Il trattamento dei dati sanitari da parte del datore di lavoro è stato punto di confronto tra gli operatori del settore sin dall’introduzione del codice privacy del ’96, con il Regolamento UE 2016/679 le cose si sono complicate ulteriormente rappresentando tale trattamento un terreno sdrucciolevole a cavallo tra le norme giuslavoristiche e quelle a tutela della privacy.

La questione si è complicata ulteriormente da quando, a causa dell’emergenza sanitaria che viviamo, è stato richiesto ai datori di lavoro di farsi parte attiva e di intensificare i controlli sullo stato di salute dei propri dipendenti, inducendo troppo spesso i titolari d’impresa in errori su modalità di acquisizione e trattamento dei dati e coinvolgimento del medico competente.

Dal 4 maggio in poi, con la riapertura di molte attività, circa 4,4 milioni di lavoratori torneranno in servizio, e le aziende si troveranno nella necessità di avere un orientamento concreto sulla gestione del quotidiano.

Già in un precedente articolo abbiamo fornito il nostro punto di vista in merito alla possibilità del datore di lavoro di raccogliere i dati sulla salute dei propri dipendenti; prendendo spunto dalle linee guida pubblicate  dal Garante per la protezione dei dati personali, desideriamo con il presente articolo dare il nostro contributo  per fare chiarezza sull’argomento.

1. Rilevazione della temperatura corporea all’ingresso dell’azienda

Secondo il Protocollo del 14 marzo 2020 (siglato tra Governo e parti sociali sulle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro), il. datore di lavoro ha l’obbligo di rilevare la temperatura corporea del personale dipendente (così come per utenti, visitatori, clienti e fornitori) all’accesso ai locali e alle sedi aziendali, (cfr. Protocollo par. 2 e 3 e nota n. 1).

Evidentemente la rilevazione della temperatura corporea e dell’identità dell’interessato, costituiscono un trattamento di dati personali (art. 4, par. 1, 2 GDPR), ma bisogna ricordare che la finalità per cui vengono rilevati tali dati è il contenimento del contagio. Per tale ragione, tenendo cioè conto sia della tipologia dei dati sanitari trattati che della finalità perseguita, il suddetto trattamento deve rispettare i principi base dettati dal GDPR e tra questi senza dubbio quello relativo alla minimizzazione del dato.

In applicazione di tale principio, quindi, non è ammessa la registrazione indiscriminata del semplice dato relativo alla temperatura corporea inferiore ai 37,5 gradi, né è ammessa la costituzione di appositi registri ove salvare tali dati; è invece consentita esclusivamente la registrazione dei soli dati sanitari e anagrafici di chi si presenta con una temperatura corporea superiore ai 37,5 gradi.

Quando invece sono i visitatori occasionali esterni all’azienda a far rilevare una temperatura corporea superiore ai 37,5 gradi, non è richiesta alcuna registrazione né segnalazione poiché tale misurazione è ordinata esclusivamente a consentire o meno l’accesso.

2. Informazioni assunte dai dipendenti in merito all’esposizione al contagio

Ricade sul dipendente l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81).

In virtù di tale obbligo il dipendente deve segnalare al datore di lavoro circostanze in cui possa essere entrato in contatto con soggetti contagiati e quindi il datore di lavoro è autorizzato in tali casi al trattamento del dato sanitario, a condizione di rispettare la normativa in materia di protezione dei dati personali e di comunicare gli stessi esclusivamente alle Autorità sanitarie competenti.

In applicazione del principio di minimizzazione il datore di lavoro dovrà però astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, a ulteriori dati sanitari o altri dettagli relativi alla sfera privata del dipendente.

3. Il medico competente può informare il datore di lavoro circa le patologie rilevate, anche con riferimento al Covid-19?

La regola per cui il medico competente ha il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori, permane anche durante il regime di emergenza sanitaria.

Il medico competente, in concerto con il datore di lavoro e nello svolgimento dei propri compiti di sorveglianza sanitaria, può effettuare visite straordinarie e a carattere preventivo che consentano un monitoraggio più assiduo, in considerazione dell’esposizione a potenziali fattori di contagio cui sono esposti determinati dipendenti in funzione della specifica attività svolta. Tali visite, che hanno a tutti gli effetti natura preventiva, ovviamente dovranno essere eseguite nel rispetto dei principi generali di protezione dei dati personali, non potendo la situazione emergenziale (nel silenzio della norma) fungere da esimente all’applicazione del Regolamento UE 2016/679.

Il medico competente, quindi, dovrà segnalare al datore di lavoro i casi di fragilità o predisposizione al per i quali sia consigliabile l’impiego del dipendente in ambiti meno esposti al rischio di infezione.

Si sottolinea però che non deve essere comunicata al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

Ciò precisato emerge che il datore di lavoro possa trattare, nel rispetto dei principi di protezione dei dati, i dati personali dei dipendenti esclusivamente in presenza di una norma che lo preveda esplicitamente o di un ordine da parte degli organi competenti o su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

4. Modalità operative per il Rappresentante dei lavoratori per la sicurezza

Nel silenzio della normativa, persiste il divieto in capo al datore di lavoro di comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus.

Ciò che invece è tenuto a fare il datore di lavoro è la comunicazione dei nominativi del personale contagiato alle sole Autorità Sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

Rappresentante dei lavoratori per la sicurezza, invece è esentato da tale dovere di comunicazione, rimanendo su tale figura prevalentemente un dovere consultivo di adeguamento dell’ambiente di lavoro e prevenzione al contagio.

5. Comunicazione dei dati del dipendente contagiato ai colleghi

Spesso nell’ottica di contenere quanto più possibile il contagio, nelle aziende è invalsa la prassi di comunicare il nominativo del dipendente risultato contagiato per poter meglio ricostruirne gli spostamenti e i contatti con i colleghi.

Tale condotta, altamente lesiva del diritto alla privacy del dipendente non trova legittimazione neppure nella situazione sanitaria emergenziale; spetta esclusivamente alle Autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

Pertanto, anche nel caso di avvenuto contagio, la comunicazione di dati sanitari del dipendente da parte del datore di lavoro, può avvenire esclusivamente in forza di un provvedimento esplicito da parte delle Autorità (ad esempio in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).

————————————————————————

LAGGI ANCHE

LEGGE 27/2020 – LAVORO, AMMORTIZZATORI SOCIALI, RINNOVO CONTRATTI A TERMINE E DIVIETO DI LICENZIAMENTO

DPCM e DL relativi a COVID-19: elenco completo dei decreti emessi (AGGIORNAMENTO QUOTIDIANO)

Fase 2: Attività commerciali, produttive, professionali, cantieri e pubblici servizi, le FAQ del Governo