Governo e Parti sociali aggiornato il 24 aprile 2020, la cui osservanza è prescritta dalla normativa dell’emergenza, prevede specifici obblighi informativi del lavoratore in favore del datore di lavoro laddove sussistano condizioni di pericolo, come i sintomi influenzali (si vedano anche gli analoghi protocolli stilati in ambito pubblico e quelli relativi a specifici settori, quali cantieri, trasporti e logistica); ciò anche quando tali sintomi si manifestino all’ingresso della sede di lavoro o durante la prestazione lavorativa (cfr. Protocollo condiviso, es. parr. 1, 2 e 11). A tal fine, il datore di lavoro può quindi invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati, tenendo conto del proprio generale obbligo di tutelare l’integrità fisica dei prestatori di lavoro, ai sensi dell’art. 2087 c.c. e del d.lgs. 81/2008 (cfr., anche FAQ n. 2).
Il datore di lavoro potrebbe, inoltre, venire a conoscenza dello stato di positività al Covid-19 accertato dalle autorità sanitarie a seguito dell’effettuazione di un tampone oro/nasofaringeo, nell’ambito della collaborazione che è tenuto a prestare a tali autorità, anche con il coinvolgimento del medico competente, per la ricostruzione degli eventuali contatti stretti con altre persone nel contesto lavorativo (cfr. par. 11 del Protocollo del 24 aprile 2020).
Il datore di lavoro può, altresì, conoscere lo stato di avvenuta negativizzazione del tampone oro/nasofaringeo, ai fini della riammissione sul luogo di lavoro dei lavoratori già risultati positivi all’infezione da Covid-19, secondo le modalità previste e la documentazione rilasciata dal dipartimento di prevenzione territoriale di competenza (cfr. par. 2 e 12 del Protocollo del 24 aprile 2020).
In questi casi, dunque, il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore per la finalità di salute e sicurezza dei luoghi di lavoro o per adempire agli obblighi di collaborazione con gli operatori di sanità pubblica.
Al di fuori dei casi normativamente previsti, il datore di lavoro non può, invece, trattare dati sulla salute del lavoratore e comunicare gli stessi a soggetti terzi (cfr. FAQ nn. 5, 6).
In base alle norme in materia di sorveglianza sanitaria, non derogate da quelle dell’emergenza, il datore di lavoro non può, inoltre, conoscere l’esito degli esami diagnostici disposti dal medico competente, tra i quali anche i test sierologici, che non consentono, peraltro, di diagnosticare l’infezione (cfr. FAQ n. 7).
Resta fermo che, ove all’esito del test sierologico sia disposta l’effettuazione di un tampone che attesti la positività al virus, il datore di lavoro potrà conoscere, oltre alla valutazione del medico competente in merito all’inidoneità al servizio, anche l’identità del dipendente nei casi sopra esplicitati (cfr. Protocollo condiviso, parr. 1, 2, 11 e 12), di seguito riepilogati.
Alla luce del quadro normativo vigente, il datore di lavoro può quindi trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi e può conoscere la condizione di positività al Covid-19:
– quando ne venga informato direttamente dal lavoratore; o
– nei limiti in cui sia necessario al fine di prestare la collaborazione all’autorità sanitaria; o
– ai fini della riammissione sul luogo di lavoro del lavoratore già risultato positivo all’infezione da Covid-19.
Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?
La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.
Al fine di contenere il rischio di contagio sul luogo di lavoro sono disponibili applicativi che non trattano dati personali?
Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.
Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione). In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.
Tutte le FAQ
Fonte: Garante per la protezione dei dati personali