L’esplosione della pandemia da Covid-19 ha avuto incisive ricadute in tema di trattamento dei dati personali in tutti gli ambiti in cui si manifesta l’attività dell’essere umano.
Tuttavia il campo in cui si sono registrate le maggiori criticità è stato senza dubbio quello lavorativo.
I numerosi provvedimenti normativi che si sono susseguiti dalla dichiarazione dello stato di emergenza in Italia ad oggi hanno infatti creato molta confusione tra le aziende e i liberi professionisti, che da un giorno all’altro si sono trovati a fare i conti con l’implementazione di protocolli di sicurezza anti-contagio e l’effettuazione di scelte su come gestire l’emergenza in corso.
Cerchiamo quindi di fare un pò di chiarezza.
Premessa: dalla dichiarazione dello stato di emergenza alla normativa emergenziale
Lo stato di emergenza in Italia è stato dichiarato con una Delibera del Consiglio dei Ministri del 31 gennaio 2020. Tuttavia all’inizio dell’emergenza sanitaria non sono state fornite indicazioni precise circa la gestione della situazione dal punto di vista privacy.
Molti datori di lavoro, per far fronte all’obbligo su di loro gravante di garantire la sicurezza sui luoghi di lavoro, hanno iniziato sin da subito a raccogliere in maniera autonoma informazioni – circa la presenza di sintomi da Covid-19, notizie sugli ultimi spostamenti e contatti – presso coloro che accedevano in azienda.
Il Garante, con un Provvedimento del 2 marzo 2020, si è preoccupato quindi di scoraggiare gli approcci di privacy “fai da te”, dichiarando che i datori di lavoro dovessero “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato” informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti.
E questo perché, in quel momento, non vi erano norme di legge che dessero adeguata copertura a tali trattamenti.
Finalmente con una serie di Decreti Legge (in particolare il D.L. del 9 marzo 2020 n. 14, il cui testo è confluito nell’art. 17-bis del D.L. del 17 marzo 2020 n. 18) e di Decreti del Presidente del Consiglio dei Ministri (gli ormai “leggendari” Dpcm, in particolare quello dell’11 marzo 2020), è stata prevista l’attuazione di protocolli di sicurezza anti-contagio.
Sulla base di tale decreto è stato quindi adottato il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti lavoro” del 14 marzo 2020, firmato tra Governo e Parti sociali, che successivamente è stato ulteriormente integrato dal Protocollo del 24 aprile 2020.
La nuova versione (tra le altre cose) sottolinea che “la mancata attuazione del Protocollo che non assicuri adeguati livelli di protezione determina la sospensione dell’attività fino al ripristino delle condizioni di sicurezza“.
Si comprende quindi l’importanza cruciale di essere in regola con le norme di legge.
Qual è l’obiettivo del Protocollo? Delineare le corrette ed univoche linee guida per agevolare le imprese nell’adozione di misure di sicurezza anti-contagio.
A fronte di quanto detto parrebbe tutto abbastanza lineare.
Eppure così non è.
Infatti il Protocollo ha lasciato numerosissimi spazi grigi (se non addirittura bianchi) che hanno generato il caos tra imprenditori, funzioni aziendali e consulenti privacy, dando seguito a consistenti contrasti interpretativi.
E ciò soprattutto perché è stata introdotta la possibilità di effettuare la rilevazione della temperatura corporea del personale dipendente di coloro che accedono sui luoghi di lavoro. Rilevazione che, associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1 e 2 GDPR) particolari (art. 9, c. 1 GDPR), come chiarito dalle FAQ del Garante.
Con tutte le criticità che un simile trattamento si porta dietro.
Ma alcuni punti restano fermi. Vediamoli.
- Gli adempimenti preliminari
Al fine di implementare in maniera adeguata i protocolli di sicurezza, come sempre quando si affrontano tematiche di privacy, occorre partire da una serie di adempimenti preliminari.
- Effettuare una valutazione in termini di “necessità del trattamento” in relazione alle specifiche caratteristiche dell’azienda/attività professionale
È chiaro come il piccolo artigiano che vanti un solo collaboratore e la grande società con un numero di dipendenti superiore ai 500 seguano logiche – ed abbiano esigenze – completamente diverse.
Occorre pertanto partire dalla valutazione della necessità del trattamento rispetto alla singola realtà lavorativa.
Nel GDPR non si parla espressamente del principio di necessità, ma di minimizzazione del trattamento, che ne costituisce una sottocategoria, e che richiede che i dati personali siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, co. 1, lett. c, GDPR).
Cosa significa in parole povere? Che bisogna trattare il minor numero possibile di dati personali, solo quelli veramente necessari per realizzare la finalità del trattamento e unicamente per tale finalità.
Quindi, nel nostro caso, occorre valutare quali dati è necessario raccogliere per assicurare il contenimento del contagio da Covid-19 e la sicurezza sul luogo di lavoro, tenendo conto della dimensione, delle prestazioni materialmente poste in essere e via di seguito.
- Documentare il motivo per cui si è ritenuto che le misure in concreto adottate siano indispensabili e necessarie
Questo aspetto, talvolta trascurato, è di non secondaria importanza.
Con il GDPR si è infatti passati da un sistema in cui il legislatore individuava gli adempimenti e gli obblighi da rispettare per essere “a norma”, ad un sistema in cui vi è una sola regola: l’accountability(tradotta un pò approssimativamente in italiano come “responsabilizzazione”).
Il che significa che è il titolare del trattamento/datore di lavoro a decidere cosa fare e come fare per essere compliantal GDPR e (e qui viene il punto) dimostrarlo.
Si comprende quindi l’importanza assoluta di documentare per iscritto i motivi per i quali si è ritenuto di adottare determinate misure e perché si ritiene che esse siano indispensabili e necessarie.
- Valutare l’opportunità di effettuare una Data Protection Impact Assessment (DPIA)
La DPIA (ai sensi dell’art. 35 GDPR) rappresenta la procedura di valutazione di un trattamento in relazione alla necessità, proporzionalità e ai rischi, con la finalità di porre in essere misure adeguate ed idonee nella gestione dei rischi.
Anche in questo caso il punto di partenza è costituito da specifiche domande: che dati si intende raccogliere? Che rischi ci sono in rapporto ad ulteriori trattamenti effettuati dall’azienda, ad esempio la videosorveglianza o il riconoscimento facciale?
Sussiste un rischio elevato per i diritti e le libertà delle persone fisiche?
Anche in questo caso occorre considerare il caso concreto.
Senza dimenticare che tale valutazione deve essere effettuata periodicamente, non basta una DPIA “one shot”!
- Valutare le modifiche che potrebbero essere richieste in altri documenti di conformità relativi alla protezione dei dati
È probabile (ed auspicabile) che già prima della pandemia globale il datore di lavoro si fosse adeguato agli obblighi imposti dal GDPR, redigendo un registro dei trattamenti, informative, ecc.
Ad esempio, potrebbe essere necessario apportare un’integrazione al registro dei trattamenti (art. 30 GDPR), relativamente alla scheda che concerne la categoria degli interessati/dipendenti.
Tutti i documenti preesistenti dovranno essere quindi rivisti alla luce dei trattamenti di dati personali che si deciderà di effettuare (o meno, come vedremo tra poco) per contenere l’emergenza da Covid-19.
- Il trattamento dei dati
Le cautele previste dal Protocollo rispondono all’obiettivo di precludere l’accesso ai locali aziendali da parte di lavoratori o visitatori che potrebbero essere contagiati.
E qui viene il punto.
Si tratta di cautele aventi natura facoltativa.
Questo cosa comporta? Che, in sostanza, sta al datore di lavoro, sulla base delle valutazioni di cui abbiamo parlato sin’ora, decidere cosa fare.
Il datore di lavoro sa che gravano su di lui l’obbligo di tutelare l’integrità psico-fisica e la personalità morale dei lavoratori (ai sensi dell’art. 2087 c.c.) e l’obbligo di tutelare la salute e la sicurezza nei luoghi di lavoro (ai sensi del T.U. sulla sicurezza sul lavoro, il D.Lgs. 81/2008, oltre che ai sensi della normativa emergenziale entrata in vigore negli ultimi mesi).
Quindi, alla luce dei suddetti obblighi generali, il datore di lavoro può e deve assumere i provvedimenti più idonei ad impedire la diffusione di un contagio tra il personale aziendale.
MA, è doveroso il ma, può e deve farlo:
- nel rispetto del principio di necessità/minimizzazione;
- nei soli casi in cui la legge gli consente di effettuare trattamenti di dati personali.
Intersecando il GDPR, il Protocollo condiviso e la normativa emergenziale emerge il quadro seguente.
Il datore di lavoro può valutare se:
- Non fare nulla, inteso come non effettuare alcun trattamento di dati personali.
Una precisazione iniziale è doverosa: per i cantieri edili la misurazione della temperatura corporea di chi vi entra è sempre obbligatoria, così come stabilito dal Protocollo condiviso tra Ministero delle Infrastrutture e Trasporti con le Parti Sociali.
Ma in tutti gli altri casi? Si può decidere di non effettuare alcun trattamento connesso al contenimento del contagio da Covid-19?
La risposta è SI.
Attenzione, non viene meno l’obbligo di informativa “extra privacy”, ossia l’obbligo di informare in maniera adeguata i lavoratori e chiunque acceda a qualunque titolo sui luoghi di lavoro delle regole generali volte a contenere il contagio.
Ci si riferisce all’obbligo di rimanere al proprio domicilio in presenza di febbre (uguale o superiore a 37.5°) o altri sintomi influenzali, il divieto di fare ingresso o di poter permanere sui luoghi di lavoro nei casi in cui, successivamente all’ingresso, sussistano condizioni di pericolo (sintomi di influenza, temperatura, ecc.).
E questo vale per tutti i luoghi di lavoro, dalle grandi multinazionali alla pizzeria di quartiere.
Informazioni, queste, che possono essere fornite in vario modo, ad es. tramite email oppure affiggendo cartelli all’ingresso dei luoghi di lavoro.
Ma al di là di queste cautele, che non hanno dirette ripercussioni sulla privacy, il datore di lavoro può decidere di non procedere alla rilevazione della temperatura o raccogliere informazioni connesse al rischio di contagio.
- Procedere alla sola rilevazione della temperatura.
È bene chiarire da subito un punto.
La sola rilevazione della temperatura, non collegata ad una persona fisica specifica, NON costituisce un trattamento dei dati.
Quindi se ci si limita a tale rilevazione (ad esempio con un termometro a infrarossi) e a dire “ok, puoi entrare” in caso di temperatura inferiore ai 37.5°, oppure “no, non puoi entrare” in caso di temperatura superiore o uguale a 37.5°, senza quindi registrare alcun dato, NON si effettua alcun trattamento.
E, conseguentemente, non occorre porsi alcun problema dal punto del GDPR.
Sei un libero professionista che gestisce un’erboristeria?
Rileva la temperatura e non registrare alcun dato.
E questa dev’essere la strada “prediletta”: il Garante, sempre nelle FAQ, raccomanda di rilevare la temperatura e non registrare il dato acquisto.
E che succede se invece dei termometro a infrarossi si usa un termoscanner? ATTENZIONE: se fa tutto la macchina (e quindi, come si suol dire, si tratta di un “processo decisionale individuale automatizzato”) allora si applica il GDPR, ANCHE se non si registra il dato. INOLTRE è necessario il consenso dell’interessato/lavoratore al trattamento (lo ha ribadito l’EDPB in un documento del settembre 2020)!
E se invece dopo la rilevazione del superamento della temperatura tramite il termoscanner il rifiuto di accesso viene comunicato da un incarico/persona umana?
Allora ok, non si applica il GDPR (perché c’è il c.d. “Intervento umano rilevante”).
Quando è possibile registrare il superamento della soglia della temperatura?
Innanzitutto partiamo da un disclaimer fondamentale: è possibile registrare il dato che vi è stato un superamento, NON la temperatura rilevata.
In sostanza, non si può assolutamente registrare che la temperatura del soggetto sottoposto a rilevazione fosse, ad esempio, 38.3°, ma occorre limitarsi a registrare che fosse superiore ai 37.5°.
Ad esempio, flaggando una checklist con il quadratino “temperatura superiore ai 37.5°”.
Tanto chiarito, sia il Protocollo che le FAQ del Garante stabiliscono che è possibile identificare l’interessato e registrare il superamento della soglia di temperatura “solo ove necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali”.
Che significa?
Significa, ad esempio, che non si può assolutamente registrare dati dei visitatori.
Significa, però, che se si impedisce l’accesso del dipendente Tizio, può essere necessario documentare perché Tizio non è entrato a lavoro il giorno x.
Avendo cura di stabilire come vengono raccolte queste informazioni e dove vengono tenute durante il periodo di conservazione stabilito.
Occorre inoltre decidere come gestire (in termini di privacy) il lavoratore che verta in una situazione di rischio.
Che succede infatti se all’accesso si rileva un superamento dei 37.5° della temperatura corporea?
Che succede se, successivamente all’ingresso, si manifesta una “condizione di pericolo” (come febbre e sintomi da infezione respiratoria es. tosse)?
Il Protocollo prevede un “isolamento momentaneo”.
In particolare, al punto 11, analizza la gestione di una persona sintomatica, stabilendo la necessità di procedere al suo “immediato isolamento”.
Anche qui, è fondamentale non perdere di vista la tutela della riservatezza del lavoratore, prevedendo zone riservate a tale isolamento.
Dal punto di vista pratico, che altri problemi si pongono in punto di privacy rispetto alla rilevazione della temperatura?
Sicuramente non può essere casuale la scelta di chi effettuerà queste rilevazioni, soprattutto nel caso in cui vi sia la necessità di registrare il superamento della soglia dei 37.5° per documentare le ragioni che hanno impedito l’accesso ai luoghi di lavoro.
È infatti necessaria una nomina espressa ex art. 29 GDPR degli incaricati dei rilevamenti. È inoltre doveroso che tali incaricati siano istruiti circa le modalità di svolgimento delle operazioni e degli obblighi di riservatezza su di essi gravanti.
- Richiedere il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19.
Ancora una volta: occorre limitare l’acquisizione di informazioni ulteriori al minimo indispensabile.
Laddove si decidesse quindi di raccogliere dichiarazioni di questo tipo, occorre astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi /alla persona risultata positiva.
- L’informativa
Ogni trattamento dei dati personali necessita di un’adeguata informativa, contenente tutti gli elementi prescritti dal GDPR (art. 13).
Il Protocollo sul punto lascia ampio margine: stabilisce infatti che “l’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente”.
Data le criticità dei trattamenti di cui stiamo parlando, tuttavia, si consiglia di redigere sempre l’informativa per iscritto, procedendo in maniera modulata sulle specifiche caratteristiche dell’azienda/attività professionale.
Ad esempio si può valutare di consegnare e/o affiggere all’ingresso e nei posti maggiormente visibili dei luoghi di lavoro appositi cartelli informativi.
Oppure decidere di trasmettere l’informativa a mezzo email ai dipendenti.
Anche simili scelte dipendono in larga parte dal caso concreto, atteso che, come sempre, l’obiettivo del datore di lavoro/titolare del trattamento resta quello di precostituirsi prove di compliance al GDPR.
Quanto ai contenuti dell’informativa, rispetto alla finalità del trattamento può essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020.
Attenzione, poiché in questo caso la base giuridica del trattamento è costituita da norme di legge, non è necessario chiedere il consenso agli interessati.
Fondamentale è il profilo della data retention,che dovrà essere inserita nell’informativa.
Infatti i dati raccolti in osservanza dei protocolli anti-contagio possono essere conservati solamente per il periodo “per il periodo strettamente necessario alla gestione dell’emergenza sanitaria da COVID-19”.
Tale periodo può variare a seconda della tipologia del trattamento e dell’approccio che si decide di sposare.
Ad esempio, si può optare per un approccio “soft” e decidere di conservare i dati per tutto il tempo necessario a ricostruire la filiera dei contatti stretti di un lavoratore positivo al Covid – 19.
Oppure si può scegliere un approccio più garantista della tutela della sicurezza sul lavoro, e decidere di conservare tali dati sino al termine dello stato di emergenza, laddove si ritenesse essenziale – sulla base degli adempimenti preliminari dianzi indicati – la conservazione delle informazioni rilevate.
Attenzione: oltre il termine dello stato di emergenza (al momento fissato al 31 gennaio 2021) NON possono assolutamente essere conservati i dati raccolti.
- Stabilire le misure di sicurezza, le modalità di registrazione e custodia dei dati in linea con i principi di cui all’art. 5 GDPR (in modo particolare con il principio di minimizzazione) e all’art. 25 GDPR (c.d. misure di privacy by design/by default)
Sarà forse superfluo ribadirlo, ma “attorno” ai trattamenti di cui abbiamo parlato ci sono tutta una serie di adempimenti da avere di mira: la definizione delle misure di sicurezza, come registrare – se con mezzi cartacei o informatici – i dati, come conservarli e via dicendo.
Adempimenti, questi, non di poco conto, per il loro fondamentale valore in termini di accountability del titolare, oltre che di prevenzione di data breach.
- Infine, come gestire il dipendente risultato positivo al Covid-19?
In primo luogo si sottolinea chei datori di lavoro, non possano mai comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus, salvo che il diritto nazionale lo consenta.
Ipotesi questa limitata, in base al quadro normativo attuale, ad un solo caso, in cui anzi sussiste un vero e proprio obbligo: il datore di lavoro deve comunicare i nominativi del personale contagiato alle Autorità sanitarie competenti.
Può comunicarlo, per ragioni di sicurezza, al Rappresentante dei lavoratori per la sicurezza? No.
Può comunicarlo ai colleghi, in un’ottica di contenimento del contagio? No.
In secondo luogo, il rientro in azienda di lavoratori già risultati positivi all’infezione da COVID 19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione” del tampone “secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza”.
Ancora una volta: la gestione di tale documentazione deve essere curata nei minimi dettagli, creando canali specifici in grado di assicurare la riservatezza del lavoratore.
Ad esempio istituendo un’email dedicata oppure istruendo una funzione aziendale puntualmente identificata.
Conclusioni.
Quanto detto costituisce un quadro generale.
Ma come procedo se sono un ristorante? Posso raccogliere i nominativi dei miei clienti?
E se sono un dentista? Che obblighi gravano su di me?
Per ogni situazione esistono soluzioni precise e “tarate” sul caso concreto.
Si comprende quindi la crucialità di implementare i protocolli di sicurezza con l’aiuto di un consulente esperto, che sappia guidare il libero professionista o l’azienda in modo accurato e professionale
Per maggiori informazioni sul sistema DATI360 Legal Suite, oppure per ricevere una consulenza dal nostro team di legali, contattaci qui: www.dati360.it/contatti/
DATI360® è un marchio registrato nr.302019000004315 presso: