Anche a tempi del Coronavirus i datori di lavoro devono attenersi alle indicazioni del Ministero della Salute e delle istituzioni competenti. Questa è l’indicazione del Garante della privacy in merito alle segnalazioni pervenute sulla possibile raccolta di autocertificazioni dei dipendenti sul proprio stato di salute. Solo le autorità pubbliche preposte ex lege ad affrontare l’emergenza sanitaria possono trattare i dati personali dei soggetti nei limiti delle disposizioni emergenziali. Dall’analisi del DPCM del 1° marzo 2020 emerge però un’anomalia. Si prevede, infatti, che in caso si debba certificare, ai fini INPS, l’assenza dal lavoro, sia consentito il rilascio di una dichiarazione indirizzata anche al datore di lavoro in cui si dichiara che il lavoratore è stato posto in quarantena. Una violazione della privacy?
Alla luce di numerosi quesiti ricevuti da parte di soggetti pubblici e privati, recanti molteplici richieste in ordine alla possibilità di trattamento di dati sanitari dell’utenza e dei dipendenti nel corso dell’emergenza epidemiologica da
Coronavirus –
COVID-19, il 2 marzo scorso il Garante per il trattamento dei dati personali ha emanato un
comunicato stampa ad hoc, per rammentare a tutti i contenuti generali dei
vincoli posti dal GDPR al trattamento dei dati personali (e, in particolare, di quelli sanitari) ed il fatto che l’attuale situazione di emergenza sanitaria debba essere gestita – anche sotto il profilo della tutela della privacy – nel pieno rispetto del GDPR e delle norme nazionali vigenti, ivi compresi i decreti legge, le ordinanze di protezione civile ed il
DPCM adottato il 1° marzo scorso.
Quesiti posti al Garante privacy
Nel suo comunicato, il Garante da conto della ricezione di quesiti in ordine a:
· la possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, all’asserito fine di approntare misure di prevenzione dal contagio;
· la possibilitá, per datori di lavoro pubblici e privati, di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata.
I chiarimenti
Con il suo comunicato, il Garante rammenta, preliminarmente, che la normativa d’urgenza adottata nelle ultime settimane, fino al DPCM di domenica scorsa, prevede che chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni esplicitamente individuati, debba comunicarlo alla azienda sanitaria territoriale di appartenenza (o del luogo di attuale domicilio), anche per il tramite del medico di base o del pediatra (per i minori), che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario. Il tutto, nel pieno ed esclusivo rispetto delle analitiche disposizioni dettate, da ultimo, dal DPCM del 1° marzo 2020.
Ne consegue che (con precisazione che non sarebbe sembrata necessaria, ma che a quanto pare andava fornita) a causa del clima di paura che si sta ingiustamente diffondendo, il Garante rammenta che la finalità di prevenzione dalla diffusione del Coronavirus “deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.”
E, allo stesso modo, il Garante ribadisce che l’accertamento e la raccolta di informazioni (ossia, nei fatti, di “categorie particolari, di dati personali soggetti a tutela rafforzata, come quelli sanitari) relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate. E, aggiungiamo noi, esclusivamente a loro.
Ruolo e compiti del datore di lavoro e dei lavoratori
Ma quali sono, allora, le azioni che il datore di lavoro ed i lavoratori possono (anzi, debbono) porre in essere, per contribuire a fronteggiare l’epidemia o, meglio, a combattere la diffusione del contagio?
In una battuta, la risposta è semplice: rispettare la normativa vigente. Sia quella ordinaria recante le prescrizioni in materia di salute e sicurezza sul lavoro (in collaborazione con il “medico competente”), sia quella introdotta con la decretazione d’urgenza e con le ordinanze di protezione civile. Senza trascurare e, anzi, rispettando, al contempo, la normativa in materia di tutela dei dati personali dettata dal GDPR e dalla normativa nazionale in materia. Da un lato comportandosi da “Titolare del trattamento avveduto” e, d’altro canto, rispettando il principio fondamentale di “minimizzazione” del trattamento dei dati.
Quindi, il Garante, sobriamente, chiarisce che i datori di lavoro devono “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. E, al riguardo, va chiarito che in caso contrario, il trattamento illecito di dati “sensibili” comporta per il titolare pesanti conseguenze sanzionatorie, se del caso anche di natura penale.
In tale quadro, in capo al datore di lavoro permangono anche gli “ordinari” compiti relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal COVID19 per la salute sul posto di lavoro e tutti gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori, attraverso l’operato del medico competente (se del caso, valutando la sottoposizione a visita straordinaria dei lavoratori più esposti.
Quanto ai lavoratori, il Garante rammenta il loro obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. E, aggiungiamo noi, di segnalare eventuali ipotesi di contrazione del virus alle autorità sanitarie competenti che attiveranno i protocolli del caso e, peraltro, comunicheranno anche all’INPS quanto necessario al fine di gestire l’assenza dal lavoro, come previsto dal DPCM 1° marzo 2020.
Tale ultimo decreto prevede all’art. 3, comma 2, che:
– accertata la necessità di avviare la sorveglianza sanitaria e l’isolamento fiduciario, l’operatore sanitario pubblico informi il medico di base da cui il lavoratore è assistito anche ai fini, dell’eventuale certificazione ai fini INPS;
– in caso di necessità di certificazione ai fini INPS per l’assenza dal lavoro, si procede a rilasciare una dichiarazione indirizzata a INPS, datore di lavoro, e medico di base in cui si dichiara che – per motivi di sanità pubblica – il lavoratore è stato posto in quarantena, specificando la data di inizio e fine della stessa.
N.B. Non può non rilevarsi, in proposito, come – vista l’evidenza dell’epidemia in corso – tale ultima comunicazione sia difforme da quelle abitualmente inviate ai datori di lavoro, nella misura in cui – con una “forzatura” del principio del GDPR di “mininimizzazione dei dati” – vengono fornite anche al datore di lavoro informazioni specifiche sulle condizioni sanitarie del dipendente (e non solamente la prognosi, come d’uso).
|
Il Garante segnala anche, quanto al pubblico impiego, che il Ministro per la pubblica amministrazione ha fornito indicazioni operative circa l’obbligo per chi opera “a vario titolo” presso la P.A. (quindi non solo i dipendenti, ma anche collaboratori o fornitori, ad esempio) di segnalare all’amministrazione di provenire da un’area a rischio.
Nel caso in cui, nel corso dell’ordinaria prestazione lavorativa, il dipendente – magari perchè assegnato a mansioni di contatto con il pubblico – venga in relazione con un caso sospetto di COVID19, dovrà segnalare immediatamente la circostanza, anche tramite il datore di lavoro, ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.
Quanto sopra, fermo restando il rispetto delle misure di prevenzione generale alle quali ciascun titolare deve attenersi, per assicurare l’accesso a tutti i locali aperti al pubblico, nel puntuale rispetto delle disposizioni d’urgenza adottate.
Conclusioni
In conclusione, dando il suo contributo tecnico nell’ambito delle proprie competenze, il Garante invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e dipendenti.