Le indicazioni operative

Covid-19 e lavoro: come tutelare salute, sicurezza senza sacrificare la privacy

Contro il Coronavirus occorre adottare misure uguali per tutta la popolazione. Ecco dunque, l’adozione di un protocollo che contiene misure di precauzione che seguono e attuano le prescrizioni di legislatore e Autorità sanitaria con attenzione anche alle tematiche della tutela e protezione dei dati

25 Mar 2020
Marco Cassaro

Senior Advisory Risk & Compliance presso BDO Italia S.p.A.


Nella gestione dell’emergenza covid-19 è di primaria importanza adottare, sul luogo di lavoro, protocolli di sicurezza che consentano di evitare il contagio dei lavoratori. A questo scopo è stato sottoscritto lo scorso 14 marzo, il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”. Data la rilevanza del tema e del documento si riportano alcuni spunti di riflessione in materia privacy e come conformarsi nella gestione dell’emergenza.

Sicurezza, salute e privacy sul lavoro: una prima visione d’insieme

Come si legge dallo stesso, il Protocollo è stato sottoscritto su invito del Presidente del Consiglio dei ministri, del Ministro dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute, che hanno promosso l’incontro tra le parti sociali, in attuazione della misura, contenuta all’articolo 1, comma primo, numero 9), del decreto del Presidente del Consiglio dei ministri 11 marzo 2020, che – in relazione alle attività professionali e alle attività produttive – raccomanda intese tra organizzazioni datoriali e sindacali, al fine di favorire l’adozione di protocolli di sicurezza anti-contagio a fronte dell’emergenza in atto.

L’obiettivo del protocollo condiviso di regolamentazione è certamente quello di fornire indicazioni operative finalizzate a incrementare, negli ambienti di lavoro non sanitari, l’efficacia delle misure precauzionali di contenimento adottate per contrastare l’epidemia di COVID-19.

Il COVID-19 rappresenta un rischio biologico generico, per il quale occorre adottare misure uguali per tutta la popolazione.

Ecco dunque, l’adozione di un protocollo che contiene misure che seguono la logica della precauzione e seguono e attuano le prescrizioni del legislatore e le indicazioni dell’Autorità sanitaria con una piccola ma allo stesso tempo grande attenzione anche alle tematiche in materia di tutela e protezione dei dati.

Sul punto si ricorda anche come:

  • l’Autorità Garante per la protezione dei dati personali sia intervenuta in data 02 marzo 2020 con un comunicato con il quale, oltre al monito no a iniziative “fai da te” nella raccolta dei dati, ricordava ai datori di lavoro dall’astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa;
  • la stessa EDPB il 16 marzo 2020 ha rilasciato relativo statement ricordando come l’adozione di misure per mitigare e contenere il rischio relativo al COVID-19 possa comportare il trattamento di diverse categorie di dati personali e che il Data Controller (i.e. Titolare del trattamento) deve garantire la protezione dei dati personali del soggetto interessato.

L’ingresso in azienda: la misurazione in tempo reale della temperatura corporea

Focalizzandoci sulla sezione del Protocollo dove la privacy trova maggiore spazio (i.e. punto 2 “modalità d’ingresso in azienda) si segnala come in relazione al primo punto elenco “Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea”.

Tale tipo di attività e cioè la rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, dovrà avvenire ai sensi della disciplina privacy vigente (i.e. Regolamento Ue 2016/679 (GDPR) e D.Lgs 101/2018 che integra e modifica il D.Lgs 196/2003 (Codice Privacy).

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

A tal fine lo stesso Protocollo suggerisce di:

  • rilevare a temperatura e non registrare il dato acquisto. È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
  • fornire l’informativa sul trattamento dei dati personali. Si ricorda che l’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Quanto ai contenuti dell’informativa, con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e con riferimento alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza;
  • definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19);
  • in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi (v. infra).

Dunque, a titolo esemplificativo elaboriamo:

  • un’informativa corretta secondo i canoni dell’art. 13 del GDPR ma con un occhio di attenzione agli aspetti legati: alle finalità di trattamento, alla conservazione del dato, alle basi di liceità di trattamento, alle modalità di sottoposizione etc. previsti dal Protocollo;
  • delle lettere di nomina a norma degli art. 29 del GDPR e 2 quaterdecies del D.Lgs 101/2018 per i soggetti individuati ed autorizzati al trattamento di questa tipologia di dati (lettere che ricordiamo devono “istruire” e non solo riportare pedissequamente quanto contenuto nelle disposizioni di legge);
  • dei flussi informativi solo ed esclusivamente con soggetti preposti/autorizzati ed i vertici aziendali e dunque non erga omnes nel caso di comunicazione relative al superamento della soglia di temperatura o a comunicazione di dipendenti che hanno avuto contatti con soggetti risultati positivi al COVID-19 etc.; soprattutto al fine di garantire riservatezza e dignità del lavoratore

L’ingresso in azienda: l’accesso da parte del personale e/o di soggetti terzi

Per quanto riguarda il secondo punto elenco della sezione ut supra segnalata e cioè che “Il datore di lavoro informa preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS” lo stesso Protocollo ricorda che qualora il Titolare del trattamento/Azienda richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, anche in questo caso si dovrà prestare particolare attenzione alla disciplina sul trattamento dei dati personali,

Questo perché anche la semplice acquisizione della dichiarazione di cui sopra contiene dati personali e di fatto costituisce un trattamento dati.

A tal fine, le indicazioni per una corretta gestione privacy rimangono le medesime segnalate per la misurazione della temperatura in tempo reale e, nello specifico, si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.

Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.

Dunque, attenzione anche in questo caso a rispettare le indicazioni del punto precedente (cfr. punto 2. “L’ingresso in azienda: la misurazione in tempo reale della temperatura corporea”) ed attenzione a rispettare i principi di adeguatezza non eccedenza e pertinenza di cui è imperniato il Regolamento.

Il ruolo del Responsabile della Protezione dei dati

In tutta questa situazione di grande emergenza e di ricerca di soluzioni che siano da un lato tutelanti per il singolo soggetto e per l’azienda e dall’altro conformi alle disposizioni che settimanalmente vengono rilasciate dalle Autorità competente, non dobbiamo dimenticarci che anche nella privacy vi è una figura (laddove nominata) preposta alla sorveglianza della corretta applicazione non solo del GDPR ma della normativa tutta in materia di Privacy.

Quindi, a titolo esemplificativo, esattamente come:

  • l’Organismo di vigilanza (cd. OdV) sarà coinvolto nelle valutazioni sugli impatti dell’attuale situazione sull’imputabilità del reato di cui all’art. 25-septies D.Lgs. 231/2001, con riferimento agli aspetti di colpa organizzativa connessi alla violazione di norme sulla salute e sicurezza nei luoghi di lavoro;
  • la Società in collaborazione con il RSPP ed il Medico Competente sono/saranno chiamati a considerare l’eventuale aggiornamento del Documento valutazione rischi (cd. DVR) collegati ad agenti biologici;
  • la Società e tutte le altre figure coinvolte nella gestione e nell’attivazione del lavoro agile (ad. es. HR, ICT etc.) sono/saranno chiamati a gestire le tematiche connesse;

anche il Titolare del trattamento potrà trovare nel DPO un valido supporto nella gestione delle tematiche di sua competenza.

Si ricorda sul punto che è vero che a norma dell’art. 39 comma 1 lett. b) del GDPR il DPO è incaricato di “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” ma è vero anche che a norma dell’art. 38 comma 1 del GDPR “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.”

Conclusioni

Per concludere: attenzione a non adottare nella fretta soluzioni posticce e mal confezionate con la presunzione che in tale situazione tutto sia ammesso e permesso.

Rivolgiamoci ed attiviamo un costante flusso e confronto con le funzioni (se previste) per la gestione di quelle tematiche di maggior impatto non solo per la tutela del lavoratore (sia che si parli di sicurezza negli ambienti di lavoro che di privacy) ma anche per il datore di lavoro stesso.

360digitalskill
Smart Learning: accresci il mindset digitale dei tuoi collaboratori
Risorse Umane/Organizzazione

@RIPRODUZIONE RISERVATA

Articolo 1 di 3