covid vademecum privacy

Vademecum privacy ai tempi del COVID-19

Scarica la guida

Emergenza Covid e protezione dei dati la situazione

L’emergenza legata alla diffusione del Covid 19 ha avuto moltissimi effetti sulla società, sulle persone e sul mondo del lavoro. In questa guida ci si concentra in particolare sulle conseguenze che la necessità di contrastare la diffusione del virus ha avuto sulle dinamiche di conservazione e diffusione dei dati personali all’interno del mondo del lavoro. Non sfugge, infatti, la consapevolezza che la semplice misurazione della temperatura corporea, o la richiesta di informazioni riguardo i propri comportamenti, rientri nella sfera dei dati sensibili e personali. Il dato sulla salute della persona è un dato sensibile e come tale, anche in presenza di una pandemia, va trattato in maniera rispettosa del diritto alla privacy di ogni soggetto. A chiarire questi aspetti sono intervenuti protocolli (principale quello siglato fra Governo e Parti Sociali a marzo 2020) e interpretazioni delle normative di base, ovvero il GDPR che disciplina la tutela della privacy e il decreto 81/2008 in materia di salute e sicurezza nei luoghi di lavoro. Nelle sezioni che seguono, quindi, andiamo a declinare come le aziende devono esattamente comportarsi (e come non devono comportarsi) con i dati sensibili con i quali sono venute in contatto per non rischiare di violare la privacy delle persone e al contempo permettere alle autorità sanitarie di arginare la diffusione del virus.

I dati raccolti con dispositivi leciti

La misurazione della temperatura e l’ingresso nelle sedi aziendali

E' consentito al datore di lavoro, secondo quanto definito dal protocollo fra Governo e Parti sociali siglato il 14 marzo 2020, misurare la temperatura a tutti coloro che fanno il loro ingresso in un'azienda, che siano dipendenti, oppure clienti, fornitori o semplici visitatori. E' consigliato, ma non obbligatorio anche predisporre forme di ingresso differenziate fra dipendenti (o comunque persone che frequentano quotidianamente la sede) e altre persone che sono visitatori più occasionali. Fatto salvo che la temperatura deve quindi essere rilevata (del resto accade anche in aziende frequentate da migliaia di persone ogni giorno, come quelle della grande distribuzione), tale temperatura, se associata all'identità della persona a cui viene rilevata, costituisce senza dubbio un dato personale che deve essere soggetto a trattamento. Come comportarsi con dipendenti e visitatori: La normativa in questo caso specifica che la temperatura va misurata e deve essere registrata nel caso in cui tale temperatura sia risultata superiore alla soglia stabilita e la registrazione sia necessaria per documentare il diniego all'ingresso nella sede aziendale. Come comportarsi con clienti (ad esempio il caso di esercizi commerciali): Anche in questo caso la temperatura va misurata ma, anche se superiore alla soglia, non è necessario registrarla.

La frequentazione degli spazi aziendali

La normativa prevede la necessità di limitare il più possibile la presenza di persone negli uffici e negli altri spazi di lavoro, nei modi e con le dinamiche che il datore di lavoro individua come più efficaci, dalla turnazione delle presenze al ricorso al lavoro agile. Gli spazi devono essere dotati di sistemi che possano consentire una continua igienizzazione delle mani e organizzati in modo tale che non vengano a crearsi assembramenti, né durante l’attività lavorativa, né nei momenti di pausa. In tema di privacy è interessante sottolineare che il datore di lavoro ha la possibilità di avvalersi di applicativi che concorrano alla riduzione del rischio e contrastino la diffusione della pandemia, purché questi non trattino dati personali, purché quindi le informazioni raccolte sul soggetto non siano direttamente a lui riconducibili. In questo ambito rientrano applicativi (presenti sul mercato) volti a limitare il numero di ingressi delle persone in uno spazio (semaforo rosso/verde), volti ad avvisare (con un segnale sonoro) il superamento della distanza ritenuta di sicurezza fra le persone, volti ad impedire l’accesso agli spazi a persone che non indossano la mascherina di protezione. Le immagini non possono essere registrate, così come le informazioni raccolte.

La gestione del dato sanitario

Le richieste di informazioni da parte dell’azienda e la responsabilità del soggetto

La regola si ispira al decreto 81/2008 in materia di salute e sicurezza nei luoghi di lavoro, che prevede uno specifico obbligo da parte del dipendente a segnalare al datore di lavoro qualsiasi situazione di pericolo per la sicurezza. Nell’ambito pubblico, chi lavora per la PA ha l’obbligo di segnalare all’amministrazione eventuali contatti che lo hanno messo a rischio (provenienza da luoghi particolarmente colpiti dalla pandemia, contatti con persone positive). La segnalazione può essere richiesta anche mediante la compilazione di un documento formale. A fronte di questa segnalazione, indipendentemente dall’ambito privato o pubblico del lavoro, il datore di lavoro può richiedere precludere l’accesso alla sede a coloro che nel corso dei 14 giorni precedenti abbiano avuto contatti con soggetti positivi al virus al fine di non mettere in pericolo altre persone. In caso di soggetti terzi (visitatori o clienti) il datore di lavoro po' richiedere senza violare la normativa sulla privacy una dichiarazione riguardante questi estremi di esposizione al rischio (contatti con persone positive, essere stato in luoghi particolarmente colpiti). Trattandosi di dati evidentemente sensibili, la normativa richiama la necessità di attenersi alla raccolta dei soli dati necessari e direttamente connessi alla prevenzione, senza richiedere informazioni su eventuali persone risultate positive con cui si è stati in stretto contatto, sui luoghi specifici frequentati e sulle informazioni relative alla sfera privata del soggetto. In sintesi: si possono richiedere solo dati direttamente connessi all’attività di prevenzione.

La “filiera” del dato su eventuali contagi: chi comunica a chi

Il datore di lavoro che viene a conoscenza della condizione di positività di un proprio dipendente ha l’obbligo di comunicare tale situazione agli organi sanitari competenti ma ha al contempo l’obbligo di riservatezza del dato nei confronti di tutti coloro che non rappresentano l’organo competente. Il datore di lavoro è tenuto a collaborare con le autorità sanitarie per individuare i contatti “stretti” della persona positiva, per fare in modo di consentire l’attività di profilassi. L’obbligo di comunicazione non ricade sul rappresentante dei lavoratori per la sicurezza (figura prevista dal decreto 81/08) ma unicamente sul datore di lavoro. È esclusa categoricamente, quindi, la possibilità per il datore di lavoro di informare della positività i colleghi della persona contagiata. Tale funzione spetta unicamente alle autorità sanitarie competenti, che avviano la ricostruzione dei contatti “stretti” e fra questi anche dei colleghi di lavoro. Unica eccezione interviene nel caso in cui sia proprio l’autorità sanitaria competente a richiedere l’intervento del datore di lavoro per diffondere la notizia ai colleghi, ma al solo fine di ricostruire i contatti stretti e mettere in campo opportune attività di profilassi. In sintesi, quindi: nel caso di un lavoratore positivo, il datore di lavoro dovrà comunicarlo all’autorità sanitaria e non potrà comunicarlo ai colleghi. L’autorità sanitaria potrà comunicarlo ai colleghi della persona, o incaricare il datore di lavoro di farlo, a solo scopo di prevenzione della diffusione del virus.

Test diagnostici e casi di positività

I test sierologici: devono essere sempre disposti da un medico

Il datore di lavoro ha facoltà di sottoporre i propri dipendenti a test sierologici soltanto nel caso in cui sia il medico competente dell’azienda (figura prevista obbligatoriamente dal decreto 81/2008) a disporlo. In tal caso i test dovranno essere affidabili e appropriati in funzione delle linee guida delle autorità sanitarie. Il medico competente può disporre il ricorso ai test sierologici qualora ravvisi la necessità, nella sua funzione di professionista sanitario, di mettere in campo operazioni diagnostiche e esami volti a impedire o ridurre la diffusione del virus all’interno di un luogo di lavoro e a garantire il contenimento di tale situazione. Qualora, quindi, il datore di lavoro ravvisi l’opportunità di far sostenere test sierologici ai propri dipendenti, non può farlo direttamente, ma deve interpellare il medico competente che a sua volta deciderà in merito analizzata la situazione. I dati derivanti dai test sierologici non possono essere trattati dal datore di lavoro, che non può avere accesso a referti o esiti. Potrà trattare, invece, dati riguardanti il giudizio di idoneità alla mansione specifica con eventuali prescrizioni e limitazioni stabilite dal medico competente. Sarà il medico competente a prevedere eventuali visite e accertamenti nei confronti dell’eventuale positivo, al fine di stabilire la sua riammissione alle mansioni eventualmente interdette. In linea generale: il datore di lavoro non può effettuare direttamente alcun esame diagnostico nei confronti dei propri dipendenti. È facoltà del datore di lavoro sostenere economicamente test diagnostici presso le strutture sanitarie, anche in regime di convenzione, con l’obbligo di non apprendere l’esito dell’esame. È facoltà dei dipendenti partecipare liberamente a campagne di screening avviate dalle autorità sanitarie competenti.

La positività di un dipendente: come trattare il dato

Il datore di lavoro può venire a conoscenza della situazione di positività di un proprio dipendente in maniera lecita, quindi senza avere violato il segreto imposto dalla normativa. Può avvenire, ad esempio, se informato direttamente dal dipendente che è tenuto a segnalare eventuali situazioni di pericolo secondo quanto previsto dalla normativa sulla salute e sicurezza nei luoghi di lavoro, ma può avvenire anche in seguito alla segnalazione da parte del medico competente o delle autorità sanitarie. In questo caso il datore può trattare i dati relativi alla situazione sanitaria del dipendente per collaborare con le autorità sanitarie al fine di evitare il proliferare del virus. Allo scopo di contenere la diffusione del virus il datore di lavoro (anche predisponendo canali di comunicazione alternativi) può invitare i propri dipendenti a comunicare eventuali situazioni di positività, al fine di snellire la filiera sanitaria della cura e della profilassi. In caso di avvenuta negativizzazione, il datore di lavoro potrà venire in contatto con il dato, ai fini della riammissione dei dipendenti nei luoghi e nelle mansioni di lavoro. Al di fuori di questi casi è fatto divieto al datore di lavoro trattare dati sulla salute dei lavoratori e comunicarli a terzi.

Conclusioni

L’attuale situazione di emergenza sanitaria, indipendentemente dai picchi di contagio e dall’evolversi della pandemia, genera doveri e diritti a tutti i soggetti che operano in ambito lavorativo. Il dovere comune è quello di impedire, attraverso le forme lecite previste dalla legge, il diffondersi del virus e contenere la pandemia quanto più possibile. In questo quadro risulta molto più facile venire a conoscenza di dati sensibili sulla situazione di salute di una persona, rispetto a quanto poteva avvenire prima dell’emergenza Covid 19. Ma tali dati devono essere trattati in ogni caso nel rispetto del diritto alla privacy della persona, essendo quello sulle condizioni di salute di un soggetto, dato sensibile molto importante. Le dinamiche stabilite nel periodo emergenziale prevedono che autorità sanitaria, medico competente, datore di lavoro, soggetto lavoratore concorrano, ognuno con un proprio dovere, a contenere la situazione nel rispetto della tutela del dato.

Torna alle guide

Hai bisogno di maggiori informazioni?

Contattaci
iso 9001audit energeticoinnex hubquestiobaqfondo professionifondazione brescia musei