Il Garante per la Privacy attraverso agili FAQ fornisce indicazioni per un corretto trattamento dei dati personali negli ambienti di lavoro connessi al contrasto dell’epidemia dalla rilevazione della temperatura corporea, alle autodichiarazioni dei dipendenti, al ruolo del medico competente e alle comunicazioni di dati.
Il Garante per la protezione dei dati personale fornisce attraverso delle specifiche FAQ dei preziosi chiarimenti e indicazioni sui trattamenti di dati negli ambienti di lavoro nel periodo di emergenza COVID e individua misure di garanzia. Le FAQ pubblicate sul sito dell’Autorità, contengono indicazioni di carattere generale ispirate alle risposte fornite e a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo. La FAQ forniscono un preciso orientamento alle imprese alle domande più frequenti es. posso rendere nota l’identità del dipendente affetto da COVID agli altri lavoratori? o al rappresentante dei lavoratori per la sicurezza? Quali sono i trattamenti di dati personali sul luogo di lavoro che coinvolgono il medico competente? Le stesse sono pubblicate anche nella versione inglese al fine di favorire la massima diffusione anche verso i lavoratori stranieri e multinazionali con sede in Italia. Diritto assoluto? Il diritto alla protezione dei dati personali non è un diritto assoluto ma deve contemperarsi con altri diritti es. diritto alla salute e contrasto delle epidemie può essere compresso ma non annullato neanche nel periodo di emergenza. Il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati v. art. 5 Regolamento UE 2016/679 , i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria. Uno dei quesiti più frequenti delle imprese è se sia possibile per il datore di lavoro rendere nota l’identità del dipendente affetto da COVID-19 agli altri lavoratori da parte del datore di lavoro? Il Garante chiarisce che i datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta. Il Garante, inoltre, chiarisce che in relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. Il datore di lavoro non deve, pertanto, rendere nota l’identità dei contagiati agli altri lavoratori. Occorre pertanto evitare fughe di notizie e comunicazioni indiscriminate di dati con danni reputazionali a persone che vivono già momenti di grande sofferenza. La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti. Nel nostro ordinamento non è previsto un obbligo di comunicazione in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo che ha i compiti consultivi, di verifica in materia di sicurezza del lavoro. Vi possono essere inoltre casi in cui sia possibile per alcuni soggetti aziendali es. gli Rls l’identificazione anche indiretta dei soggetti contagiati da COVID, in questi casi il Garante raccomanda il rispetto delle disposizioni in materia di protezione dei dati personali. Il Garante sottolinea come il datore di lavoro ai sensi del paragrafo 12 del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020, sia tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale. Altro quesito frequente nelle imprese il medico competente deve comunicare al datore di lavoro la specifica patologia sofferta dal lavoratore fragile? Il medico competente è una figura strategica nell’ambito dell’emergenza e nella strategia di contrasto e prevenzione del contagio COVID, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al COVID-19. Nello svolgimento dei propri compiti di sorveglianza sanitaria, il medico segnala al datore di lavoro situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti cfr. paragrafo 12 del predetto Protocollo e suggerisce l’impiego in ambiti meno esposti al rischio di infezione. Il medico competente nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente. Il Garante ribadisce che non è necessario che il medico competente comunichi al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore. Molto frequente nelle imprese anche un altro quesito la rilevazione della temperatura costituisce un trattamento di dati personali? Il Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le possibili misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata cfr. Protocollo par. 2 e 3 e nota n. 1 . Il Garante chiarisce che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali art. 4, par. 1, 2 del Regolamento UE 2016/679 . Il Garante raccomanda quando sia necessario per le imprese documentare le ragioni che hanno impedito l’accesso al luogo di lavoro, di registrare, nel rispetto del principio di minimizzazione art. 5, par.1, lett. c del Regolamento cit. , la sola circostanza del superamento della soglia stabilita dalla legge senza riportare il grado della temperatura es. 38/39 di febbre . Il Garante osserva che diversamente nel caso in cui la temperatura corporea venga rilevata a clienti ad esempio, nell’ambito della grande distribuzione o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso. Nella prassi operative alcune aziende ricorrono alla registrazione anche nei confronti degli utenti nell’ottica di tutelare l’amministrazione in possibili contenziosi o reclami per disservizi es. nei rapporti con gli utenti . Autodichiarazioni. Il Garante approfondisce il profilo delle autodichiarazioni e conferma che è possibile ai sensi della nota 1 del paragrafo 2 del protocollo richiedere una dichiarazione anche a terzi es. visitatori e utenti nella quale si attesti che negli ultimi 14 giorni non si abbia avuto contatti con soggetti risultati positivi al COVID-19 o non si provenga da zone a rischio secondo le indicazioni dell’OMS. Il Garante raccomanda in questi casi devono essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata. L’intervento del Garante è prezioso in quanto le imprese devono riavviare le proprie attività nella fase 2 e hanno bisogno di chiarimenti e certezze anche in materia di protezione dei dati personali. L’infodemia informativa ed il diluvio dei provvedimenti di emergenza non aiutano le imprese, le FAQ del Garante sono utili in quanto accompagnano le stesse nelle complesse attività quotidiane e negli adempimenti in materia di sicurezza del lavoro che hanno un forte impatto organizzativo. Aspettiamo presto altre FAQ in materia in relazione alle successive fasi che ci aspettano con possibili focus sui termoscanner , orientamenti sulla conservazione dei dati in emergenza, raccomandazioni su smart working sul modello dei Garante Privacy francese e polacco . In questo complessa situazione emergenziale occorre richiamare l’attenzione degli operatori non solo sulle norme del codice della privacy ma anche sulle norme a protezione della libertà e dignità dei lavoratori previste dallo Statuto dei Lavoratori tra cui il divieto previsto dall’art. 5 di accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Clicca qui per consultare la sezione dedicata al decreto Coronavirus