Skip to main content

Il trattamento dei dati personali nell’emergenza Coronavirus

di Chiara Bellini, Maura Mialich, Andrea Moriggi, Lorenzo Nosari e Antonella Sergi.


La portata dirompente dell’infezione da coronavirus sta mettendo alla prova la resilienza del nostro paese, ed in particolare, la tenuta del suo sistema economico. In questo contesto, gli interrogativi di natura legale sul trattamento dei dati personali di lavoratori, personale esterno ed utenti che accedono o transitano in aziende, studi professionali e banche non si son fatti attendere.

L’intervento del Garante del 2 marzo 2020 è stato utile, da un lato a precisare che “resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro”, e dall’altro perché ha invitato i titolari del trattamento a non “effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”. Ciò che manca, tuttavia, è un vademecum pratico che consenta ai titolari del trattamento che abbiano preso delle misure per tutelare i lavoratori dal coronavirus, di orientarsi nelle situazioni quotidiane che riguardano il trattamento dei dati personali di questi ultimi.

L’obiettivo di questo articolo è proprio quello di illustrare in maniera cristallina e schematica quali sono, secondo noi, le conseguenze giuridiche delle attività che toccano proprio il delicato tema del bilanciamento degli interessi – già di per sé complesso – del titolare del trattamento e dell’interessato, rispondendo proprio a domande che toccano gli scenari tipici che un’azienda si trova ad affrontare.


E’ possibile informare i colleghi dell’identità di un collega contagiato

Sì, è possibile. 

 

Salvo diversi accordi tra datore di lavoro e lavoratore, quest’ultimo non ha l’obbligo giuridico di tutelare la riservatezza delle informazioni riguardanti lo stato di salute di un collega. Resta fermo, invece, il suo dovere di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza nei luoghi di lavoro.

Se chi tratta i dati particolari del lavoratore, invece, è il datore di lavoro, quest’ultimo deve fondare il trattamento sul consenso dell’interessato (art. 9 GDPR, par. 2, lett. a); la necessità di fronteggiare particolari situazioni di emergenza (art. 9 GDPR, par. 2, lett. i) è un’ulteriore base giuridica del trattamento dei dati particolari, che rende possibile la compressione del diritto alla riservatezza, non assoluto, per motivi straordinari e di pubblico interesse. In quest’ultima ipotesi è opportuno interpellare preventivamente gli organi deputati a garantire il rispetto delle regole di pubblica sanità (autorità sanitarie e protezione civile).


E’ possibile raccogliere un’autodichiarazione dei dipendenti/visitatori sull’assenza di sintomi influenzali?

Sconsigliato

 

Tale comportamento è ora sconsigliato alla luce del recente comunicato del Garante, che si è espresso in senso contrario a questa condotta. Anche qualora ciò fosse possibile, resterebbe tuttavia subordinato all’ottenimento del consenso specifico dell’interessato. Va ricordato, infatti, che il principio di minimizzazione del trattamento dei dati impone di raccogliere i dati strettamente necessari al raggiungimento della scopo prefissato.

Sarebbe consigliabile, quindi, sostituire l’autodichiarazione con una comunicazione ai dipendenti o un avviso affisso nei locali dell’azienda con cui si invita coloro che abbiano frequentato aree o soggetti a rischio a non recarsi sul luogo di lavoro. Va tenuto presente, peraltro, che tale documento non avrebbe alcun valore giuridico ai fini dell’accertamento della veridicità delle informazioni raccolte.


E’ possibile raccogliere in maniera sistematica e generalizzata i dati sui sintomi dei dipendenti e la loro temperatura corporea?

No, è illecito. 

 

Nel contesto di lavoro subordinato, l’ipotesi di una condotta indagatoria del datore di lavoro volta all’assunzione e all’accertamento di informazioni circa i sintomi tipici del Coronavirus e gli eventuali spostamenti dei dipendenti, anche tramite l’acquisizione di loro “autodichiarazioni”, è perentoriamente esclusa. Il Garante della Privacy, infatti, ha specificato come l’attività di prevenzione della diffusione della malattia ed il monitoraggio dei movimenti dei singoli soggetti sia di esclusiva competenza degli Operatori Sanitari e delle squadre della Protezione Civile, ovvero delle istituzioni specificatamente adibite a garantire la sicurezza nazionale in termini di sanità pubblica. 


E’ possibile raccogliere in maniera sistematica e generalizzata dati sui sintomi dei visitatori e la loro temperatura corporea?

No, è illecito.

 

Allo stesso modo, il “filtro di accesso” ai luoghi di lavoro consistente nell’assunzione preliminare scritta di informazioni circa lo stato di salute e gli ultimi spostamenti di tutti i visitatori è categoricamente vietato. La comunicazione del Garante del 2 marzo scorso, ha precisato che non è consentito “registrare” i predetti dati personali dell’individuo entrante, né di immagazzinare informazioni relative alla sfera privata degli stessi. Le misure di prevenzione, infatti, come già accennato, potranno essere adottate solo dal personale qualificato preposto alla garanzia della salute collettiva, rimanendo esclusa qualsiasi ipotesi di self processing dei dati personali. 


E’ possibile misurare la temperatura corporea di dipendenti/visitatori e chiedere oralmente informazioni sulla presenza di sintomi specifici ma senza memorizzare i dati o comunicarli a terzi?

No, è illecito.

 

La sola rilevazione della temperatura corporea costituisce di per sé un trattamento dei dati personali, indipendentemente dall’annotazione del dato predetto. Di conseguenza, se la raccolta non viene svolta conformemente al GDPR, scatteranno a carico dell’ente le sanzioni previste. Oltretutto, la raccolta di queste informazioni, già di per sé lesiva della riservatezza dell’interessato, potrebbe rivelarsi da un lato inutile data l’inattendibilità dell’informazione raccolta, e dall’altro potenzialmente pericolosa: gli intervistati potrebbero infatti mentire o non essere in grado di autodiagnosticarsi i sintomi tipici. 


E’ possibile raccogliere dati sugli spostamenti recenti (ad esempio in zone rosse o gialle) dei dipendenti o dei visitatori, oppure dei loro familiari?

No, è illecito.

 

La raccolta di qualsiasi informazione è sempre subordinata alla presenza di un’adeguata base giuridica. Agli enti che stanno adottando misure di prevenzione, il Garante ha chiarito che, in particolare, la comunicazione degli spostamenti dei cittadini è di competenza esclusiva delle autorità pubbliche, aziende sanitarie territoriali e protezione civile su tutte, al fine di attuare misure di pubblico interesse per contenere l’epidemia.


E’ possibile chiedere informazioni sui sintomi/temperatura corporea dei dipendenti senza aver predisposto un’informativa specifica sul trattamento dei dati personali?

No, è illecito.

Giova però ricordare, come indicato dal Garante per la Privacy, che i datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore stesso e dei suoi contatti più stretti o comunque rientranti nella sfera non lavorativa.

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.


Autori:

 

 
 
Per altri articoli e informazioni sul tema covid-19, accedi qui gratuitamente al Coronavirus Special Coverage di CyberLaws.
en_US