La diffusione del Coronavirus in Italia ha fatto saltare letteralmente gli schemi. Da un momento all’altro sono cambiate le abitudini quotidiane e gli strumenti con cui raggiungere gli obiettivi lavorativi. In questa fase di delicato adattamento, o di estrema resilienza, è cambiata anche la posizione del titolare in merito al trattamento dei dati personali e alle attività di prevenzione del contagio.
Raccolta dati: non prendere iniziative autonome
Il Garante della Privacy si è espresso attraverso un comunicato, che delinea due strade per il trattamento dei dati: raccogliere informazioni sulla presenza di sintomi da Coronavirus e sugli ultimi spostamenti dei visitatori all’atto della registrazione presso gli uffici, e la raccolta di informazioni sull’assenza di sintomi influenzali tra i propri dipendenti e tra le loro conoscenze personali (anche tramite autocertificazione). I titolari dovranno – da indicazioni del Garante – attenersi scrupolosamente alle istruzioni comunicate dal Ministero della Salute e dalle istituzioni coinvolte nella prevenzione del Coronavirus, evitando di prendere iniziative autonome che prevedono la raccolta di dati, anche riferiti alla salute, quando queste non siano previste da norme o disposizioni provenienti dagli organi competenti.
Nello specifico, i datori di lavoro devono astenersi dal raccogliere, a priori e in modo “sistematico e generalizzato”, informazioni su eventuali sintomi influenzali dei propri dipendenti e dei loro contatti personali più stretti o comunque rientranti nella propria sfera extra-lavorativa.
Gli obblighi dei datori di lavoro verso i dipendenti, e viceversa
La linea d’azione approvata il 14 marzo ribadisce la necessità di lavorare da remoto, incentivare i congedi e le ferie, sospendere le attività “non essenziali” dei dipendenti, assumere protocolli anti-contagio e dotare i lavoratori di strumenti di protezione individuale (se necessario), incentivare la sanificazione dei luoghi di lavoro e di contingentare l’accesso agli spazi comuni e limitare gli spostamenti all’interno dei siti.
Il Protocollo Condiviso di regolamentazione per il contenimento della diffusione del COVID-19 impone, poi, che i lavoratori siano informati sui suoi contenuti, attraverso la consegna o l’affissione di materiali informativi. Nello specifico, questi dovranno render noto l’obbligo di rimanere al proprio domicilio in presenza di febbre o altri sintomi influenzali e, in tal caso, di contattare il proprio medico curante e l’autorità sanitaria, il divieto di accesso ai locali aziendali nel caso in cui vi siano sintomi influenzali, febbre o si provenga da zone a rischio oppure si abbia avuto contatto con persone positive nei 14 giorni precedenti, L’impegno a rispettare tutte le disposizioni delle autorità e del datore di lavoro (in particolare su distanza di sicurezza e igiene delle mani), e l’impegno di informare tempestivamente il datore di lavoro nel caso di presenza di sintomi influenzali, durante l’espletamento della prestazione lavorativa.
Per quanto riguarda, invece, l’inquadramento delle nuove azioni nei confronti della normativa per la privacy, viene suggerito di rilevare la temperatura, ma senza registrare il dato acquisito, salvo se necessario a documentare l’allontanamento del dipendente, di fornire l’informativa sul trattamento dei dati personali – anche oralmente – specificando finalità del trattamento (potrà essere indicata la “prevenzione contagio COVID-19”) e base giuridica (potrà consistere nella “implementazione dei protocolli anti-contagio ai sensi dell’art. 1, n. 7 lett. d) del DPCM 11 marzo 2020”), potendo comunque fare riferimento al termine dello stato d’emergenza per la durata del trattamento, e di individuare ed istruire i soggetti preposti alle misure di sicurezza, garantendo dignità e riservatezza dei lavoratori nei casi di allontanamento o di spontanee dichiarazioni.
I dati così ottenuti devono essere trattati esclusivamente per la finalità dichiarate e non potranno essere ceduti a terzi, salvo richiesta da parte delle competenti autorità. In ogni caso, deve essere vietato l’accesso ai locali aziendali a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi o provenga dalle zone a rischio individuate dall’OMS.
Qualsiasi dichiarazione raccolta dal lavoratore dovrà contenere solo i dati necessari, adeguati e pertinenti rispetto alla finalità di prevenzione dal contagio COVID-19. Occorre pertanto astenersi dal richiedere informazioni aggiuntive in merito alle persone risultate positive o alla specificità dei luoghi di provenienza.
Gestione di una persona sintomatica in azienda
La prima cosa da fare davanti a casi confermati di coronavirus in azienda, qualora riferiti da dipendenti, è quello di contattare le autorità sanitarie o il medico competente.
Il medico competente sarà poi l’unico soggetto che potrà decidere quali siano le modalità più opportune per garantire la salute dei lavoratori. Infatti, rientra nelle sue ordinarie mansioni quella di fare in modo che sia garantita la sicurezza sanitaria sul posto di lavoro.
È sempre il medico competente che, d’accordo con il datore di lavoro, dovrebbe verificare dove il dipendente ha lavorato negli ultimi 14 giorni al fine di adottare le opportune e necessarie misure per evitare il contagio ulteriore, eventualmente avvisando anche le persone che siano state in contatto con il dipendente positivo. Anche la mappatura dei contatti dev’essere decisa dal medico competente, in quanto rientra tra le sue competenze anche la definizione delle misure più opportune.
Se il medico competente non si attiva, viene meno alle sue obbligazioni.
Le raccomandazioni del Garante
Le disposizioni del Protocollo sono coerenti con il Provvedimento del Garante, che si articola su due messaggi principali. Il primo sottolinea che la prevenzione della diffusione del Coronavirus è compito dei soggetti indicati dalle istituzioni, gli unici organi incaricati di verificare il rispetto delle regole. Il secondo stabilisce l’impossibilità di entrare in possesso di informazioni sulla salute che non siano previste a norma di legge o disposte dagli organi competenti. I controlli decisi ed effettuati dai privati in autonomia, infatti, rischierebbero di violare la privacy altrui.
Innanzitutto, è importante evitare la raccolta di informazioni inerenti alla salute, attraverso qualsiasi forma di questionari e indagini. È utile, poi, avvertire – attraverso e-mail o cartelli all’ingresso dei locali – dipendenti, clienti, fornitori, utenti e visitatori provenienti da zone a rischio, che hanno avuto contatti con soggetti a rischio o che presentino sintomi come febbre e tosse, dell’impossibilità di accedere alla sede e agli uffici. Incentivare le attività di smart working è poi caldamente consigliato.
È indubbio, in ogni caso, il ruolo proattivo che, in questa fase, è richiesto al medico competente, che dovrebbe essere l’unico soggetto preposto dal datore di lavoro alle attività di misurazione della temperatura e raccolta delle altre informazioni sui luoghi di provenienza o contatti con persone risultate positive. Infatti, oltre alle competenze specifiche di tale figura, vi è un importante presidio alla dignità e riservatezza dei dipendenti, rappresentato dall’obbligo al segreto professionale proprio del medico.
IAB Italia – in collaborazione con Studio Legale DGRS
Ai seguenti link, il testo completo del comunicato del Garante e del Protocollo Condiviso
Provv. Autorità Garante per la protezione dei dati personali del 02 marzo 2020
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117.
Protocollo Condiviso di regolamentazione per il contenimento della diffusione del COVID-19 del 14 marzo 2020
