Salute e sicurezza: la privacy in azienda ai tempi del Covid

Last Updated on July 31, 2020

Di: Avv. Wanda Falco

L’emergenza sanitaria da Covid-19 ha reso necessari interventi volti a disciplinare l’ingresso in azienda dei dipendenti al fine di evitare la formazione di focolai all’interno dei luoghi di lavoro.

Il DPCM del 26 aprile 2020, in particolare, ha previsto che la ripresa/prosecuzione delle attività produttive debba avvenire solo in presenza di condizioni idonee ad assicurare ai lavoratori adeguati livelli di protezione (indicati nel Protocollo condiviso di regolamentazione per il contenimento della diffusione del COVID-19 nei luoghi di lavoro del 24 aprile 2020). 

In particolare, si ricorda l’obbligo per il datore di lavoro di impedire l’accesso ai lavoratori che abbiano una temperatura corporea superiore a 37.5 o che nei 14 giorni precedenti abbiano avuto contatti con soggetti risultati positivi al Covid-19 o provengano da zone a rischio secondo le indicazioni dell’OMS. 

Si ricordano poi gli obblighi connessi alla gestione di un dipendente che mentre è al lavoro sviluppi febbre e sintomi di infezione respiratoria: l’azienda deve avvertire immediatamente le autorità sanitarie competenti e i numeri di emergenza forniti dalla Regione o dal Ministero della Salute nonché collaborare con le autorità sanitarie per la definizione degli eventuali “contatti stretti” al fine di consentire l’applicazione delle misure di quarantena. 

L’adempimento di tali obblighi comporta il sorgere di alcune problematiche connesse alla tutela della privacy dei dipendenti. Infatti, la rilevazione della temperatura corporea così come la raccolta di informazioni relative alla presenza o meno di sintomi influenzali, ai recenti contatti con soggetti risultati positivi o alla provenienza da aree maggiormente a rischio costituiscono trattamento di dati personali.

Vediamo, pertanto, nel dettaglio cosa dice il Garante privacy.

Misurazione della temperatura corporea ai dipendenti

Una questione che è stata subito oggetto di pronuncia da parte del Garante privacy è quella relativa alla possibilità per il datore di lavoro di rilevare la temperatura corporea del personale dipendente all’ingresso della propria sede. 

Come anticipato, il DPCM e il protocollo condiviso citati prevedono tra le misure per il contrasto alla diffusione del virus la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali.

Il Garante privacy nelle apposite Faq ha precisato che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali ex art. 4 del Regolamento UE 2016/679; pertanto, nel rispetto del principio di “minimizzazione” (secondo cui i dati trattati devono essere solo quelli strettamente funzionali al perseguimento delle finalità dichiarate dal titolare del trattamento) non è possibile registrare il dato relativo alla temperatura corporea rilevata, ma è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge, essendo necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. 

Richiesta ai dipendenti di informazioni sull’esposizione al contagio 

Altro quesito particolarmente rilevante è quello relativo alla possibilità per l’impresa di richiedere ai propri dipendenti di rendere, ad esempio, un’autodichiarazione in merito all’eventuale esposizione al contagio da Covid-19, quale condizione per l’accesso alla sede di lavoro. 

Considerato che tra le misure di prevenzione e contenimento del contagio vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio, è possibile richiedere una dichiarazione che attesti tali circostanze. 

Tuttavia, come specificato dal Garante, dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19 senza richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

Diffusione del nome del lavoratore contagiato

Il datore di lavoro, nell’ambito dell’adozione delle misure di protezione e in attuazione dei propri doveri in materia di sicurezza nei luoghi di lavoro, non può comunicare a chiunque il nome del dipendente o dei dipendenti che hanno contratto il virus

Egli deve comunicare i nominativi del personale contagiato esclusivamente alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi. 

Pertanto, il datore non può comunicare i nominativi dei lavoratori affetti da Covid-19 né al Rappresentante dei lavoratori per la sicurezza né agli altri lavoratori: spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato. 

Test sierologici ai dipendenti

È possibile effettuare test sierologici ai dipendentima solo se ciò è disposto dal medico competente: egli, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può ritenere necessari particolari esami clinici e biologici e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili ai fini del contenimento della diffusione del virus e della salute dei lavoratori.

Resta fermo che le informazioni relative alla diagnosi non possono essere trattate dal datore di lavoro, ad esempio, mediante la consultazione dei referti o degli esiti degli esami; egli può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro. 

Inoltre, i datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame. 

Le app che consentono il contact tracing

Altra problematica di particolare interesse è quella relativa alla possibilità di utilizzo in ambito aziendale di app con funzionalità di “contact tracing” al fine di contenere il rischio di contagio negli ambienti di lavoro.

Secondo il Garante privacy il datore di lavoro può utilizzare app che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Si tratta, ad esempio:

  • delle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; 
  • di alcuni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita, senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione;
  • di applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina, senza registrare alcuna immagine o altra informazione.

L’informativa sul trattamento dei dati dei dipendenti 

Il trattamento di dati personali dei dipendenti richiede un’adeguata informativa (ai sensi dell’art. 13 GDPR) circa l’identità del titolare del trattamento, la tipologia di dati trattati, la finalità e la base giuridica del trattamento, le modalità dello stesso, la durata della conservazione dei dati e i diritti dell’interessato.

In sostanza, nell’informativa bisogna specificare che i dati personali oggetto di trattamento sono, ad esempio, la temperatura corporea rilevata all’ingresso della sede di lavoro, le informazioni relative allo stato di salute e all’eventuale insorgenza di sintomi influenzali e da infezione respiratoria nonché quelle relative agli spostamenti e alle persone con cui il lavoratore sia venuto a contatto negli ultimi 14 giorni.

Va specificato che il trattamento di tali dati avviene al fine di prevenire il contagio da Covid-19, in conformità ai protocolli di sicurezza elaborati dal Governo con la conseguenza che il datore di lavoro è legittimato a non permettere l’accesso e la permanenza in azienda a coloro che non vogliano prestare il consenso. 

Per quanto riguarda la conservazione dei dati, l’informativa deve specificare che i dati relativi alla temperatura corporea saranno esclusivamente oggetto di rilevazione e non saranno conservati, salvo il caso di superamento della soglia che non consente l’ingresso in azienda, e che qualsiasi dato raccolto sarà conservato fino al termine dello stato di emergenza e non sarà comunicato a terzi salvo i casi previsti dalla legge (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali contatti stretti di un lavoratore risultato positivo al Covid-19).

Conclusioni

L’emergenza epidemiologica da Covid-19 ha reso molto complessa l’organizzazione interna delle aziende nella fase di ripresa. 

Il controllo degli accessi nei luoghi di lavoro e la gestione delle persone sintomatiche nonché degli spostamenti all’interno dell’azienda oltre a richiedere una totale riorganizzazione interna e il sostegno di spese necessarie all’acquisto dei DPI e di tutti gli strumenti necessari a gestire l’emergenza, hanno determinato il sorgere di alcuni dubbi sulla tutela della privacy dei dipendenti, dubbi ai quali il Garante privacy ha risposto nei termini illustrati.