Privacy News – Marzo 2020

Il D.L. 6 del 23.02.2020 prevede che le imprese possano misurare la febbre dei dipendenti per evitare possibili situazioni di contagio. Non potendo utilizzare scanner come avviene negli aeroporti, sorge il problema della tutela dei dati dei singoli soggetti controllati, di cui si conoscono nome e cognome.

Da un lato sussiste l’esigenza di evitare possibili contagi che porterebbero alla chiusura degli impianti, almeno per i quattordici giorni della quarantena; dall’altro i soggetti controllati potrebbero rifiutarsi di sottoporsi alla misurazione o potrebbero non prestare il consenso. Inoltre il consenso del dipendente potrebbe considerarsi non correttamente raccolto, visto lo stato di soggezione del dipendente nei confronti del datore di lavoro.

O ancora potrebbe essere illecito il trattamento dei dati derivanti dal controllo: ad es. è corretto registrare nome e cognome del dipendente controllato?
E in caso di febbre superiore a 37,5° il datore di lavoro può comunicare agli altri dipendenti il nominativo del collega influenzato al fine di tutelarli da un eventuale contagio?
Infine chi deve effettuare tale controllo? Potrebbe anche essere il dipendente stesso a misurarsi la temperatura?

Il Garante della Privacy con la comunicazione del 02.03.2020 (consultabile qui) ha chiarito che:

I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.

Specifica, inoltre, che” la finalità di prevenzione deve essere svolta da organi deputati alla raccolta delle informazioni, quali gli operatori sanitari.“
Accanto a questo divieto, riferito ad un’eventuale attività indiscriminata, sussiste, però, l’obbligo del lavoratore “di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro”.

A tale proposito è notizia di oggi l’apertura di un procedimento penale nei confronti di un paziente, il quale avrebbe tenuto nascosto ai medici che dovevano effettuare un’operazione di chirurgia estetica la presenza di febbre, visto che tale persona sarebbe poi risultata positiva al tampone.

In sintesi il Garante diffida le aziende ad astenersi dall’effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori, raccolta che non sia normativamente prevista o disposta dagli organi competenti.
Il Garante ritiene, infatti, che seppure si possa in astratto invocare la presenza un interesse pubblico superiore come previsto dall’art., 9 del GDPR, non vi sia allo stato uno specifico provvedimento di legge, che giustifichi l’attività delle imprese.

A fronte di tutto questo, le imprese non dovranno effettuare controlli all’ingresso senza dare una chiara informativa ai soggetti interessati su cosa verrà fatto dei dati ottenuti e senza ottenere uno specifico consenso.
Inoltre tali controlli dovranno avvenire in luoghi riservati o comunque in modo tale che non ne vengano a conoscenza terzi e senza che si verifichi una sorta di “caccia all’untore”, magari effettuata da soggetti senza alcuna qualifica medica.
Il controllo sarà attuato dal medico aziendale o, in casi di impossibilità per ragioni ad es. di numero dei dipendenti, tramite le strutture sanitarie.

Anche in caso di comunicazione volontaria da parte del dipendente sul suo stato di salute, l’impresa non potrà comunicare a tutti gli altri dipendenti i nomi e le condizioni di chi sta male. Le misure di sicurezza dovranno essere approntate evitando di fare conoscere il nominativo della persona.

Infine la raccolta delle informazioni potrebbe essere utilizzata per costituire un dossier utile da un punto di vista scientifico, ma sempre nel rispetto della disciplina privacy vigente.

È evidente che gli specifici interventi dovranno essere adattati alla singola realtà aziendale, ma si possono comunque elencare una serie di attività che le imprese possono effettuare, tenuto sempre conto che è presumibile che nei giorni successivi potrebbero essere emessi provvedimenti che chiariscano maggiormente il quadro normativo.

1. Inserire una comunicazione all’ingresso dell’azienda con la quale si vieti l’accesso a chi abbia sintomi influenzali, febbre o tosse, posizionando magari termometri in zona non visibile chiedendo alle persona di procedere volontariamente alla misurazione. In questo caso qualche problema potrebbe sorgere comunque per errori nella misurazione stessa o per l’assenza di una verifica da parte del datore di lavoro sull’esito del test.
2. Predisporre un’informativa completa e richiedere il consenso per effettuare la misurazione, che avverrà ad opera del medico aziendale o di personale delegato competente. In tal caso non dovrà comunque essere registrato il dato acquisito, salvo sia necessario per documentare la ragione che ha impedito l’accesso.
3. L’informativa dovrà prevedere come finalità del trattamento la prevenzione dal contagio da COVID-19, come base giuridica l’utilizzo di protocolli di sicurezza anti- contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e come durata della conservazione dei dati il termine dello stato d’emergenza.
4. Definire e predisporre le misure di sicurezza e organizzative adeguate a proteggere i dati. Quindi quali saranno i soggetti preposti al trattamento; quali le istruzioni date (es. i dati non devono essere diffusi o comunicati a terzi al di fuori ad es di richiesta da parte dell’Autorità sanitaria); come sarà disposta la protezione dei dati in formato elettronico o cartaceo.