NEWSALERT – COVID-19 – PROTOCOLLO DI REGOLAMENTAZIONE MISURE E CONTENIMENTO VIRUS

NEWSALERT – COVID-19 – PROTOCOLLO CONDIVISO DI REGOLAMENTAZIONE DELLE MISURE PER IL CONTRASTO E IL CONTENIMENTO DELLA DIFFUSIONE DEL VIRUS COVID-19 NEGLI AMBIENTI DI LAVORO

APPROFONDIMENTO: “Alcune implicazioni del Protocollo del 14 marzo 2020 per la privacy e la protezione dei dati personali”
L’oramai noto “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, sottoscritto sabato 14 marzo 2020 dalle parti sociali CGIL, CISL e UIL e dal Governo, ha individuato alcuni dispositivi operativi – definite “misure di precauzione” – che le imprese debbono adottare, all’interno dei luoghi di lavoro, al fine di incrementare l’efficacia delle tecniche di contenimento adottate per contrastare la diffusione del virus Covid-19.

Talune misure risultano di particolare rilievo per l’impatto che la loro attuazione ha – e continuerà ad avere – sul diritto alla privacy delle persone che si trovano ad accedere ai locali in cui si svolge l’attività produttiva.

Difatti, l’implementazione di taluni dispositivi richiede necessariamente l’effettuazione di operazioni di trattamento di dati personali da parte del datore di lavoro, il quale assumerà il ruolo di titolare del trattamento e dovrà sottostare agli obblighi ed alle responsabilità ad esso ricollegati dalla vigente normativa di matrice europea.

oooOooo

L’art. 2 prevede, in particolare, la possibilità (apparentemente, non l’obbligo) di sottoporre il personale dipendente ed i fornitori che intendano accedere al luogo di lavoro alla misurazione della temperatura corporea, al fine di verificare il superamento della nota soglia dei 37,5° oltre la quale dev’essere precluso l’accesso.

Come precisa il Protocollo, quest’operazione – consistendo nella raccolta di un’informazione riferibile ad una persona fisica identificabile, e peraltro relativa al suo stato di salute – costituisce un trattamento di dati personali, che può trovare fondamento giuridico non nel consenso dell’interessato, bensì nell’effettiva necessità (ove riscontrabile) di implementare i protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (e cioè, secondo le prime interpretazioni, nella necessità del trattamento per rilevanti motivi di interesse pubblico o per adempiere agli obblighi del titolare in materia di diritto del lavoro). Considerazioni analoghe appaiono valere per l’autodichiarazione attestante la non provenienza da zone a rischio epidemiologico e l’assenza di contatti, nelle due settimane precedenti l’accesso in azienda, con soggetti risultati positivi al COVID-19.

I dati così rilevati possono essere trattati ed utilizzati (e conservati fino al termine dello stato di emergenza, suggerisce il Protocollo) esclusivamente per finalità di prevenzione del contagio da COVID-19 – principalmente, cioè, per permettere o negare l’accesso al luogo di lavoro – e non per altri scopi con ciò incompatibili. Un discorso diverso potrebbe forse, invece, farsi per i dati contenuti in autodichiarazioni rivelatesi mendaci, oppure rispetto all’informazione rappresentata dal rifiuto di sottoporsi alle operazioni di rilevamento.

In chiave operativa, il Protocollo suggerisce di “rilevare a temperatura” e di non registrare il dato acquisito, procedendo ad identificare l’interessato e registrare l’innalzamento della soglia registrato soltanto ove ciò sia necessario a dimostrare le ragioni che hanno impedito l’accesso ai locali aziendali. L’autodichiarazione dovrà, invece, essere predisposta in modo da permettere la raccolta delle sole informazioni realmente necessarie, adeguati e pertinenti rispetto alla finalità di prevenzione perseguita; in via esemplificativa, il Protocollo invita ad astenersi dal richiedere informazioni aggiuntive in merito alle persona risultate positive con le quali il dichiarante può essere entrato in contatto oppure alle specificità dei luoghi a rischio epidemiologico dai quali il dichiarante può eventualmente provenire.

In entrambe le ipotesi, il datore di lavoro dovrà necessariamente fornire, prima della consegna dei moduli per l’autodichiarazione e delle operazioni di rilevamento, un’apposita informativa sul trattamento dei dati personali, che potrà anche integrare quella già consegnata al dipendente (o al fornitore) nel corso del rapporto professionale e che specifichi le conseguenze del rifiuto di fornire i dati personali richiesti.

Va però valutata con attenzione la possibilità – pur suggerita dallo stesso Protocollo – di impartire l’informativa oralmente: la normativa europea prevede, in linea generale, che a tale modalità possa farsi ricorso soltanto se richiesta dall’interessato, e purché il titolare del trattamento sia in grado di comprovarne con altri mezzi l’identità. Appare pertanto prudente predisporre un’apposita informativa scritta (che non va confusa con quella prevista dall’art. 1) e porsi, in ogni caso, nella condizione di dimostrare a posteriori l’avvenuto adempimento dell’obbligo in discorso, coerentemente con il principio di responsabilizzazione.

Particolare attenzione va poi posta alla definizione di misure tecniche ed organizzative a presidio della sicurezza dei dati personali così raccolti, considerata la loro particolare delicatezza. Un ruolo chiave, in tale quadro, lo gioca la formazione specifica del personale incaricato delle operazioni di trattamento (incluso l’ufficio del personale, alla luce di quanto previsto dall’articolo 11), ed il rigoroso rispetto del divieto di divulgare o di comunicare a terzi le informazioni rilevate al di fuori dei casi specificamente previsti dalla legge. Infine, particolare attenzione dovrà essere prestata nel proteggere la dignità e la riservatezza del personale del quale sia rilevato il superamento della nota soglia di temperatura; le misure adottate a tal fine (applicabili, in linea di principio, anche ai lavoratori positivi al COVID-19) appaiono tanto più rilevanti qualora i successivi esami clinici consentano di attribuire tale condizione ad una patologia diversa e non riconducibile al nuovo coronavirus.

oooOooo

Infine, merita un rapido cenno la previsione dell’obbligo, in capo al medico competente, di segnalare all’azienda le “situazioni di particolare fragilità” e le patologie attuali o pregresse dei dipendenti, ed il conseguente onere dell’azienda di provvedere alla loro tutela “nel rispetto della privacy”.

Dott. Valerio Laganà
v.lagana@nexumlegal.it
NexumLegal – Dipartimento Data Protection & Privacy
Dipartimento di Diritto del Lavoro

NEWSALERT – COVID-19 – PROTOCOLLO DI REGOLAMENTAZIONE MISURE E CONTENIMENTO VIRUS

Tribunale di Belluno: legittimo imporre le ferie al personale sanitario che rifiuta di sottoporsi al vaccino anti-COVID 19

Vaccinazioni anti Covid-19, rapporto di lavoro e privacy: le prime indicazioni del Garante per la Protezione dei Dati Personali

Licenziamento per sopravvenuta inidoneità: la Cassazione enuncia le condizioni

Blocco Sfratti: interrogativi sulla legittimità costituzionale del Milleproroghe

Covid-19: se è impossibile liberare l’immobile promesso in vendita per il blocco degli sfratti l’inadempimento del promittente venditore è incolpevole

Articoli Recenti