Emergenza Coronavirus: se e in che misura è legittimo implementare procedure di accesso in azienda che contemplino il controllo della temperatura corporea

| 25/03/2020 15:52


Massimo Maioletti Partner - Head of Data Protection EVERSHEDS SUTHERLAND

L'attuale stato emergenziale e la necessità per le imprese di porre in essere misure atte a prevenire la diffusione del Coronavirus sui luoghi di lavoro, ha posto le medesime, nel corso dell'ultimo mese, di fronte a interrogativi su cosa fosse consentito o meno al fine di evitare di agire in difformità rispetto alla normativa in materia di protezione dei dati personali.


Le imprese si sono infatti trovate a dover valutare cosa fosse dovuto ai sensi della normativa in materia di salute e sicurezza sul lavoro – spesso spinte dai lavoratori stessi, preoccupati di lavorare in ambienti a rischio di contagio, a implementare procedure anche invasive della loro sfera personale - e cosa invece fosse impedito al fine di non contravvenire agli obblighi in materia di privacy. Tutto questo in un quadro normativo complesso e spesso, nell'ambito di realtà multinazionali, difforme da Stato a Stato.


Senza voler, in questa sede, esprimere valutazioni di carattere generale su quello che dovrebbe essere l'esito di un bilanciamento dei diritti fondamentali, rispettivamente alla salute e alla privacy – tema questo sul quale è in corso un animato dibattito giuridico innescato dalla gestione dei dati in un momento emergenziale senza precedenti - vediamo cosa e su quali basi sia consentito porre in essere misure di regolazione degli accessi in azienda al fine di prevenire la diffusione del contagio e garantire la sicurezza e salute nei luoghi di lavoro nel rispetto della la normativa privacy.


Innanzitutto, in data 2 marzo 2020, in risposta alle numerose richieste di soggetti pubblici e privati in merito alla possibilità di raccogliere informazioni e dati di dipendenti e visitatori relativi a sintomi di Coronavirus o dei loro recenti spostamenti, il Garante per la Protezione dei Dati Personali ("Garante") è intervenuto con un proprio comunicato stampa, invitando detti soggetti ad astenersi da iniziative "fai-da-te", volte a raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso questionari, indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o, comunque, rientranti nella sfera extra lavorativa, rammentando che la finalità di prevenzione dalla diffusione del Coronavirus deve essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato, quali gli operatori sanitari e il sistema attivato dalla protezione civile, espressamente deputati a garantire il rispetto delle regole di sanità pubblica.


In tale comunicato il Garante, pur pronunciandosi prima dell'emanazione dei recenti provvedimenti più restrittivi per far fronte alla diffusione del contagio, richiama indirettamente l'attenzione sulla necessità del rispetto dei principi generali della normativa sulla protezione dei dati personali, quali i principi di limitazione delle finalità e di minimizzazione, da tenere in considerazione nello svolgimento di qualsiasi attività di contrasto al contagio che comporti un trattamento di dati personali.


Sul punto, peraltro, assume rilevo anche l'art. 5 dello Statuto dei Lavoratori che, vietando espressamente accertamenti da parte del datore di lavoro sulla infermità per malattia del lavoratore dipendente, renderebbe, in assenza di uno specifico obbligo di legge, illegittima anche dal punto di vista privacy ogni indagine di questo tipo, inclusa la rilevazione della temperatura.
Non appena emanato il suddetto comunicato del Garante, alcuni commentatori - forse troppo frettolosamente - hanno male interpretato la posizione dell'Autorità, nel senso di considerarla totalmente ostativa alla possibilità di porre in essere misure di prevenzione comportanti indagini sullo stato di salute dei dipendenti, inclusa la rilevazione della temperatura corporea.


In realtà il Garante, nel proprio comunicato, si è limitato a richiamare l'attenzione sulla necessità di rispettare i principi di minimizzazione e necessità, in forza dei quali le suddette attività sono giustificate solo ove strettamente necessarie in assenza di altri modi per perseguire il medesimo obiettivo e purché siano trattati i dati strettamente indispensabili e unicamente dai soggetti specificamente preposti dalla legge a farlo, così dando rilievo al necessario coinvolgimento in tali attività del medico competente nel pieno espletamento del suo ruolo, come previsto dalla normativa italiana in materia di salute e sicurezza nei luoghi di lavoro.


Successivamente anche l'European Data Protection Board ("EDPB") si è espresso sul punto, pubblicando in data 16 marzo 2020 un primo comunicato del proprio Presidente, poi seguito, e sviluppato nei relativi temi, in data 19 marzo 2020, da una "Dichiarazione sul trattamento dei dati personali nel contesto dell'epidemia di COVID-19". In tale documenti, anche l'EDPB ha sottolineato la necessità di rispettare i generali principi di proporzionalità e minimizzazione dei dati, rimandando alle normative nazionali per quanto riguarda l'ambito consentito del trattamento, rilevando in particolare che, nel contesto lavorativo, il trattamento dei dati personali può essere necessario per adempiere ad un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria.


In attuazione del D.P.C.M. 11 marzo 2020, che raccomanda l'assunzione di protocolli di sicurezza anti-contagio le parti sociali - su invito del Presidente del Consiglio dei ministri, del Ministro dell'economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute - hanno sottoscritto in data 14 marzo 2020 un "Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro" ("Protocollo").


Tale Protocollo contiene linee guida per agevolare le imprese nell'adozione di misure di sicurezza anti-contagio e consentire la prosecuzione del lavoro in un ambiente più protetto.


Tra le varie indicazioni, il Protocollo prevede la possibilità di disciplinare le modalità di accesso in azienda che contemplino il controllo della temperatura corporea di dipendenti, fornitori, trasportatori e altro personale e fornisce indicazioni sugli obblighi informativi, sulla base giuridica da considerare per legittimare il trattamento e sugli altri adempienti previsti per garantire che i trattamenti effettuati siano conformi alla normativa sulla privacy.


Appena siglato tale Protocollo non è mancato chi, immediatamente, ha rilevato l'apparente inconciliabilità delle relative disposizioni con i divieti sostanzialmente richiamati dal Garante nel proprio comunicato. Tuttavia, solo a prima vista detto Protocollo sembra porsi in contrasto con la posizione del Garante espressa nel sopra citato comunicato del 2 marzo. Da un'attenta lettura di entrambi i documenti, infatti, emerge che i medesimi non sono affatto incompatibili. Il Protocollo detta i criteri per poter procedere con la rilevazione della temperatura, tracciando puntualmente il solco degli adempimenti necessari per rendere detto trattamento legittimo; adempimenti da porre in essere sempre nel rispetto dei principi di minimizzazione e necessità dettati dalla normativa europea in materia di trattamento dei dati personali e nel rispetto della normativa lavoristica e in materia di salute e sicurezza nei luoghi di lavoro, come giustamente ricordato dal Garante.


Va poi rilevato che, stante la natura negoziale del Protocollo, per l'ottenimento della sua piena efficacia quale base giuridica del trattamento, il relativo contenuto dovrebbe essere tradotto giuridicamente, mediante suo specifico recepimento normativo o attraverso accordi collettivi di secondo livello - come tra l'altro auspicato nelle premesse stesse del Protocollo – che permettano che ogni misura adottata possa essere condivisa e resa più efficace dal contributo di esperienza delle persone che lavorano, in particolare degli RLS e degli RLST, tenendo conto della specificità di ogni singola realtà produttiva e delle situazioni territoriali.


Ciò detto, il contenuto del Protocollo ha ora ricevuto piena valenza e riconoscimento di legge in forza del richiamo ad esso operato dal D.P.C.M. del 22 marzo 2020, che prevede espressamente che le imprese – ormai, ovviamente, solo quelle le cui le cui attività non sono sospese in forza delle recenti misure contenitive dettate dal Governo - sono tenute a rispettarne i contenuti.


Le imprese devono pertanto ritenersi ora pienamente legittimate a porre in essere misure contenitive che possano comportare anche trattamento di dati relativi allo stato di salute dei propri dipendenti e altri soggetti, inclusa la rilevazione della temperatura corporea, sempre purché ciò avvenga con modalità tali da garantire il rispetto delle suddette regole e principi dettati dalla normativa privacy e in tema si salute e sicurezza nei luoghi di lavoro.


In buona sostanza, dunque, con riferimento alle procedure di accesso presso i propri locali, le imprese sono sostanzialmente chiamate a:


i) informare tutti i lavoratori e gli altri soggetti al momento dell'ingresso in azienda non solo sulle disposizioni delle Autorità e sulle misure concretamente prese, ma - laddove le misure implementate comportino trattamento di dati personali – anche ai sensi della normativa sulla protezione dei dati personali (ad es. consegnando e/o affiggendo all'ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi depliant informativi che includano l'informativa ai sensi del GDPR);


ii) valutare l'effettiva necessità di raccogliere dati personali dei suddetti soggetti per poter garantire l'implementazione di misure di protezione contro il contagio.


Qualora all'esito della suddetta valutazione, un trattamento di tali dati personali fosse necessario, le imprese dovranno assicurarsi di raccogliere solo i dati effettivamente indispensabili per la finalità di prevenzione dal contagio da COVID-19 - adottando tutti gli accorgimenti e le misure atte a ridurre detta raccolta al minimo necessario – e di trattarli solo per tale finalità e conservarli, ove consentito, solo per la durata dell'emergenza (o eventuali diversi tempi previsti dalla legge).
Il registro dei trattamenti dei dati personali (previsto dall'art. 30 GDPR) dovrà essere aggiornato così da ricomprendere le nuove attività di trattamento.


Dovranno essere poi individuati nell'organizzazione aziendale i soggetti che tratteranno i dati per fini di prevenzione, ai quali l'azienda dovrà fornire apposite istruzioni.

Sul punto si rammenta il ruolo del medico competente e la necessità che le operazioni di raccolta di dati relativi allo stato di salute venga condotta dal medesimo o comunque su sua disposizione e coordinamento.


Inoltre, l'azienda dovrà individuare e porre in essere adeguate misure di sicurezza volte a garantire l'integrità dei dati eventualmente raccolti ed evitare l'accesso, comunicazione diffusione dei medesimi non autorizzati. In ogni caso le procedure per la rilevazione della temperatura dovranno essere implementate in modo da prevedere che la medesima avvenga senza registrazione del dato acquisito e in modo da garantire la riservatezza del soggetto interessato, con modalità atte ad impedire che terzi, ancorché presenti, possano accedere o comunque venire a conoscenza dei dati rilevati.

Vetrina