Normative

Misure di sicurezza per contrastare la diffusione del CoVid -19 negli ambienti di lavoro: come tutelare i dati personali

Quali sono le prescrizioni per il titolare del trattamento nei confronti di dipendenti, visitatori e fornitori, in osservanza dei principi del GDPR, secondo il Protocollo condiviso di regolamentazione

19 Mag 2020

Daniela Di Leo

Avvocato - ICT | Consulente Privacy & Data Protection

Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, sottoscritto ad opera delle parti sociali e aggiornato alla data del 24 aprile 2020, prevede una serie di misure di prevenzione il cui scopo è quello di tutelare la salute delle persone presenti all’interno dei luoghi di lavoro, siano esse dipendenti, fornitori e clienti. Inevitabilmente, alcune delle misure suggerite e adottate impattano sul trattamento dei dati personali, con la conseguenza che occorre adeguarle in modo che il trattamento sia effettuato in osservanza dei principi stabiliti dal GDPR.

Misure previste del protocollo che riguardano la protezione dei dati personali

Nel contesto in questione si rende ancor più necessaria l’applicazione dei principi di proporzionalità e di minimizzazione dei dati, ossia il trattamento dei dati deve essere proporzionato e limitato a quanto necessario rispetto alle finalità, privilegiando sempre soluzioni meno intrusive e non è consentita la raccolta generalizzata e a priori di informazioni attinenti lo stato di salute del lavoratore.

Vediamo ora quali sono, tra le misure previste dal “Protocollo”, quelle che interessano il trattamento dei dati e quali accortezze bisogna mettere in pratica per rispettare i principi e le norme sancite dal Regolamento (UE) 2016/679.

1) Informazione

Il Protocollo prevede che l’azienda debba rendere visibili nei locali aziendali e debba fornire ai lavoratori e a chiunque (fornitori, clienti, visitatori) entri in azienda una serie di informazioni, che riguardano:

– l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37,5°C) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;

– la consapevolezza e l’accettazione del fatto di non poter fare ingresso o di poter permanere in azienda e di doverlo dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc) in cui i provvedimenti dell’autorità impongono di informare il medico di famiglia e l’autorità sanitaria e di rimanere al proprio domicilio;

– l’impegno a rispettare tutte le disposizioni delle autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene);

– l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.

Benché la situazione di emergenza e il rischio del contagio siano trasversali a ogni realtà aziendale, occorre che ogni singola azienda fornisca le informazioni previste, mediante un “protocollo interno” adeguato al contesto lavorativo e individui la “figura aziendale di riferimento” alla quale il lavoratore o chiunque entri in azienda dovrà rendere le informazioni. A seconda della struttura aziendale, tale “figura” potrà essere individuata, e nominata formalmente con apposita lettera, nella persona del datore di lavoro (DdL),nel medico competente, nel responsabile delle risorse umane, nel RSPP, o in altre figure adatte al ruolo già presenti nell’organico o in una figura istituita ad hoc.

Si consiglia inoltre, di stabilire un canale riservato di comunicazione attraverso il quale far fluire tutte le informazioni previste dal “Protocollo” in modo che siano garantite la segretezza e la dignità del lavoratore. I soggetti che tratteranno i dati in tale contesto di emergenza dovranno sottoscrivere un impegno alla riservatezza (qualora non lo abbiano già fatto in precedenza in riferimento alla loro funzione, come nel caso del medico competente) e dovranno trattare i dati secondo le istruzioni specifiche del titolare (datore di lavoro) affinché venga garantita la non comunicazione o la non diffusione a soggetti non autorizzati.

2) Modalità di ingresso in azienda

Per quanto riguarda la protezione dei dati, questo secondo punto del “Protocollo” è quello che maggiormente richiede la nostra attenzione, laddove prevede che:

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

– il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°C, non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione – nel rispetto delle indicazioni riportate in nota – saranno momentaneamente isolate e fornite di mascherine non dovranno recarsi al pronto soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni;

– il datore di lavoro informa preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio secondo le indicazioni dell’OMS;

– per questi casi si fa riferimento al Decreto legge n. 6 del 23/02/2020, art. 1, lett. h) e i);

– l’ ingresso in azienda di lavoratori già risultati positivi all’infezione da Covid-19 dovrà essere preceduto da una preventiva comunicazione avente a oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione” del tampone secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza;

– qualora, per prevenire l’attivazione di focolai epidemici, nelle aree maggiormente colpite dal virus, l’autorità sanitaria competente disponga misure aggiuntive specifiche, come ad esempio, l’esecuzione del tampone per i lavoratori, il datore di lavoro fornirà la massima collaborazione.

Innanzitutto, il controllo della temperatura corporea è previsto come possibilità e non come obbligo, ciò non toglie, quindi, che le aziende decidano di adottare, in aggiunta o sostituzione a quelle previste, altre misure come i test sierologici o i tamponi.

In ogni caso, bisogna sempre prevedere delle idonee misure di sicurezza per proteggere il dato che in questo caso è un dato anche “particolare” trattandosi di informazioni riguardanti lo stato di salute. Costituisce attività propedeutica in tal senso elaborare e fornire (anche oralmente, come previsto dal Protocollo) o esporre, nell’area dove vengono adottate le misure di controllo, una adeguata informativa ai sensi dell’art. 13 del GDPR, ma nulla vieta al datore di lavoro, titolare del trattamento, di far sottoscrivere copia dell’informativa “per avvenuta consegna”.

L’informativa dovrà indicare:

– come finalità “prevenzione dal contagio da Covid-19”;

– come base giuridica, prima di specificare “l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020” come previsto dal Protocollo ritengo sia necessario indicare altresì le condizioni di liceità del trattamento previste dal Reg. (UE) 2016/679 ossia l’art. 6 par. 1 lettere c) – d) e l’art. 9 par. 2 lettera b);

– come periodo di conservazione, benché sia stato convenuto di indicare “fino al termine dello stato di emergenza”, in un’ottica di limitazione del periodo di conservazione dei dati trattati penso sia più opportuno indicare “la fine dello stato di emergenza” solo in via residuale e ridurre tale termine in relazione al raggiungimento di una finalità ben precisa (ad es.: fine del periodo di quarantena del lavoratore e successivo reintegro in azienda, ricostruzione della filiera dei contatti stretti del lavoratore risultato positivo…).

Tra le condizioni di liceità del trattamento il “consenso” dell’interessato è la condizione che trova applicazione ogni qualvolta non vi siano i presupposti per poter applicare le altre condizioni previste. Pertanto, poiché il presupposto (base giuridica) che rende legittimo il trattamento è previsto dal GDPR ed è specificato nelle misure adottate dal governo finalizzate a contrastare la diffusione dell’epidemia, in queste circostanze non è necessario chiedere il consenso agli interessati.

Qualora si opti per la misurazione della temperatura corporea, di regola non si deve registrare il dato acquisito e associarlo al lavoratore (o soggetto che deve entrare in azienda) identificandolo; solo al superamento della soglia di 37,5°C che è quella che non consente l’ingresso, si può registrare il dato e procedere con l’identificazione.

Nell’adozione delle varie misure di sicurezza bisogna sempre tenere nella massima considerazione e tutelare anche la privacy dei lavoratori e di chiunque entri in azienda; ad esempio, bisogna fare in modo che la rilevazione della temperatura del personale non sia visibile o comprensibile a terzi (intesi anche come gli altri soggetti che devono fare il loro ingresso in azienda) e che sia garantita la riservatezza e la dignità di colui che risulti avere una temperatura superiore a 37,5°C o sviluppi dei sintomi durante l’attività lavorativa e necessiti di immediato isolamento. Sarà compito del datore di lavoro individuare le modalità più opportune al riguardo allestendo, ove possibile, degli appositi spazi e implementando delle procedure adeguate a garantire la sicurezza di tutti.

Infine, se si richiede all’interessato una dichiarazione circa la provenienza da zone a rischio epidemiologico o l’assenza di contatti con persone risultate positive, come previsto dal Protocollo, bisogna evitare di ottenere informazioni aggiuntive e non necessarie tipo i dati anagrafici di chi è risultato positivo o la specificità dei luoghi.

3) Modalità di accesso dei fornitori esterni

Il Protocollo prevede che debba essere “ridotto, per quanto possibile, l’accesso ai visitatori; qualora fosse necessario l’ingresso di visitatori esterni (impresa di pulizie, manutenzione…), gli stessi dovranno sottostare a tutte le regole aziendali, ivi comprese quelle per l’accesso ai locali aziendali di cui al precedente paragrafo 2”.

In questo terzo paragrafo il Protocollo crea un po’ di confusione, in quanto, considera come visitatori esterni coloro che svolgono attività in outsourcing ed estende anche a essi le regole aziendali previste.

Si rende opportuno chiarire le diverse posizioni: visitatore, fornitore e cliente.

È ovvio che in tale situazione di emergenza non è necessario che il semplice “visitatore” acceda ai locali aziendali. Per quanto riguarda il fornitore, occorre un distinguo: il fornitore di materiali potrà lasciare la merce all’esterno dei locali aziendali seguendo le procedure stabilite, il fornitore di servizi invece, qualora abbia necessità per lo svolgimento del proprio lavoro di entrare in azienda, nel momento in cui varcherà la soglia sarà, ai sensi del D.Lgs. 81/08, considerato a tutti gli effetti un lavoratore pertanto, dovrà sottostare a tutte le misure di sicurezza previste. Mentre non sarà necessaria l’identificazione del cliente, qualora, essendo indifferibile il suo accesso, gli venga rilevata, all’ingresso aziendale, una temperatura oltre il limite.

Conclusioni

La disomogeneità delle realtà produttive e il fatto che ogni azienda abbia organici più o meno complessi comporta l’adattamento di ogni misura di sicurezza a quelle che sono le caratteristiche proprie di ognuna. È tuttavia fondamentale stabilire delle procedure dettagliate e attivare un confronto con le funzioni, al tal fine preposte, affinché ogni misura di tutela adottata possa essere condivisa e resa più efficace dal contributo e dall’esperienza delle persone che lavorano.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA
D
Daniela Di Leo
Avvocato - ICT | Consulente Privacy & Data Protection
Argomenti trattati

Approfondimenti

C
covid-19
D
data protection
G
GDPR

Articolo 1 di 5