La raccolta dei dati sensibili
Al fine di permettere la riapertura delle aziende, è stato emanato lo scorso 24 aprile un protocollo di sicurezza recante le misure idonee a limitare i contagi sul posto di lavoro. Nel predisporre le regole, la tutela della salute, sebbene di primaria importanza, è stata inevitabilmente oggetto di bilanciamento con altri diritti, la cui violazione può dar luogo a responsabilità.
Partiamo dalle basi: stiamo parlando di dati personali relativi alla salute, rientranti nella categoria comunemente definita “dati sensibili”, oggetto di una disciplina di maggior rigore. Il GDPR, testo normativo di riferimento in materia di privacy, ne ammette il trattamento “per motivi di interesse pubblico nel settore della sanità, quali la protezione da gravi minacce per la salute a carattere transfrontaliero” e “per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione” (cfr. Art 9.2 lett i e Considerando n. 46 GDPR). Ciò legittima l’acquisizione di una serie di nuovi dati personali da parte del titolare, sia che si tratti della grande azienda o del piccolo esercente commerciale (si pensi, ad esempio, alla rilevazione della temperatura corporea effettuata in varie modalità all’ingresso di un negozio o del posto di lavoro).
Come comportarsi con il lavoratore: informativa, rilevazione della temperatura, comunicazione del contagio.
Innanzitutto, grava sul titolare l’obbligo di informare i propri lavoratori (o clienti) circa le misure di sicurezza adottate in azienda e le modalità di trattamento dei dati personali. L’informativa può essere presentata anche in forma orale e deve contenere le basi giuridiche che legittimano il trattamento (si suggerisce di indicare l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n.7, lett. d) del DPCM 11 marzo 2020). Non è necessario, sebbene sia consigliabile, ribadire le informazioni di cui il lavoratore sia già in possesso.
Per quanto riguarda il trattamento vero e proprio, il GDPR è chiaro. L’art 5 lett. c) sancisce che i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono raccolti (principio di minimizzazione).
Il datore di lavoro è dunque legittimato a rilevare la temperatura corporea dei propri dipendenti purché agisca nel rispetto dei protocolli di sicurezza, così come può obbligarli ad indossare la mascherina, il casco o gli scarponi antinfortunistici. Quello che non può fare è, ad esempio, richiedere informazioni sanitarie che esulino dal contesto pandemico (non potrà dunque domandare al dipendente se sia afflitto da patologie pregresse o da sintomi non riconducibili all’infezione da SARS-CoV-2). Come spiegato dal Garante privacy, tuttavia, le imprese possono richiedere al proprio personale, anche mediante un’autodichiarazione, di rendere informazioni relative ad un’eventuale esposizione al contagio, in conformità con le misure di prevenzione previste dal protocollo che precludono l’accesso alla sede di lavoro (o all’esercizio commerciale) a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio.
Aggiornamento del Registro dei trattamenti
Il titolare deve inoltre individuare i soggetti preposti al trattamento e fornire loro le relative istruzioni, al fine di evitare che i dati siano diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria) e di assicurarsi che il trattamento sia conforme alle finalità di prevenzione dal nuovo coronavirus.
Infine, le aziende per cui vige l’obbligo di tenuta del registro del trattamento, dovranno procedere ad aggiornarlo, inserendo i dati relativi alle misure di sicurezza previste dal protocollo.
Daniele Dhoor Singh