“La sicurezza dei dati personali al tempo del Covid-19”

Sono sicuri i dati personali dei lavoratori nei luoghi di lavoro, nell’attuale stato di emergenza sanitaria? A tale proposito, è bene sapere che la normativa in materia di contenimento e gestione dell’emergenza Covid-19 ha inciso non soltanto sull’acquisizione dei dati privati dei cittadini, ma anche sul loro trattamento. E poiché, con specifico riferimento ai luoghi di lavoro, si è posta la necessità di adottare misure relative alla sicurezza dell’ambiente di lavoro per la riapertura e il conseguente mantenimento in attività della produzione nel nostro paese, si è resa necessaria la conoscenza di alcuni dati sulla salute dei dipendenti, che il datore di lavoro deve proteggere adeguatamente.
Se, infatti, da un lato, si discute della fornitura di dati relativi al monitoraggio dei contagi, di incrocio degli stessi, al fine dello studio epidemiologico e corretta comunicazione tra enti pubblici e privati dei dati di persone positive al virus, dall’altro, ci sono ripercussioni organizzative e tecniche legate all’esigenza di eseguire il trattamento di dati personali conformemente alla normativa.
A tale proposito il DL 18/2020, così come modificato dalla successiva Legge di conversione 27/2020, fissa le condizioni per il trattamento dei dati sanitari dei cittadini in contesto emergenziale, stabilendo che “ le comunicazioni a soggetti pubblici e privati, dei dati personali previsti agli art. 9 e 10 del GDPR (compresi i dati alla salute di cui all’art. 9 lettera h), deve essere effettuata nei casi in cui i dati risultino indispensabili allo svolgimento delle attività connesse alla gestione della pandemia”.

La normativa richiamata, congiuntamente al Protocollo emergenziale condiviso da Confindustria e Sindacati, impone che, prima di accedere al luogo di lavoro, il lavoratore sia sottoposto al controllo della temperatura corporea e, ove tale misura risulti superiore a 37,5 °, non possa accedere al luogo di lavoro. La rilevazione della temperatura corporea costituisce un trattamento di dati personali e pertanto deve avvenire in conformità alla disciplina vigente in materia privacy. Pertanto, solo la temperatura oltre soglia può essere registrata, e ciò anche al fine di permettere al datore di lavoro di documentare le ragioni che hanno impedito l’accesso del lavoratore in azienda. Inoltre, deve essere fornita al dipendente l’informativa sul trattamento dei dati personali e, in ossequio al principio di accountability, deve essere fornita per scritto e contenere indicazioni essenziali quali: – la finalità del trattamento, da individuarsi nella prevenzione dal contagio da Covid-19; la base giuridica del trattamento, da individuarsi nell’implementazione dei protocolli di sicurezza anti contagio da Covid-19: – il termine di conservazione dei dati, che coinciderà con la fine della fase emergenziale e che, pertanto, dovrà subire gli aggiornamenti conseguenziali alla proroga di tale fase.
I dati non possono essere diffusi o comunicati a terzi, al di fuori delle specifiche previsioni normative. In caso di isolamento temporaneo per superamento del limite di temperatura, l’azienda deve assicurare riservatezza e dignità del lavoratore. E analoghe garanzie devono essere fornite sia al lavoratore che comunichi all’ufficio responsabile del personale di aver avuto contatti con soggetti positivi al Covid -19, sia nel caso di allontanamento del lavoratore che, durante l’orario di lavoro, inizi a manifestare sintomi da infezione.
Dunque, il datore di lavoro può rivelare che il dipendente è stato infettato dal Covid-19 ai suoi colleghi o terzi, ma non deve comunicare più informazioni del necessario. Infatti, possono esservi limitazioni all’applicazione dei principi in materia di protezione dei dati personali, “qualora siano necessarie per tutelare interessi generali valutati come prevalenti nel rispetto dei principi di proporzionalità, necessità e sicurezza e qualora rivolti al perseguimento di scopi di interesse generale riconosciuti dall’Unione Europea o legati alla necessità di proteggere diritti e libertà altrui” (l’art. 23, co. 1 e il considerando 4 del GDPR). Inoltre, trattamenti dei dati particolari sono leciti se “necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. É evidente, quindi, che le norme vigenti non pongono ostacoli insormontabili alla raccolta e disamina dei dati personali, ma i datori di lavoro possono trattare i dati sanitari dei dipendenti solo ove il loro trattamento sia correlato ad un interesse legittimo del datore di lavoro, quale la protezione dell’ambiente e la salute nel luogo di lavoro. Per cui, mentre è lecita la comunicazione a terzi dei dati personali, effettuata limitatamente a colleghi e enti pubblici, al solo fine di sicurezza e riduzione della diffusione del contagio, in ogni altro caso, la diffusione dei dati è vietata. 

Quindi, il nome dell’impiegato colpito dal virus può essere comunicato ai colleghi che abbiano avuto contatto fisico con il lavoratore malato, ma in nessun modo, debbono essere divulgate notizie circa il tempo di congedo per malattia, lo stato di salute attuale del lavoratore e il luogo in cui è avvenuta la contaminazione (se di conoscenza dell’azienda); inoltre, la comunicazione deve avvenire in modo sicuro, nel rispetto della dignità del lavoratore, ovvero in modo da non consentire l’inoltro a terzi.

Concludendo, nella fase emergenziale che stiamo vivendo, il trattamento dei dati personali particolari dei lavoratori da parte del datore di lavoro, costituisce una misura straordinaria per la lotta al contagio da Covid-19 e trova dunque in questa precisa finalità la sua giustificazione, purché, però, il trattamento avvenga nel rispetto dei principi generali della GDPR e purché al lavoratore siano fornite informazioni chiare e precise sull’uso dei suoi dati.

Daniela Trentacapilli
           Avvocato