Gestire i dati personali in ambienti di lavoro ai tempi del Covid-19

Sono stati diversi gli interventi sul tema privacy e Covid-19 da parte dell’autorità garante nazionale e sovranazionale, le quali si sono espresse indicando delle linee guida a cui attenersi. In particolare, è opportuno non prescindere dalla “Dichiarazione formale in merito al trattamento dei dati personali nel contesto dell’epidemia da Covid-19” rilasciata dal Comitato Europeo per la protezione dei dati (EDPB), attraverso cui sono stati presi in considerazione i seguenti aspetti:

• liceità del trattamento;
• principi fondamentali per il trattamento dei dati personali;
• utilizzo dei dati di localizzazione derivante dall’utilizzo di dispositivi mobili;
• contesto lavorativo.

Le linee guida traggono origine dai principi contenuti nella normativa europea di riferimento, ovvero il GDPR 2016/679, il quale evidenzia nel Considerando 46 che il trattamento è lecito qualora venga svolto per controllare “l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”, richiamando anche l’art. 9.2 lett. i) e lett. c) del GDPR, che già prevede il trattamento in situazioni in emergenza sanitaria.

E’ necessario che il trattamento di dati personali venga svolto per scopi espliciti ed informando in modo chiaro e trasparente i soggetti interessati su modalità, finalità e tempo di conservazione, evitando la divulgazione a soggetti non autorizzati. In merito all’utilizzo di dati sulla localizzazione attraverso dispositivi mobili per monitorare, contenere e mitigare il contagio, l’EDPB raccomanda l’elaborazione dei dati di posizione e di tracking degli individui in forma anonima.

Con riferimento all’ambito lavorativo, su cui focalizzeremo la nostra attenzione si precisa che il datore di lavoro dovrebbe richiede dati relativi alla salute solo nel limite consentito dalla legislazione nazionale. Inoltre, in merito ai controlli medici sui dipendenti occorrerà rispettare la normativa per la salute e la sicurezza nei luoghi di lavoro. Sostanzialmente, l’EDPB ritiene che i datori di lavoro dovranno trattare i dati personali relativi al contagio al solo scopo di adempiere ai propri doveri organizzando il lavoro di conseguenza.

In Italia, l’applicazione del Protocollo condiviso di regolamentazione delle misure per il contrasto ed il contenimento della diffusione del virus Covi-19 negli ambienti di lavoro, rilasciato il 24 Aprile (integrativo del precedente protocollo del 14 marzo 2020) ha generato dei riflessi importanti in relazione al trattamento dei dati personali.

Tali effetti in tema di protezione dei dati non sono stati fin da subito percepiti dalle imprese, le quali hanno progressivamente assunto una maggior consapevolezza dell’importanza di garantire un lecito ed adeguato trattamento dei dati personali anche in questo periodo emergenziale.

La ripartenza delle attività produttive ha reso consce le aziende dell’ampliamento della quantità e qualità di dati personali da trattare, sia in relazione ai propri lavoratori, sia con riguardo a soggetti terzi (visitatori, clienti, fornitori, appaltatori).

La crescita dei dati da trattare e la peculiarità degli stessi, richiedono il coinvolgimento di professionisti qualificati (Dpo, Privacy manager e/o Consulenti privacy) che affianchino le imprese nella gestione dei modelli organizzativi e dei sistemi di controllo adottati, integrando e adeguando le informative e le procedure inerenti la protezione dei dati personali.

Occorre prestare attenzione alla corretta identificazione e trattamento dei flussi di dati personali in entrata e in uscita dall’azienda e ai canali dedicati per il transito delle informazioni, nonché coinvolgere i succitati soggetti nella valutazione preventiva di scelte o sviluppo di strumenti di prevenzione Covid-19.

Al fine di definire il perimetro di intervento entro cui le aziende possono operare, il Garante italiano ha ritenuto opportuno effettuare un intervento chiarificatore (Ricadute occupazionali dell’epidemia da Covid-19, azioni idonee a fronteggiare le situazioni di crisi e necessità di garantire la sicurezza sanitaria nei luoghi di lavoro, datato 13 maggio 2020), attraverso cui ha esplicitato le misure previste dai protocolli e che impattano sul profilo della protezione dei dati:

1. la rilevazione della temperatura corporea dei dipendenti con registrazione dell’anagrafica nella sola circostanza del superamento della temperatura-soglia, quando sia necessario per documentare le ragioni ostative all’accesso al luogo di lavoro;
2. la segnalazione al datore di lavoro di provenienza da aree a rischio o di avvenuti contatti con potenziali contagiati, purché nella sola misura strettamente proporzionale all’esigenza di prevenzione e senza riferimenti nominativi a terzi;
3. il dovere del medico competente di segnalare al datore di lavoro l’opportunità di adibire determinati lavoratori (cosiddetti vulnerabili) ad impieghi meno esposti al rischio infettivo, pur senza indicarne la patologia;
4. il dovere di comunicazione, da parte datoriale all’autorità sanitaria, (ma non al Rappresentante dei lavoratori per la sicurezza o agli altri colleghi), dei nominativi dei dipendenti contagiati, collaborando alla ricostruzione della catena dei contagi e all’adozione delle misure di profilassi opportune.

Le attività descritte alle righe precedenti e le loro modalità di esecuzione devono rispondere a:

1. principio di “minimizzazione” applicata alla rilevazione della temperatura, tramite la limitazione alla registrazione del superamento della soglia di temperatura stabilita per legge e che costituisce motivo di allontanamento;
2. principio di proporzionalità nella raccolta di dichiarazioni e informazioni, evitando di chiedere dati aggiuntivi ma solo quelli stabiliti dal protocollo, adeguati e pertinenti alla rilevazione necessaria per definire eventuali preclusioni all’accesso ai locali aziendali (contatti negli ultimi 14 gg con soggetti risultati positivi al Covid-19 e/o provenienza da zone a rischio secondo le indicazioni dell’OMS);
3. nessuna deroga alle norme previste in tema di sorveglianza sanitaria: il datore di lavoro può trattare soli i dati relativi al giudizio di idoneità alla mansione specifica, senza possibilità di accesso a referti ed esami, neanche nei casi in cui abbia sostenuto i costi per i propri lavoratori per l’esecuzione di test sierologici;
4. limitazione al trattamento dei dati dei soggetti affetti da Covid-19 di cui lo stesso può venire a conoscenza o in via diretta (comunicazione da parte del dipendente) o indiretta (stati di positività al Covid-19 accertati dall’autorità sanitaria con cui è chiamato a collaborare, certificato di avvenuta negativizzazione funzionale alla riammissione al lavoro). Il datore di lavoro non può comunicare al Rappresentante per la salute dei lavoratori e agli altri lavoratori l’identità di un eventuale soggetto che ha contratto il virus.

Ulteriori precisazioni sono pervenute dal Garante in merito ad altri temi prioritari:

• sistemi di tracciamento dei contatti. Nello specifico si ribadisce che si tratta di uno strumento di prevenzione che non può essere imposto ai lavoratori;
• smart working. In merito a quest’ultimo tema occorrerebbe dedicare un capitolo a parte, in quanto si tratta di una modalità lavorativa che ha dei risvolti significativi anche in relazione alla “sicurezza” dei dati che vengono necessariamente trattati attraverso la rete. Sotto il profilo della gestione del lavoratore collegato alla rete tramite dispositivi elettronici, soggetti a tracciabilità e controllo, occorre non prescindere da alcuni presupposti base:

1. formalizzare un accordo di lavoro agile che ne definisca le modalità e le caratteristiche;
2. una adeguata formazione e informazione del lavoratore in merito al tipo di trattamento che verrà fatto dei suoi dati;
3. assenza di un controllo invasivo e persistente: Non sarebbe, ad esempio, legittimo fornire per lo smart working un computer dotato di funzionalità che consentano al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite, appunto, questo dispositivo;
4. garantire il diritto alla disconnessione.

Come illustrato finora, il momento storico che stiamo vivendo sta ponendo sempre più in rilievo le problematiche connesse alla gestione di informazioni “crescenti” in termini di quantità e qualità (dati particolari), che possono produrre effetti negativi se non opportunamente gestiti e protetti. Sarà un obiettivo prioritario per le autorità garanti mantenere sempre alta l’attenzione sul diritto alla tutela dei dati personali nel rispetto di quanto prescritto dal GDPR 2016/679.