GDPR. Privacy e ambiente di lavoro ai tempi del Covid-19

Quali comportamenti deve e può tenere il datore di lavoro in merito a quanto previsto per il contrasto e il contenimento della diffusione del virus Covid-19 alla luce della normativa privacy. Le risposte fornite dal Garante ai quesiti più frequenti.

Il Garante per la Protezione dei Dati Personali, al fine di offrire uno strumento che, in un frangente emergenziale quale la situazione derivante dalla pandemia causata dal Covid-19, risponda in maniera pratica ai numerosi dubbi che nascono relativamente all’applicazione della normativa privacy, ha reso disponibile sul suo sito una sezione di FAQ dedicata all’argomento.

La sezione suddivisa per ambiti specifici: sanitario, enti locali, contesto lavorativo pubblico e privato, scolastico e sperimentazioni cliniche e di ricerca medica, offre degli spunti operativi e chiarisce alcune zone grigie.

In particolare, relativamente all’ambito lavorativo pubblico e privato, il Garante ha chiarito che:

  • Rilevamento temperatura corporea da parte del datore di lavoro o del gestore di un’attività commerciale o di erogazione di servizi. – La rilevazione della temperatura corporea è un atto lecito poiché previsto nei Protocolli di sicurezza approvati e condivisi per il contrasto e il contenimento della diffusione del virus Covid-19 relativamente sia al personale dipendente, sia per gli utenti, visitatori e clienti (qualora per questi ultimi non sia previsto un percorso di accesso differenziato). Tuttavia, poiché quando questo dato è associato all’identità di un interessato si configura la fattispecie di trattamento di dati personali, non è ammessa la registrazione del dato relativo alla temperatura rilevata. È possibile invece, in riferimento ai dipendenti, come chiarito dal Garante nel rispetto del principio di “minimizzazione”, registrare il solo fatto del superamento della soglia di temperatura stabilito e, in ogni caso, quando sia necessario documentare “le ragioni che hanno impedito l’accesso al luogo di lavoro”. Qualora, invece, si rilevi la temperatura corporea di clienti o visitatori occasionali, non è necessario registrare il dato relativo al motivo che ha portato a negare l’accesso.
  • Richiesta da parte del datore di lavoro (pubblico o privato) al proprio dipendente di informazioni relative all’eventuale esposizione al contagio da virus quale condizione di accesso alla sede di lavoro. – Il datore di lavoro sia esso pubblico o privato, può richiedere al dipendente una dichiarazione che contenga elementi utili a informare il datore circa l’eventuale provenienza da un’area a rischio o di aver avuto contatti con persone da queste provenienti, tale possibilità vale anche verso i terzi che possono accedere alla sede di lavoro, quali a esempio visitatori e utenti. Tale possibilità trova ragione sia nell’obbligo del dipendente di segnalare al datore qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro, sia sulla base di quanto previsto dai Protocolli condivisi per il contrasto e il contenimento della diffusione del virus. Il Garante, comunque, specifica che dovranno essere raccolti solo i dati “necessari, adeguati e pertinenti”. Rispetto alla finalità di prevenzione è necessario dunque che il datore si astenga dal chiedere ulteriori informazioni quali a esempio: le generalità della persona risultata positiva con la quale si è entrati in contatto e/o l’indicazione specifica delle località visitate.
  • Pubblicazione sul sito istituzionale dei contatti specifici dei funzionari competenti per la prenotazione dei servizi e/o prestazioni o per appuntamenti presso gli uffici. – Poiché la finalità di assistenza o di ricevimento presso gli uffici può essere raggiunta anche con l’indicazione del solo recapito dell’unità competente, quali a esempio il numero di telefono e l’indirizzo della PEC, il Garante, nel rispetto del principio della protezione dei dati, non ravvisa la necessità della pubblicazione dei recapiti dei singoli funzionari.
  • Trattamento dati sul luogo di lavoro e medico competente. – Il medico competente, nello svolgimento dei suoi compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di fragilità e patologie attuali o pregresse dei dipendenti” che possano determinare delle condizioni particolari tali da suggerire l’impiego della persona in un ambito meno esposto al rischio di infezione. Ciò, tuttavia, senza la comunicazione al datore della specifica patologia sofferta dal dipendente. Il titolare, infatti, in questo particolare ambito, può trattare i dati personali del dipendente solo se ciò sia normativamente previsto o disposto dagli organi competenti ovvero a seguito di una specifica segnalazione da parte del medico competente che agisca nello svolgimento dei compiti tipici di sorveglianza sanitaria.
  • Comunicazione dell’identità dei dipendenti contagiati. – Il datore di lavoro non può comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus. Unica eccezione ammessa a questo divieto è il caso in cui la comunicazione sia prevista da una norma nazionale. Sulla base di questa considerazione, il datore è tenuto a comunicare i dati anagrafici del dipendente contagiato alle autorità sanitarie competenti e deve collaborare con queste al fine di individuare i “contatti stretti” per consentire una tempestiva messa in atto delle necessarie misure di profilassi. Al contrario, non può comunicare tali dati al Rappresentante dei lavoratori per la sicurezza poiché ciò non è previsto da alcuna normativa di settore. È ugualmente vietata al datore la comunicazione di tali dati agli altri dipendenti. Sarà cura delle autorità sanitarie competenti informare i “contatti stretti” del dipendente contagiato.