Nell’affrontare questa emergenza sanitaria che ci ha travolto e che non ha fatto sconti a nessun Paese, siamo costretti ad adottare delle misure specifiche per il contenimento del COVID-19. Alcune di queste precauzioni incidono in maniera significativa sul tema legato alla protezione dei dati personali, dunque a quello del GDPR. Allora… come si devono comportare i datori di lavoro? Come vanno trattati i dati personali? Quali dati può richiedere il datore di lavoro?
Esaminiamo da vicino la situazione della Lombardia per chiarire la situazione.

Quali prescrizioni devono osservare le aziende Lombarde?

Tramite l’Ordinanza n. 547 Del 17/05/2020 (Identificativo Atto n. 2389) la REGIONE LOMBARDIA, allo scopo di contrastare e contenere il diffondersi del virus COVID-19 ha attuato ulteriori misure specifiche. In particolare al punto 1.3 dell’atto è specificato che i datori di lavoro devono osservare le seguenti prescrizioni:

  • prima dell’accesso al luogo di lavoro deve essere rilevata la temperatura corporea dei dipendenti, a cura o sotto la supervisione del datore di lavoro o suo delegato. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso o la permanenza ai luoghi di lavoro.
  • il lavoratore dovrà tempestivamente comunicare eventuali sintomi di virus COVID-19 al datore di lavoro o al suo delegato, astenendosi dal presentarsi sul luogo di lavoro, effettuando analoga tempestiva comunicazione anche quando, durante l’attività, dovesse manifestare i sintomi di infezione da COVID-19 (es. febbre, tosse, raffreddore, congiuntivite).
  • qualora il dipendente dovesse manifestare tali sintomi, non dovrà accedere o permanere nel luogo di lavoro e dovrà mettersi in momentaneo isolamento senza recarsi al Pronto Soccorso.
  • il lavoratore dovrà immediatamente informare il datore di lavoro o suo delegato che, a sua volta, comunicherà tempestivamente tale circostanza, tramite il medico competente di cui al D. Lgs. n. 81/2000 e/o l’ufficio del personale, all’ATS territorialmente competente, la quale fornirà le opportune indicazioni cui la persona interessata dovrà rivolgersi.
  • si raccomanda fortemente la rilevazione della temperatura anche nei confronti dei clienti/utenti, prima dell’accesso in sede.
  • è fortemente raccomandato l’utilizzo della app “AllertaLom” da parte del datore di lavoro e di tutto il personale, compilando quotidianamente il questionario “CercaCovid”.

In quali casi si verifica la raccolta dei dati personali?

È chiaro che tutto quanto sopra prescritto prevede un trattamento dei dati personali sanitari:

  • rilevazione della temperatura corporea di dipendenti, utenti, clienti, collaboratori, fornitori;
  • eventuale comunicazione resa dal dipendente di aver avuto contatti con soggetti positivi al COVID-19 al di fuori del contesto aziendale;
  • eventuale dichiarazione della sua non negatività attraverso una dichiarazione che attesti l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19.

Quali sono i dati personali associati alla rilevazione della temperatura corporea?

Quando la rilevazione di temperatura corporea è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2 del Regolamento (UE) 2016/679), e pertanto non è ammessa la registrazione del dato relativo, ma per il principio di “minimizzazione” è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

Diversamente, nel caso in cui la temperatura corporea venga rilevata a clienti o visitatori occasionali, anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è necessario registrare il dato.
Nel caso sia richiesto all’utente di firmare una dichiarazione, in ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive.

Come si deve comportare il datore di lavoro?

Dato certo è che i datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente che abbia eventualmente contratto il virus.
Inoltre il Garante ha specificato che “il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica. Solo il medico del lavoro, infatti, potrà stabilire la necessità di particolari esami clinici e biologici. E sempre il medico competente può suggerire l’adozione di mezzi diagnostici, quando li ritenga utili al fine del contenimento della diffusione del virus, nel rispetto delle indicazioni fornite dalle autorità sanitarie.”

Nelle FAQ l’Autorità precisa anche che le “informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami). Il datore di lavoro deve, invece, trattare i dati relativi al giudizio di idoneità del lavoratore alla mansione svolta e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire. Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.”

Serve una nuova informativa nelle aziende?

Dato atto di tutto quanto sopra, è chiaro quindi che l’azienda dovrà fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 del Regolamento Europeo 2026/679. Quest’ultima può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente.
Gli elementi essenziali che dovranno essere indicati sono i seguenti:

  • la finalità del trattamento ossia la prevenzione del contagio da COVID-19;
  • la base giuridica ossia l’implementazione dei protocolli di sicurezza anti-contagio;
  • il termine della conservazione dei dati, facendo riferimento al termine dello stato di emergenza, fatta salva la tutela dei diritti in sede giudiziaria, per obblighi normativi o per espressa richiesta dell’interessato.

Una volta disposta l’informativa, l’azienda dovrà aggiornare il registro delle attività di trattamento (art. 30 del GDPR) con l’aggiunta dei nuovi trattamenti (es. misurazione della temperatura, raccolta della eventuale dichiarazione) e procedere a una valutazione d’impatto che dovrà tener conto della natura particolare dei dati personali trattati.
L’azienda dovrà individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. I dati non dovranno essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative come, per esempio, in caso di richiesta da parte dell’Autorità sanitaria, per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19”.

In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, l’azienda dovrà assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore (anche nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria).
L’azienda inoltre dovrà raccogliere i soli dati necessari, adeguati e pertinenti rispetto alla prevenzione da contagio e assicurare tutte le garanzie possibili a tutela del trattamento dei dati.

Come abbiamo visto i provvedimenti per il contenimento del COVID-19 impongono alle aziende un adeguamento anche sul piano GDPR. Scrivici a marketing@valorebf.it se sei interessato a una consulenza personalizzata.

Avv. Valentina Lenzi
Legale d’Azienda, GDPR Specialist

 

FONTI: ORDINANZA n. 547 del 17 maggio 2020 e sito ufficiale GARANTE PRIVACY