COVID-19: tutela della salute di dipendenti e visitatori e protezione dei dati personali. Un necessario bilanciamento di interessi

A cura di Andrea Lensi, Francesca Tironi, Giulia Spalazzi, Tommaso Sala, Alessandro Ferrari e Maria Ludovica Priori

Introduzione

La diffusione a “macchia d’olio” del COVID-19 ha generato, oltre a impatti di natura socioeconomica, quesiti trasversali in diversi ambiti del diritto. Tra questi, particolare rilevanza ha assunto il dibattito relativo al delicato rapporto tra la protezione dei dati personali e la tutela della salute pubblica e dei lavoratori.

Infatti, con l’obiettivo di gestire l’emergenza sanitaria, numerosi soggetti pubblici e privati si sono attivati per adottare appositi presidi finalizzati a prevenire la diffusione del Coronavirus negli ambienti di lavoro e tutelare la salute di coloro che accedono ai locali aziendali, anche in un’ottica di “business continuity”, che richiedono la raccolta di informazioni, tra cui dati personali.

In particolare, alcune imprese hanno predisposto questionari da somministrare ai lavoratori e ai visitatori al fine di ottenere informazioni in merito al loro stato di salute e a eventuali spostamenti nelle zone maggiormente a rischio. Altri hanno optato per l’allestimento di aree dedicate alla misurazione della temperatura e allo svolgimento del test del tampone, nonché per l’acquisizione di autodichiarazioni attestanti l’assenza della sintomatologia tipica del COVID-19.

Il tutto, con il precipuo obiettivo di prevenire potenziali ulteriori contagi e impedire l’accesso in azienda a tutti coloro i quali possano pregiudicare la sicurezza e la salute dei dipendenti.

Dal punto di vista della protezione dei dati personali, le iniziative suindicate potrebbero comportare un trattamento “sproporzionato” – e illegittimo – di dati personali, con possibili rischi per i diritti e le libertà dei soggetti ai quali le informazioni raccolte si riferiscono. Tuttavia, allo stesso tempo, la mancata adozione di presidi idonei a prevenire la diffusione dei contagi, potrebbe configurare in capo al datore di lavoro un inadempimento dell’obbligo di adottare misure preventive e protettive per gestire la salute, la sicurezza e il benessere dei lavoratori.

La questione non può quindi prescindere da una lettura congiunta delle disposizioni in materia di protezione dei dati personali, dettate dal Regolamento (UE) 2016/679 (il “GDPR” o il “Regolamento”) e dal Decreto Legislativo n. 196/2003, così come modificato dal Decreto Legislativo n. 101/2018 (il “Codice Privacy”) e da quella in materia di salute e sicurezza sul lavoro di cui al Decreto Legislativo n. 81/2008, Testo Unico in materia di  Salute e Sicurezza nei Luoghi di Lavoro (il “D.lgs. n. 81/2008” o il “Testo Unico”).

L’obbligo del datore di lavoro di tutelare la salute dei propri dipendenti e collaboratori

Come noto, nell’ambito di un’emergenza sanitaria come quella che sta colpendo l’Italia in questi giorni, le imprese – oltre ad avere un evidente interesse alla tutela del proprio business – sono tenute ad adempiere correttamente agli obblighi imposti dalla normativa in materia di salute e sicurezza sul lavoro; pertanto, nell’attuale situazione sono diversi i datori di lavoro che intendono porre in essere misure incisive per contenere la diffusione del virus e preservare i propri dipendenti, anche al fine di assicurare la continuità della propria attività.

Questo concetto è stato peraltro richiamato dal Ministero della Salute con la Circolare n. 3190 del 3 febbraio 2020, recante indicazioni per gli operatori dei servizi/esercizi a contatto con il pubblico in relazione alla epidemia da coronavirus 2019-nCoV, che rinnova l’obbligo per il datore di lavoro, previsto dal D.lgs. n. 81/2008, di tutelare i propri dipendenti e collaboratori da eventuali rischi biologici.

In particolare, la sorveglianza sanitaria dei dipendenti è esplicitamente demandata – dal Testo Unico – al medico competente aziendale; l’art. 2087 c.c. prevede, inoltre, che il datore di lavoro adotti tutte quelle misure che, rispetto all’attività esercitata, all’esperienza e alla tecnica maturate nel tempo, siano idonee a tutelare la personalità fisica e morale del prestatore di lavoro.

Al fine di adempiere a siffatti obblighi, il datore di lavoro è pertanto tenuto ad adottare, di concerto con il medico competente – e insieme con il RLS e RSPP (ove, nominati) –, le misure più idonee a garantire la continuità del business in un ambiente sicuro per i dipendenti.

In tale ottica, il datore di lavoro potrebbe, da un lato, avvalendosi del medico compente, predisporre un apposito “protocollo speciale sulla sorveglianza sanitaria”; dall’altro lato, aggiornare i documenti di valutazione dei rischi (il “DVR” o, in caso di appalto con interferenze, il “DUVRI”) prescrivendo espressamente la necessità di procedere alla misurazione della temperatura corporea di coloro che accedono alle strutture aziendali per contrastare lo specifico rischio di contagio dal COVID-19, che idealmente dovrebbe essere definito come “Rischio agente biologico”.

L’adozione di misure tecniche e organizzative adeguate per conciliare l’obbligo del datore di lavoro di tutelare i propri dipendenti e di assicurare la protezione dei dati personali

Con particolare riferimento agli aspetti privacy e alle possibili criticità connesse al trattamento delle informazioni relative allo stato di salute e agli spostamenti effettuati dai visitatori e dipendenti, si è di recente espresso il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) con un comunicato stampa che si pone l’obiettivo di fornire ai soggetti pubblici e privati alcune utili indicazioni per la gestione dell’emergenza.

In particolare, l’Autorità sembrerebbe aver scoraggiato le imprese, titolari del trattamento, dall’intraprendere iniziative “fai da te” che prevedano la raccolta, in modo generalizzato e sistematico, di dati personali (soprattutto, se particolari) dei soggetti che, a vario titolo, accedono ai locali aziendali.

Il Garante ha motivato l’orientamento adottato chiarendo come la finalità di prevenzione della diffusione del virus, giustificata dal perseguimento di un pubblico interesse, sia di esclusiva competenza degli operatori sanitari e degli altri soggetti deputati a garantire il rispetto delle regole di sanità pubblica previste nel Decreto del Presidente del Consiglio dei Ministri dell’1 marzo 2020 (il “Decreto”).

Al fine di adattarsi alla rigida interpretazione dell’Autorità e con l’obiettivo di contenere la diffusione del virus, le imprese potrebbero, ad esempio, predisporre degli avvisi e/o dei cartelli ben visibili ai visitatori, ricordando loro il dovere civico di astenersi dall’accesso ai locali aziendali nei casi in cui fossero stati a contatto con individui affetti dal COVID-19 ovvero avessero frequentato i luoghi principalmente colpiti dall’epidemia; al contempo, potrebbero mettere a disposizione degli stessi visitatori dei termometri incoraggiando l’“auto-misurazione” della temperatura corporea. In entrambe le soluzioni prospettate, il datore di lavoro eviterebbe di raccogliere e trattare dati relativi allo stato di salute e agli spostamenti di tali soggetti.

Tuttavia, queste soluzioni parrebbero non aver soddisfatto appieno le esigenze degli operatori del mercato, ciò in quanto la mera esposizione di cartellonistica all’ingresso non determinerebbe il medesimo “effetto deterrente” derivante dalla sottoscrizione di un’autodichiarazione. Parimenti, la suddetta auto-misurazione non garantirebbe appieno il rispetto delle prescrizioni e delle regole di sanità pubblica.

A questo proposito, è emersa l’esigenza di individuare – tra gli strumenti messi a disposizione dal GDPR – i presidi più idonei affinché il datore di lavoro possa effettuare il trattamento di dati personali in modo lecito e in presenza di una valida base giuridica, minimizzando al contempo l’impatto negativo sui diritti e le libertà degli interessati, attraverso la raccolta delle sole informazioni che, seppur ulteriori rispetto ai  dati personali normalmente acquisiti, siano strettamente necessarie al raggiungimento della finalità di protezione della salute dei propri dipendenti.

Al fine di dare concreta applicazione al principio di minimizzazione dei dati di cui al GDPR, una prima misura potrebbe essere quella di circoscrivere l’attività di raccolta, effettuata tramite questionari o autodichiarazioni, alla sola informazione “negativa” in merito all’assenza di spostamenti presso le zone dichiarate ad alto rischio epidemiologico. Da ciò solo, infatti, il datore di lavoro potrebbe essere in grado di valutare se impedire (o meno) l’accesso a fornitori, dipendenti e visitatori alla sede dell’azienda.

L’esclusione dei dati particolari (i.e., informazioni relative allo stato di salute degli interessati), su cui si è peraltro concentrata in via principale l’attenzione del Garante, sarebbe di per sé un primo presidio atto a dimostrare l’intenzione del datore di lavoro – titolare del trattamento – di osservare i principi generali di cui al Regolamento, nonché di valutare i diversi interessi in gioco con l’obiettivo di individuare soluzioni di compromesso.

In tale contesto, non meno rilevante per il contesto attuale appare il principio di accountability che permea il GDPR. Questo, oltre a essere uno dei pilastri della normativa in materia privacy, costituisce un fondamentale strumento di interpretazione dei doveri posti in capo al titolare del trattamento e, più in generale, della condotta che è tenuto ad assumere in relazione alle scelte circa l’opportunità e il conseguente sviluppo di ciascuna operazione di trattamento.

In altre parole, ai sensi del principio di accountability,è rimessa al datore di lavoro – titolare del trattamento – la valutazione in merito al “se” e al “come” svolgere il trattamento, seppur sempre nel rispetto dei diritti dell’interessato e dei principi generali previsti dal Regolamento. Ove non si volesse riconoscere una tale responsabilità in capo al titolare del trattamento, rimettendo la decisione esclusivamente ad una valutazione ex ante del legislatore o dell’Autorità, risulterebbe tradito lo spirito della norma europea che “responsabilizza” il titolare in circostanze come quella in esame.

Posto quanto sopra, in presenza di particolari circostanze, da valutare caso per caso, il trattamento di dati particolari potrebbe avvenire, alla luce delle indicazioni fornite dall’Autorità, con il coinvolgimento del medico del lavoro al quale potrebbe essere affidato il compito di misurare la temperatura dei dipendenti ovvero dei visitatori e, nei casi sospetti, quello di procedere con lo svolgimento di analisi più approfondite.

Il medico del lavoro, infatti, detiene le competenze professionali per verificare in modo efficace le condizioni di salute dei singoli individui e svolgerebbe peraltro tali operazioni di accertamento sulla base dell’anzidetto protocollo speciale sulla sorveglianza sanitaria e/o dei documenti di valutazione dei rischi (i.e., il DVR o il DUVRI).

Agendo diversamente, si rischierebbe di tradurre il trattamento di dati particolari in una ingiustificata invasione della sfera personale dell’individuo e in un’attività poco utile ai fini del raggiungimento della finalità di tutela per la salute dei dipendenti.

È evidente, infatti, che, ove le informazioni relative alla sintomatologia fossero direttamente richieste all’interessato tramite la somministrazione di un questionario o altra modulistica, quest’ultimo soggetto – privo delle competenze idonee per valutare il proprio stato di salute e diagnosticare con certezza i sintomi del COVID-19 – potrebbe fornire indicazioni non veritiere.

Nello scenario poc’anzi ipotizzato, peraltro, il medico competente aggirerebbe quale autonomo titolare del trattamento dei dati personali e, in quanto tale, sarebbe tenuto a rendere agli interessati un’apposita informativa privacy per illustrare loro i dettagli in merito al trattamento svolto ai fini della prevenzione del contagio dal COVID-19 e, più in generale, per lo svolgimento della visita medica.

La siffatta impostazione sarebbe, peraltro, in linea con le regole generalmente applicate al trattamento dei dati personali svolto per finalità di sorveglianza sanitaria e, al contempo, consentirebbe al medico competente di mettere in atto le misure più adeguate per garantire la salute, la sicurezza e il benessere dei lavoratori, senza che il datore di lavoro raccolga le informazioni relative allo stato di salute degli interessati.

Conclusioni

Alla luce di quanto precede, nel conteso rappresentato, la chiave di volta consiste nello svolgimento di un corretto test di bilanciamento degli interessi, effettuato case by case, che esalti le ragionevoli finalità del titolare del trattamento, la condizione di liceità dell’operazione, le misure di sicurezza tecniche e organizzative (e.g., la definizione del periodo di conservazione dei dati raccolti sulla base di criteri esatti) implementate al fine di ridurre l’impatto sui diritti e le libertà degli interessati e il rispetto del principio di minimizzazione dei dati in relazione alla raccolta di un set informativo ulteriore che normalmente non è necessario per consentire l’accesso ai locali aziendali. Compito non impossibile, ma che, ci si rende conto, in un momento come questo, difficilmente viene colto come una priorità.

Al contrario, deve essere una priorità, dati i diritti fondamentali costituzionalmente protetti in gioco, la corretta compliance in materia di salute e sicurezza sul lavoro, anche alla luce del fatto che dall’inosservanza delle norme di cui al Testo Unico così come di quelle di recente emanazione per far fronte all’emergenza Covid-19, possono derivare pesanti conseguenze in capo alla Società e/o al datore di lavoro.

Proprio per questa ragione, è stato costituito un gruppo di professionisti al servizio delle imprese, con esperienza in materia di protezione dei dati personali, diritto del lavoro e tutela della salute e della sicurezza nei luoghi di lavoro che sta supportando le aziende in questo momento di emergenza sanitaria, offrendo soluzioni personalizzate rispetto alle esigenze di ciascun titolare del trattamento, seppur nel rispetto dei principi dettati dalle normative di riferimento.

Let’s Talk

Per una discussione più approfondita ti preghiamo di contattare:

Andrea Lensi

PwC TLS Avvocati e Commercialisti

Partner

Francesca Tironi

PwC TLS Avvocati e Commercialisti

Associate Partner

Giulia Spalazzi

PwC TLS Avvocati e Commercialisti

Senior Manager

Tommaso Sala

PwC TLS Avvocati e Commercialisti

Manager