Alle prime avvisaglie dell’epidemia molte aziende hanno opportunamente adottato misure di cautela nei confronti dei propri lavoratori, richiedendo loro autocertificazioni sullo stato di salute o effettuando misurazioni della temperatura all’ingresso. Inutile dire che tutto ciò è utile e necessario, non solo per evitare il contagio all’interno dell’azienda, ma anche per isolare casi a rischio, a tutto vantaggio della collettività.
Sorprendentemente, il Garante Privacy italiano era intervenuto a stigmatizzare tali buone prassi, affermando che “I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato” (comunicato del 2.3.2020) su cui CRTV aveva emesso una comunicazione dedicata agli associati.
Pertanto, secondo l’Autorità, un’impresa non potrebbe indagare sugli spostamenti dei dipendenti, o verificare se hanno la febbre. Di conseguenza si troverebbe in difficoltà nel prendere misure adeguate, come adibire alcuni allo smartworking, riorganizzare i reparti, scaglionare gli ingressi etc.
Eppure l’art. 9 del GDPR prevede che è legittimo trattare i dati relativi alla salute se ciò è necessario per motivi di interesse pubblico (lett. g), per finalità di medicina preventiva o di medicina del lavoro (lett. h), motivi di interesse pubblico nel settore della sanità pubblica (lett. i).
Si tratta di norme che non si rivolgono solo alle autorità pubbliche, ma a tutti i titolari di trattamento di dati personali che possono interessarsi di comportamenti che mettono a rischio l’intera collettività, e ancor di più una comunità ristretta come quella di un’impresa.
La collaborazione dei datori di lavoro, con le dovute garanzie, è preziosissima in questa fase, e non deve essere la tutela della riservatezza a incidere negativamente su un impegno che è comunque gravoso per molti imprenditori responsabili. La successiva evoluzione (andata di pari passo con l’aggravarsi della situazione sanitaria) ha imposto il superamento di tali limiti.
Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” siglato il 14.3.2020 ha previsto espressamente che il lavoratore deve “dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc) in cui i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio” e deve “informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti”, superando pertanto, in via pattizia, l’impostazione restrittiva del Garante: non può negarsi che ora sia un dovere del datore di lavoro e del lavoratore condividere dati sulla salute, nell’interesse comune.
Con la dichiarazione del 16.3.2020, anche l’European Data Protection Board ha affermato che il GDPR prevede basi legali per autorizzare i datori di lavoro e le autorità sanitarie a trattare dati personali in un contesto di epidemia, senza bisogno del consenso degli interessati. Si tratta di una presa d’atto del cd. “Garante europeo” quantomai opportuna nei tempi di emergenza che viviamo.
Si può concludere che comportamenti come richiedere ai lavoratori notizie sullo stato di salute, autodichiarazioni e controlli non possono essere considerati contrari al GDPR.
Ovviamente, vanno utilizzate tutte le accortezze che il Regolamento impone e, in particolare, raccogliere e trattare i dati per il tempo necessario e solo per le finalità emergenziali correnti.
L’equilibrio e il bilanciamento di obblighi di cautela e misure di controllo consentiranno la miglior gestione di questa delicata fase.
Avv. Giuseppe Colaiacomo
Si ricorda che sul tema del Regolamento Generale per la Protezione dei dati personali – GDPR CRTV ha pubblicato due testi dedicati, il primo relativo ai contenuti del Regolamento UE, il secondo relativo all’ adeguamento nel nostro ordinamento interno (DLGS 101/2018), testi elaborati da CRTV in collaborazione con il LawLab dell’Università Luiss di Roma.