La sicurezza dei dati personali dei lavoratori durante l’emergenza COVID-19
Urbino, 9 Ott – La normativa in materia di contenimento e gestione dell’emergenza COVID-19 “ha inciso non solo sull’acquisizione, ma anche sul trattamento dei dati privati dei cittadini”. E per quanto riguarda, in particolare, i rapporti di lavoro, “tenendo conto della necessità di adottare misure relative alla sicurezza nell’ambiente di lavoro nella fase 2 della riapertura delle attività produttive in Italia, si è reso necessaria la conoscenza di alcuni dati sulla salute dei dipendenti”. Dati che devono essere “adeguatamente protetti dai datori di lavoro”.
Se da un lato si discute sulla “fornitura di dati sanitari relativi al monitoraggio dei contagi”, sull’incrocio delle “informazioni ai fini dello studio epidemiologico”, sulla “corretta comunicazione tra enti pubblici e privati dei dati di persone positive al COVID-19”, dall’altro ci sono “ripercussioni organizzative e tecniche legate alla esigenza di eseguire questo trattamento di dati personali, garantendo la conformità alla normativa”.
A proporre utili riflessioni sul delicato tema del trattamento dei dati dei lavoratori è un contributo pubblicato sul numero 2-2020 del “Diritto della sicurezza sul lavoro”, rivista dell'Osservatorio Olympus e pubblicazione semestrale dell' Università degli Studi di Urbino.
Lo studio – dal titolo “Sicurezza dei dati personali dei lavoratori nella fase 2 della emergenza COVID-19 in Italia” e a cura di Camilla Martins dos Santos Benevides (avvocata in Brasile e dottoranda di ricerca in “Autonomia privata, impresa, lavoro e tutela dei diritti nella prospettiva europea ed internazionale - Curriculum di Diritto del Lavoro” alla Università Sapienza) – permette anche un confronto tra le norme europee e italiane relative alla privacy e le misure adottate per fronteggiare il COVID-19 sui luoghi di lavoro, con particolare riferimento al Regolamento generale per la protezione dei dati personali n. 2016/679 (GDPR - General Data Protection Regulation).
Nell’articolo ci soffermiamo sui seguenti argomenti:
- Il trattamento dei dati relativi alla salute dei lavoratori
- Il regolamento europeo e gli interessi generali prevalenti
- I datori di lavoro, il trattamento dei dati e la comunicazione
Il trattamento dei dati relativi alla salute dei lavoratori
Il contributo dopo aver offerto alcuni cenni sulla normativa sulla protezione dei dati personali dei lavoratori nella Europa ed in Italia riporta alcune informazioni sui dati relativi alla salute dei lavoratori in relazione all’emergenza COVID-19.
Si segnala che il decreto-legge 17 marzo 2020, n. 18, come “aggiornato dalla legge 24 aprile 2020, n. 27, disciplina le misure di potenziamento del servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica COVID-19”. In particolare l’articolo 17-bis fissa le condizioni per il trattamento dei dati sanitari dei cittadini nel contesto emergenziale: “la comunicazione dei dati personali a soggetti pubblici e privati, dei dati previsti dagli articoli 9 e 10 del GDPR (compresi i dati di salute – l’articolo 9, lettera ‘H), è effettuata nei casi in cui risultino indispensabili ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto”.
Inoltre il Protocollo condiviso Confindustria/Sindacati introduce alcune “disposizioni in materia di trattamento personale dei lavoratori da parte dei datori di lavoro”.
Una disposizione descrive che, “prima dell’accesso al luogo di lavoro il lavoratore potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy”.
Si chiarisce che “la temperatura non va registrata ma, in caso di superamento, non sarà possibile l’ingresso nelle ditte ed il nominativo potrà essere inserito in un registro. Si deve anche fornire l’informativa sul trattamento dei dati personali”.
Quanto poi ai contenuti dell’informativa – continua l’autrice – “con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio” ai sensi della normativa vigente.
Con riferimento poi alla durata dell’eventuale conservazione dei dati “si può far riferimento al termine dello stato d’emergenza” e i dati “possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative”.
Inoltre il datore di lavoro “dovrà informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione all’accesso per chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19. Qualora si richieda il rilascio di una dichiarazione attestante tali situazioni, dovrà essere osservato la disciplina sul trattamento dei dati personali. A tal fine, si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19”.
Il regolamento europeo e gli interessi generali prevalenti
Si indica poi che sui dati personali dei lavoratori il Statement 1/2020 (Adopted on 19 March 2020) relativo al Comitato europeo per la protezione dei dati “ha spiegato che le norme sulla protezione dei dati (come il GDPR) non impediscono le misure adottate nella lotta contro la pandemia di coronavirus: un datore di lavoro “può rivelare che un dipendente è stato infettato con COVID-19 ai suoi colleghi o agli estranei”, ma non si devono comunicare “più informazioni del necessario”.
Si ricorda che l’articolo 23, comma 1, ed il considerando n. 4 del GDPR introducono delle “possibili limitazioni all’applicazione dei principi in materia di protezione dei dati personali, qualora necessarie per tutelare interessi generali valutati come prevalenti, nel rispetto dei principi di proporzionalità, necessità, sicurezza e qualora rivolti al perseguimento di scopi di interesse generale riconosciuti dall’U.E. o legati alla necessità di proteggere diritti e libertà altrui”. Inoltre in virtù dell’articolo 6.1 lettera “E” del GDPR, “i trattamenti risultano leciti qualora ‘necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento’. Dunque il GDPR “non pone ostacoli insormontabili all’analisi dei dati”: “i confini di liceità posti dalla normativa in tema di data protection sono, dunque, costituiti da barriere mobili il cui esatto posizionamento dipende della finalità perseguita”.
I datori di lavoro, il trattamento dei dati e la comunicazione
Considerando che i trattamenti dei dati possono essere eseguiti “se correlati a un interesse legittimo (come la protezione della salute e dell’ambiente di lavoro) e la situazione di emergenza sanitaria causata dal COVID-19, resta inteso che è possibile ai datori di lavoro trattare i dati sanitari dei dipendenti”.
Si sottolinea che il trattamento di questi dati deve essere effettuato “da una persona fisica, designata dal datore di lavoro come ‘incaricato di trattamento’”.
Per quanto riguarda poi la comunicazione o la diffusione di dati sanitari da dipendenti a terzi, “si ribadisce che esiste una differenza tra comunicazione e diffusione”: “la diffusione in tutti i casi è vietata. La comunicazione può essere effettuata limitatamente a colleghi o enti pubblici, solo a fini di sicurezza e riduzione della diffusione del COVID-19”.
Ad esempio il nome dell’impiegato con il virus “può essere comunicato al collega che ha tenuto contatto fisico con il lavoratore malato, in modo che vengano eseguite misure relative alla sicurezza del collega (ovvero, in modo di verificare si è successa la trasmissione della malattia). Ulteriori dati non necessari per la sicurezza della salute dei colleghi e dell’ambiente di lavoro, come il tempo di congedo per malattia, lo stato di salute attuale del lavoratore, il luogo in cui è successa la contaminazione (se di conoscenza dell’azienda), non dovrebbero essere comunicati”.
E la comunicazione “deve essere in modo sicuro, ovvero di modo da non consentire l’inoltro di comunicazioni a terzi o consentire la diffusione dei dati, rispettando la dignità dei lavoratori”.
Non bisogna poi dimenticare, anche con riferimento a quanto richiesto dall’articolo 2087 del Codice Civile, che in relazione alla responsabilità civile e penale del datore di lavoro per la sicurezza dell’ambiente di lavoro e dei lavoratori, “se un dipendente malato entra nel posto di lavoro, consentendo di conseguenza la trasmissione della malattia ad altri dipendenti, è necessario adottare misure di sicurezza al fine di fermare la diffusione della malattia, nonché per mantenere la sicurezza dell’ambiente di lavoro. Questa responsabilità del datore di lavoro genera il legittimo interesse a rendere il trattamento dei dati privati sulla salute e, eccezionalmente, a comunicare a terzi, che devono essere informati dei dati, al fine di fermare la catena di contaminazione”.
In definitiva, conclude il contributo, i dati dei lavoratori “sono protetti in termini di accesso e utilizzo, sia a livello di comunità europea sia in base alla legislazione nazionale italiana”. E in particolare, sui dati sanitari, “sebbene in generale non debbano essere trattati, esistono misure eccezionali che ne autorizzano il trattamento, a fini preventivi o di sicurezza nell’ambiente di lavoro”.
Infatti l’emergenza COVID-19 e la fase della riapertura dell’attività produttive in Italia comportano la necessità di “applicare misure eccezionali nell’ambiente di lavoro, al fine di ridurre la diffusione del virus e garantire la sicurezza dei lavoratori. Tra le misure, vi è assicurata la possibilità di trattare i dati sulla salute dei prestatori, tenendo conto dei principi generali del GDPR” e delle finalità stabilite nel protocollo condiviso del 24 aprile 2020, “ribadendo l’obbligo di fornire informazioni chiare al dipendente sull’uso dei loro dati”.
Scarica il documento da cui è tratto l'articolo:
Università di Urbino Carlo Bo, Osservatorio Olympus, Diritto della sicurezza sul lavoro, “ Sicurezza dei dati personali dei lavoratori nella fase 2 della emergenza COVID-19 in Italia”, a cura di Camilla Martins dos Santos Benevides - avvocata in Brasile e dottoranda di ricerca in “Autonomia privata, impresa, lavoro e tutela dei diritti nella prospettiva europea ed internazionale - Curriculum di Diritto del Lavoro” alla Università Sapienza (formato PDF, 409 kB).
Scarica la normativa di riferimento in materia COVID-19:
DECRETO-LEGGE n. 104 del 14 agosto 2020 - Misure urgenti per il sostegno e il rilancio dell'economia.
Leggi gli altri articoli di PuntoSicuro sul nuovo coronavirus Sars-CoV-2
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.
Pubblica un commento
Rispondi Autore: SebPlutino - likes: 0 | 09/10/2020 (08:43:50) |
Mi spiace ma non concordo con questa lettura che predilige il rispetto di un diritto (quello sulla salute) rispetto agli altri diritti fondamentali che sono tutti equipossenti secondo la costituzione e secondo la carta dei diritti fondamentali. Il datore di lavoro, poichè si in presenza di un rischio generalizzato e non specifico, protegge il proprio bene più grande (la sua forza lavoro) definendo, gestendo ed applicando i protocolli COVID che deve stilare per le proprie attività. Secondo me non può invocare il legittimo interesse per diffondere dati su un positivo (se anche ne venisse a conoscenza ... vedi faq autorità garante sul contesto lavorativo che impediscono la conoscenza, se non in specifici casi, e la comunicazione dell'informazione) perchè il suo legittimo interesse è tutelare la realtà produttiva nel suo insieme. Il datore di lavoro non è tenuto a conoscere lo stato di positività di un suo dipendente anche per evitare uno stigma interno che porti ad un blocco non necessario della realtà produttiva. La più grande proattività del datore di lavoro è attivare il Medico Competente per gestire il corretto impatto, oltre ovviamente a dare la massima disponibilità verso le iniziative dell'autorità sanitaria. Ricordo per finire che anche i protocolli condivisi parlano sempre di "sintomatico" proprio per evitare stigmi e razzismi interni verso chi porta sintomi che possono essere riconducibili anche ad altre patologie e il cui discrimine può essere fatto solo da un'autorità sanitaria o da un medico. |
Rispondi Autore: Wolf - likes: 0 | 09/10/2020 (09:12:22) |
Concordo con SebPlutino. Il Garante si è già espresso e non mi pare abbia concesso (per fortuna) così tante 'libertà' al DL come invece riportato nell'articolo. |
Rispondi Autore: Mauro Pisani - likes: 0 | 20/11/2020 (11:02:24) |
Anch'io sono rimasto un po' perplesso su qualche conclusione dell'articolo. |