La gestione dei dati personali nel periodo della pandemia di Coronavirus e anche nella fase successiva non può prescindere da un rigoroso rispetto delle norme in materia.
Occorre premettere che nella nozione di dato sanitario rientrano tutti i dati che rivelano informazioni sullo stato di salute fisica o mentale passato, presente e futuro della persona interessata. In tal senso anche il test negativo deve ritenersi dato sanitario.
Passaporti vaccinali
L'EDPB e l'EDPS hanno chiarito che per introdurre i cosiddetti "passaporti vaccinali" occorre una legge statale che sia conforme al Regolamento in materia di protezione dei dati personali. In particolare i passaporti non devono portare un nessun modo a discriminazioni dirette o indirette e devono essere in linea con i principi di necessità e proporzionalità. Infine, chiariscono che non è ammissibile la creazione di un database centrale dell'Unione europea e comunque i dati devono essere trattati per il solo periodo della pandemia.
Covid 19 e tutela dei lavoratori
Obblighi per il lavoratore
Il dipendente deve rispettare i seguenti obblighi:
- non lasciare il proprio domicilio nel caso di febbre oltre i 37,5% o altri sintomi influenzali e informare il medico di famiglia e le autorità sanitarie;
- dichiarare tempestivamente al datore di lavoro se sussistono condizioni di potenziale pericolo, quale l'insorgere di sintomi influenzali oppure la provenienza da zone a rischio contagio o dal contatto con persone positive al virus nei 14 giorni precedenti;
- rispettare le condizioni previste dalle autorità e dal datore di lavoro nel lavoro in azienda (misure di distanziamento, ecc...).
Obblighi per il datore di lavoro
E' importante tenere presente i limiti imposti dall’art. 4 dello Statuto dei lavoratori che ammette l’impiego di strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Inoltre, ad eccezione dei casi in cui il controllo avvenga attraverso strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa o strumenti di registrazione degli accessi e delle presenze, lo Statuto impone un previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in mancanza, una preventiva autorizzazione del competente Ispettorato del Lavoro.
La normativa ripartisce i compiti tra il datore di lavoro e il medico competente, laddove il secondo avrà conoscenza delle specifiche patologie dei lavoratori, mentre al datore di lavoro spetta solo di conoscere la valutazione di idoneità al lavoro del lavoratore. Su questa base si inseriscono i nuovi obblighi.
Il datore di lavoro dovrà predisporre le misure di sicurezza anti contagio ai sensi dell'art. 1, n. 7, lett d) del DPCM 11 marzo 2020, tenendo in considerazione il Protocollo condiviso sicurezza sul lavoro contro il rischio Covid-19:
7) In ordine alle attivita' produttive e alle attivita' professionali si raccomanda che:
a) sia attuato il massimo utilizzo da parte delle imprese di modalita' di lavoro agile per le attivita' che possono essere svolte al proprio domicilio o in modalita' a distanza;
b) siano incentivate le ferie e i congedi retribuiti per i dipendenti nonche' gli altri strumenti previsti dalla contrattazione collettiva;
c) siano sospese le attivita' dei reparti aziendali non indispensabili alla produzione;
d) assumano protocolli di sicurezza anti-contagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, con adozione di strumenti di protezione individuale;
e) siano incentivate le operazioni di sanificazione dei luoghi di lavoro, anche utilizzando a tal fine forme di ammortizzatori sociali;
8) per le sole attivita' produttive si raccomanda altresi' che siano limitati al massimo gli spostamenti all'interno dei siti e contingentato l'accesso agli spazi comuni;
9) in relazione a quanto disposto nell'ambito dei numeri 7 e 8 si favoriscono, limitatamente alle attivita' produttive, intese tra organizzazioni datoriali e sindacali.
10) Per tutte le attivita' non sospese si invita al massimo utilizzo delle modalita' di lavoro agile.
La finalità del nuovo trattamento è individuata nella prevenzione dal contagio da Covid 19, la base giuridica è l'implementazione dei protocolli di sicurezza anti contagio. Per il termine di conservazione dei dati occorre fare riferimento al termine dello stato di emergenza, salvo gli obblighi ulteriori (es. tutela dei diritti in sede giudiziaria).
Il datore di lavoro ha il dovere di comunicare all’autorità sanitaria (ma non al Rappresentante dei lavoratori per la sicurezza o agli altri colleghi) i nominativi dei dipendenti contagiati, collaborando così alla ricostruzione della catena dei contagi e all’adozione delle misure di profilassi opportune.
L'azienda dovrà fornire l'informativa (eventualmente anche oralmente) relativamente ai trattamenti operati sui dati personali del dipendente, con particolare attenzione a quelli correlati al virus. La finalità è la prevenzione dal contagio da COVID-19, la base giuridica l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR, tempi di conservazione la fine dello stato di emergenza. L'azienda dovrà integrare il registro dei trattamenti con i nuovi trattamenti, eventualmente redigendo una valutazione di impatto (DPIA) ogni qual volta il trattamento prospetti un rischio elevato (riguardando dati “particolari”, svolgendosi su larga scala, utilizzando tecnologie innovative).
L'ingresso in azienda di dipendenti risultati positivi al virus può avvenire solo dopo una certificazione medica da cui risulta che il dipendente è risultato negativo al tampone.
Il datore di lavoro potrà attivare misure di rilevamento della temperatura del dipendente (dato personale sanitario), al fine di garantire la sicurezza sul lavoro dei suoi dipendenti. In tal caso la misurazione deve essere realizzata in modo da garantire la riservatezza e la dignità del lavoratore. In particolare spetta al medico competente e agli operatori sanitari svolgere tali compiti od eventualmente suggerire misure di sicurezza e contenimento (es. test sierologici). Il rilevamento della temperatura senza registrazione non è considerato trattamento di dati personali (vedi Comunitato Garante Privacy Belgio del 5 giugno 2020), ma l'uso di strumenti automatizzati consiste in un trattamento (vedi più avanti: Termoscanner). Se il lavoratore dovesse avere una temperatura superiore alla soglia consentite (37,5%) potrà essergli impedito l'accesso ai locali dell'azienda fino a quando non otterrà una certificazione medica di negatività al virus. Il dato "temperatura" (che da solo è insufficiente a ritenere il dipendente infetto) potrà essere registrato solo nel caso in cui superi la soglia prevista e senza indicazione della temperatura (sarà indicato: "superata soglia", solo ai fini di documentare il motivo dell'impedimento dell'ingresso al lavoro).
Ugualmente in caso di dichiarazioni del dipendente occorre registrare solo i dati strettamente necessari e minimizzati. Quindi in caso di dichiarazione di provenienza di zone a rischio non andrà indicata la zona, in caso di dichiarazioni di contatto con soggetti a rischio non vanno indicati i nominativi dei soggetti. Ulteriori informazioni saranno fornite direttamente dal lavoratore alle sole autorità sanitarie.
Tali dati sono trattati solo per le finalità di prevenzione del contagio (sicurezza dei lavoratori) e non per altri motivi. Quindi non possono essere comunicati a terzi, salvo il medico competente e le autorità sanitarie. Il datore di lavoro deve garantire la sicurezza dei dati, designando i soggetti deputati al trattamento (professionisti soggetti al segreto professionale) e le misure di sicurezza per la tutela dei dati.
Allo stato il datore di lavoro non può imporre App di contact tracing digitale all'interno dell'azienda.
Il medico competente
Tra i nuovi obblighi previsti dalle norme emanate a seguito dell'emergenza vi è il nuovo ruolo del medico competente nell'attuazione delle misure di prevenzione.
Il medico compentente assume il ruolo di titolare del trattamento dei dati personali sanitari e di responsabile esterno (autorizzato se dipendente interno) quale libero professionista in relazione ai dati comuni dei lavoratori. Questo perché, come dicevamo sopra, non spetta al datore di lavoro assumere quei trattamenti specifici del medico competente (la prevenzione di un'epidemia), e occorre fare attenzione che il datore di lavoro non sconfini in attività che non gli sono proprie, improvvisando trattamenti non leciti.
La nuova normativa prevede che il medico compentente debba segnalare all'azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti. In sostanza il medico competente indicherà al datore di lavoro che è preferibile inserire alcuni specifici lavoratori in mansioni differenti a causa delle loro patologie, senza indicare però tali patologie. In tal caso, quindi, anche il datore di lavoro viene a conoscenza di dati che prima erano riservati al medico compentente. Di conseguenza il medico competente dovrebbe assumere il ruolo di contitolare del trattamento, con riferimento ai dati sanitari, visto che almeno parzialmente il datore di lavoro dovrà essere coinvolto nella scelta dei mezzi per la tutela dei dati trattati, nonché delle misure protettive per la sicurezza dei lavoratori. In ogni caso è il medico competente abilitato a conoscere le eventuali patologie del lavoratore, mentre il datore di lavoro è legittimato a conoscere solo la valutazione finale sull'idoneità sanitaria del lavoratore.
Test sierologici
L'autorità di controllo italiana ha chiarito che spetta al medico competente (o altro professionista sanitario) in base alle norme relative all'emergenza epidemiologica stabilire le eventuali esami clinici e biologici da adottare, come ad esempio i test sierologici. Non è compito del datore di lavoro, al quale è vietato effettuare direttamente esami diagnostici sui dipendenti.
Termoscanner
La misurazione della temperatura con strumenti automatizzati costituisce sicuramente trattamento dei dati. La base giuridica per tale attività non può essere il consenso del dipendente, in quanto tale base giuridica è difficilmente configurabile in tutti i suoi requisiti nell'ambito dell'attività di lavoro, potendo i lavoratori sentirsi sotto pressione e non essere, conseguentemente, liberi nell’esprimere la propria volontà al trattamento dei propri dati. La base giuridica non può che consistere in una specifica disposizione contenuta in un atto legislativo o nella contrattazione collettiva.
A tal proposito il legislatore italiano è intervenuto con due provvedimenti normativi (Decreto legge 16 maggio 2020 n. 33 - art. 1 co. 14 - e Dpcm 17 maggio 2020) consentendo di riferirsi ai protocolli anti-contagio e alle prescrizioni in essi contenute (tra le quali le attività volte a disciplinare l'ingresso in azienda) come base giuridica (implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR) per la misurazione automatizzata o semi automatizzata della temperatura. Ovviamente occorre porre in essere le misure di sicurezza adeguate per la protezione dei dati e eventualmente predisporre una DPIA.
Nel caso in cui l'utilizzo del termoscanner (colonnina fissa) non sia tramite operatore, e non vi siano impedimenti all'ingresso del locale, non vi è trattamento di dati ai sensi del GDPR. Il salvataggio dei dati raccolti in un file, invece, è sufficiente per attivare l'applicazione del GDPR al trattamento. Ugualmente se l'elaborazione è automatizzata in tutto o in parte, anche se la semplice rilevazione della temperatura tramite un dispositivo elettronico non può essere considerata automatizzata perché si limita alla misura di una variabile quantificata. La segnalazione di una deviazione della media, che presuppone che i dati misurati siano confrontati con uno standard di riferimento per dare luogo alla segnalazione di eventuale deviazione dallo standard (es. il termoscanner segnala un codice colore) determina un trattamento automatizzato. Anche la gestione del termoscanner da parte di un operatore che è in grado di vedere l'interessato (l'identità è nota o può esserlo prima dell'elaborazione) assoggetta il trattamento al GDPR (vedi Consiglio di Stato francese, 20 giugno 2020).
Perché un trattamento sia soggetto al GDPR occorre che il dato sia personale, cioè la persona possa essere identificata o identificabile. E' importante notare che l'identificabilità dipende dal contesto, e quindi occorre tenere in considerazione tutti i mezzi suscsttibili di essere usati dal titolare o suo incaricato per identificare la persona fisica. Quindi se dal trattamento la persona è conoscibile il trattamento è soggetto al GDPR anche se i dati raccolti in quel momento non sono sufficienti all'identificazione.
Covid 19 e attività produttive
Le "Linee guida per la riapertura delle Attività Economiche, Produttive e Ricreative" allegate al DPCM 14 luglio 2020 prevedono per i settori di attività indicati la mera facoltà (non l'obbligo) degli esercenti di rilevare la temperatura e, nel caso di temperatura superiore a 37,5 °C di impedire l'accesso ai locali. Possibilmente dovrebbe essere rilevata solo la temperatura ma non richiesti anche altri dati identificativi.