Nessun evento come l’emergenza Covid ha dato al tema della protezione dei dati personali, e all’applicazione della sua disciplina di base, contenuta nel Regolamento (UE) 2016/679 (GDPR), una concretezza tanto evidente e drammatica.
Sin dall’entrata in vigore della norma europea, e dell’adeguamento alla stessa del diritto italiano con il D.lgs. 101/18, è stato sottolineato come ci si trovasse di fronte ad una norma che non intendeva imporre limitazioni formaliste, ma piuttosto fornire gli strumenti per trattare i dati in modo utile, economicamente e socialmente, e allo stesso tempo legittimo in chiave di rispetto dei diritti fondamentali dell’individuo, secondo la responsabilità di ognuno. Si rinvia, in proposito, ai volumi “GDPR il nuovo regolamento privacy. Istruzioni per l’uso” e “GDPR l’adeguamento interno D.Lgs. 101/2018”) editi da Confindustria Radio Televisioni in collaborazione con la LUISS.
Si può dire che è arrivato il momento di usare questi strumenti per un fine che è al tempo stesso economico, sociale ed etico, ossia rimettere in attività le imprese garantendo al tempo stesso la sicurezza dei lavoratori e la limitazione del contagio.
Il GDPR consente certamente il trattamento dei dati dei lavoratori per finalità connesse alla loro sicurezza (anche se relativi allo stato di salute) e al tempo stesso ne consente il trattamento per ragioni connesse alla sicurezza della collettività tutta.
Non è stato subito chiaro, tuttavia, se e in che limiti il datore di lavoro potesse indagare sui propri dipendenti per aspetti legati al contrasto al Covid.
Come avevamo ricordato infatti in un primo momento il Garante aveva ritenuto che le indagini finalizzate alla prevenzione del contagio fossero riservate alle Autorità sanitarie. Successivamente, con la dichiarazione del 16.3.2020, anche l’European Data Protection Board ha affermato che il GDPR prevede basi legali per autorizzare anche i datori di lavoro a trattare dati personali in un contesto di epidemia.
Le ultime FAQ del Garante hanno fornito un ulteriore tassello al quadro delle indicazioni di comportamento.
Andiamo ad analizzare i singoli temi.
In primis, la rilevazione della temperatura corporea, imposta dal protocollo: essa è ovviamente consentita (anche se sul punto il Garante si limita prudentemente a richiamare il “Protocollo condiviso delle misure di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, sottoscritto il 14 marzo scorso dalle Organizzazioni di rappresentanza dei datori di lavoro, Cgil, Cisl, Uil e condiviso con il Governo, poi aggiornato il 24 aprile scorso ), ma non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro”.
Si tratta di una limitazione che non pare giustificata: non si vede perché il datore di lavoro non possa registrare anche lievi alterazioni della temperatura corporea, inferiori ai canonici 37,5 gradi, per decidere se è opportuno o meno far accedere il lavoratore, oppure adottare turnazioni o lavoro agile.
Per la richiesta di autodichiarazioni su contatti o viaggi in zone a rischio c’è il via libera del Garante, con la considerazione, condivisibile, per la quale dovranno essere raccolti solo i dati necessari, adeguati e pertinenti.
Ugualmente condivisibili sono le indicazioni relative all’attività del medico competente il quale, in ottemperanza a quanto previsto dal testo unico per la sicurezza sul lavoro, non fornirà dati sulla malattia del lavoratore, ma dovrà comunque fornire notizie al datore di lavoro nel caso in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. In proposito, tuttavia, va segnalato che l’individuazione dei lavoratori “fragili” spetta ai medici di base, ex art. 26 della legge 27/2020 (di conversione del DL 18/2020, c.d. “Cura Italia).
Le ultime due risposte riguardano le identità dei lavoratori contagiati: esse non possono essere comunicate né al rappresentante dei lavoratori per la sicurezza né agli altri lavoratori. Della ricostruzione della filiera dei contagi deve occuparsi, secondo la normativa, l’Autorità sanitaria.
Si tratta del punto più delicato, ad avviso di chi scrive.
È ovvio che non può essere sacrificata la privacy dei contagiati, e che occorre tutelarli dallo stigma sociale, come ha più volte sottolineato il board dei garanti europei (da ultimo con le “Linee guida 4/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19”).
D’altra parte, il bene della salute (anzi, il bene della vita) deve essere salvaguardato a prescindere, e il datore di lavoro non può “far finta di niente” se nella sua azienda si sono verificati contatti a rischio e se le Autorità non intervengono tempestivamente. Una soluzione potrebbe essere, in alcuni casi, chiudere i reparti coinvolti e avvisare singolarmente i lavoratori del rischio, senza indicare il nominativo del soggetto contagioso. Inutile dire che ciò non è possibile in piccoli reparti dove sarebbe facile risalire al lavoratore in questione.
Nel difficile equilibrio tra doveri di tutela e sorveglianza sanitaria giocherà il suo ruolo più importante il rispetto dei protocolli di sicurezza all’interno dell’azienda, nel senso che il rischio di trasmissione all’interno del luogo di lavoro deve essere il primo oggetto di minimizzazione, ancor prima dei dati personali.
Avv. Giuseppe Colaiacomo