COVID-19: FAQ Autorità Garante Privacy
Pubblicate alcune FAQ relative alle problematiche connesse all’emergenza Coronavirus nell’ambito della sanità, del lavoro, della scuola, della ricerca e degli enti locali, volte a chiarire dubbi e a fornire indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private
Sul sito dell’Autorità Garante per la
protezione dei dati, sono state pubblicate alcune FAQ relative alle problematiche connesse
all’emergenza Coronavirus nell’ambito della sanità, del lavoro, della scuola,
della ricerca e degli enti locali, volte a chiarire dubbi e a fornire
indicazioni per un corretto trattamento dei dati personali da parte di
pubbliche amministrazioni e imprese private.
In particolare, si riportano di seguito, per
quanto di interesse, le FAQ relative al trattamento dei dati nel contesto
lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria:
D: Il
datore di lavoro può rilevare la temperatura corporea del personale dipendente
o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?
R: Nell’attuale situazione legata all’emergenza epidemiologica, si
sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello
scenario nel contesto nazionale, numerosi interventi normativi e conseguenti atti di indirizzo emanati dalle
istituzioni competenti che, al fine di individuare misure urgenti in materia di
contenimento e gestione dell'emergenza epidemiologica, hanno stabilito che, i
datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le
misure per il contenimento e la gestione dell’emergenza epidemiologica
contenute nel Protocollo condiviso di regolamentazione delle misure per il
contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti
di lavoro tra Governo e parti sociali del 14 marzo 2020 (Come aggiornato in data 24 aprile 2020).
In
particolare, il citato Protocollo prevede la rilevazione della temperatura
corporea del personale dipendente per l’accesso ai locali e alle sedi
aziendali, tra le misure per il contrasto alla diffusione del virus che trovano
applicazione anche nei confronti di utenti, visitatori e clienti nonché dei
fornitori, ove per questi ultimi non sia stata predisposta una modalità di
accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).
Analoghi
protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o
ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la
pubblica amministrazione con le sigle sindacali maggiormente rappresentative
nella pubblica amministrazione (come il Protocollo di accordo per la
prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza
sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la
sicurezza del settore privato sono state ritenute coerenti con le indicazioni
già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare
n. 2/2020.
In
ragione del fatto che la rilevazione in tempo reale della temperatura corporea,
quando è associata all’identità dell’interessato, costituisce un trattamento di
dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è
ammessa la registrazione del dato relativo alla temperatura corporea rilevata,
bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c)
del Regolamento cit.), è consentita la registrazione della sola circostanza del
superamento della soglia stabilita dalla legge e comunque quando sia necessario
documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
Diversamente
nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio,
nell’ambito della grande distribuzione) o visitatori occasionali anche qualora
la temperatura risulti superiore alla soglia indicata nelle disposizioni
emergenziali non è, di regola, necessario registrare il dato relativo al motivo
del diniego di accesso.
*
* * * * * * * *
D: L’amministrazione
o l’impresa possono richiedere ai propri dipendenti di rendere informazioni,
anche mediante un’autodichiarazione, in merito all’eventuale esposizione al
contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?
R: In base alla disciplina in materia di
tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno
specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di
pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs.
9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la
pubblica amministrazione ha specificato che in base a tale obbligo il
dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare
all’amministrazione di provenire (o aver avuto contatti con chi proviene) da
un’area a rischio. In tale quadro il datore di lavoro può invitare i propri
dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali
dedicati.
Tra
le misure di prevenzione e contenimento del contagio che i datori di lavoro
devono adottare in base al quadro normativo vigente, vi è la preclusione
dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto
contatti con soggetti risultati positivi al COVID-19 o provenga da zone a
rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle
successive disposizioni emanate nell’ambito del contenimento del contagio (v.
Protocollo condiviso di regolamentazione delle misure per il contrasto e il
contenimento della diffusione del virus Covid-19 negli ambienti di lavoro
sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile
richiedere una dichiarazione che attesti tali circostanze anche a terzi (es.
visitatori e utenti).
In
ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti
rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere
informazioni aggiuntive in merito alla persona risultata positiva, alle
specifiche località visitate o altri dettagli relativi alla sfera privata.
*
* * * * * * * *
D: Quali
trattamenti di dati personali sul luogo di lavoro coinvolgono il medico
competente?
R: In capo al medico competente permane, anche nell’emergenza, il
divieto di informare il datore di lavoro circa le specifiche patologie occorse
ai lavoratori.
Nel
contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria
sui lavoratori da parte del medico competente, tra cui rientra anche la
possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto
della maggiore esposizione al rischio di contagio degli stessi, si configurano
come vera e propria misura di prevenzione di carattere generale, e devono
essere effettuati nel rispetto dei principi di protezione dei dati personali e
rispettando le misure igieniche contenute nelle indicazioni del Ministero della
Salute (cfr. anche Protocollo condiviso del 14 marzo 2020).
Nell’ambito
dell’emergenza, il medico competente collabora con il datore di lavoro e le
RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al
Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria,
segnala al datore di lavoro “situazioni di particolare fragilità e patologie
attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto
Protocollo).
Ciò
significa che, nel rispetto di quanto previsto dalle disposizioni di settore in
materia di sorveglianza sanitaria e da quelle di protezione dei dati personali,
il medico competente provvede a segnalare al datore di lavoro quei casi
specifici in cui reputi che la particolare condizione di fragilità connessa
anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti
meno esposti al rischio di infezione. A tal fine, non è invece necessario
comunicare al datore di lavoro la specifica patologia eventualmente sofferta
dal lavoratore.
In
tale quadro il datore di lavoro può trattare, nel rispetto dei principi di
protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei
dipendenti solo se sia normativamente previsto o disposto dagli organi
competenti ovvero su specifica segnalazione del medico competente, nello
svolgimento dei propri compiti di sorveglianza sanitaria.
*
* * * * * * * *
D: Il
datore di lavoro può comunicare al Rappresentante dei lavoratori per la
sicurezza l’identità dei dipendenti contagiati?
R: I datori di lavoro, nell’ambito dell’adozione delle misure di
protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro,
non possono comunicare il nome del dipendente o dei dipendenti che hanno
contratto il virus a meno che il diritto nazionale lo consenta.
In
base al quadro normativo nazionale il datore di lavoro deve comunicare i
nominativi del personale contagiato alle autorità sanitarie competenti e
collaborare con esse per l’individuazione dei “contatti stretti” al fine di
consentire la tempestiva attivazione delle misure di profilassi.
Tale
obbligo di comunicazione non è, invece, previsto in favore del Rappresentante
dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in
base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
Il
Rappresentante dei lavoratori per la sicurezza,
proprio nella fase dell’attuale emergenza epidemiologica, dovrà
continuare a svolgere i propri compiti consultivi, di verifica e di
coordinamento, offrendo la propria collaborazione al medico competente e al
datore di lavoro (ad esempio, promuovendo l'individuazione delle misure di
prevenzione più idonee a tutelare la salute dei lavoratori nello specifico
contesto lavorativo; aggiornando il documento di valutazione dei rischi;
verificando l’osservanza dei protocolli interni).
Il
Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle
proprie funzioni venga a conoscenza di informazioni - che di regola tratta in
forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi
- rispetta le disposizioni in materia di protezione dei dati nei casi in cui
sia possibile, anche indirettamente, l’identificazione di taluni interessati.
*
* * * * * * * *
D: Può
essere resa nota l’identità del dipendente affetto da Covid-19 agli altri
lavoratori da parte del datore di lavoro?
R: No. In relazione al
fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito
dalle misure emergenziali, spetta alle autorità sanitarie competenti informare
i “contatti stretti” del contagiato, al fine di attivare le previste misure di
profilassi.
Il
datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle
autorità sanitarie le informazioni necessarie, affinché le stesse possano
assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza
adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12
del predetto Protocollo).
La
comunicazione di informazioni relative alla salute, sia all’esterno che
all’interno della struttura organizzativa di appartenenza del dipendente o
collaboratore, può avvenire esclusivamente qualora ciò sia previsto da
disposizioni normative o disposto dalle autorità competenti in base a poteri
normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal
contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria
per la ricostruzione della filiera degli eventuali “contatti stretti di un
lavoratore risultato positivo).
Restano
ferme le misure che il datore di lavoro deve adottare in caso di presenza di
persona affetta da Covid-19, all’interno dei locali dell’azienda o
dell’amministrazione, relative alla pulizia e alla sanificazione dei locali
stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della
salute (v. punto 4 del Protocollo condiviso).
AI.mb