- Dal 1986 specializzati in Diritto Internazionale e Commerciale
Monografie, Pubblicazioni e Seminari
Consulenza legale esperta e specializzata
calendar_today 30 maggio 2023
Finalità della presente trattazione è quella di fornire – da un lato - un quadro aggiornato dei recenti provvedimenti in materia di lavoro e dati personali, nonché - dall’altro - delle linee operative da rispettare negli ambienti lavorativi al fine di perseguire la migliore applicazione della normativa in materia di tutela dei dati personali. Compito quanto mai arduo in quanto con il diffondersi dell’epidemia di coronavirus in Italia si sono susseguite differenti disposizioni, non sempre in linea le une con le altre, che di seguito ci apprestiamo ad approfondire. È, tuttavia, possibile individuare all’interno delle stesse dei precetti il cui rispetto permette alle aziende di porre in essere i comportamenti, di volta in volta, più idonei.
Il garante Privacy con una nota informativa, in seguito al diffondersi dell’epidemia, ha inibito l’utilizzo delle iniziative fai-da-te nella raccolta dei dati, specificando che soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti. Il garante ha ritenuto doveroso precisare i termini della questione in quanto numerosi soggetti (sia pubblici che privati) hanno iniziato, a chiedere di poter raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio. Altrettante richieste sono pervenute dai datori di lavoro pubblici e privati, i quali hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata. Le suddette richieste non hanno atteso risposta e su tutto il territorio nazionale si è diffusa la prassi, tanto velocemente quanto spontaneamente, rendendo così l’intervento si è reso ancor più necessario, alla luce della prassi diffusasi, in diverse aziende che avevano predisposto simili questionari. L’Autorità ha specificato a riguardo che tale comportamento risulta assolutamente illegittimo. Deve rilevarsi, tuttavia, che tale indicazione è in contrasto con l’orientamento precedente diffuso dai consulenti i quali, invece, sulla base del combinato disposto degli artt. 2087 cc e art 9 GDPR, avevano ritenuto possibile un simile controllo da parte del datore, favorendo così il proliferare dei più diffusi questionari. Il Garante, in contrapposizione tale precedente orientamento, ha ritenuto che il datore abbia dei doveri, maquesti doveri potranno essere esercitati solo ed esclusivamente mediante gli strumenti più opportuni predisposti dall’ordinamento. Tale impostazione risulta in linea con il tentativo del Governo di individuare una linea comune, evitando prassi disomogenee tra le varie aree del nostro territorio. In Conclusione, “i datori di lavoro devono quindi astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”, spiega il Garante.
L’art. 14 detta nel contesto emergenziale disposizioni straordinarie sul trattamento dei dati personali. Esso prevede che per motivi di interesse pubblico e, in particolare, per garantire la protezione dall'emergenza sanitaria determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonche' per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, i soggetti operanti nel Servizio nazionale di protezione civile, nonche' gli uffici del Ministero della salute e dell'Istituto Superiore di Sanita', le strutture pubbliche e private che operano nell'ambito del Servizio sanitario nazionale e tutti i soggetti attuatori delle misure straordinarie, possono effettuare trattamenti, compresa la comunicazione tra loro, dei dati personali anche relativi agli articoli 9 e 10 del gdpr che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del COVID-19. Tali soggetti possono omettere l'informativa di cui all'articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione. Nello stesso modo potranno essere conferite le autorizzazioni. Precisa la norma che la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, e' effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attivita' connesse alla gestione dell'emergenza sanitaria in atto. La norma specifica che i trattamenti di dati personali sono effettuati nel rispetto dei principi del regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle liberta' degli interessati e limitatamente al periodo dello stato di emergenza, al cui termine saranno adottate misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali. Per alcuni questa disposizione rappresenta un passo indietro nella tutela della privacy, tuttavia si deve rilevare che l’interesse preminente in questo momento e che risulta meritevole di tutela in questo momento è la salute pubblica, pertanto, sempre nel rispetto della dignità delle persone la norma permette, in casi del tutto eccezionali ed emergenziali di derogare temporaneamente alle buone norme del GDPR. In conclusione qualora l’azienda rientri in una delle categorie richiamate nel citato art. 14, in caso di necessità, può effettuare i trattamenti con le modalità sopra descritte.
Le Parti sociali sono giunte ad un protocollo che fornisce indicazioni operative finalizzate a incrementare, negli ambienti di lavoro non sanitari, l’efficacia delle misure precauzionali di contenimento per contrastare l’epidemia di COVID-19. All’interno del documento viene confermata la previsione della riduzione e/o della sospensione temporanea delle attività, unitamente alla possibilità per l’azienda di ricorrere al lavoro agile e agli ammortizzatori sociali. Obiettivo dichiarato del Protocollo è di coniugare la prosecuzione delle attività produttive con la garanzia di condizioni di salubrità e sicurezza degli ambienti di lavoro e delle modalità lavorative. Nell’ambito di tale obiettivo, la prosecuzione delle attività produttive potrà infatti avvenire solo in presenza di condizioni che assicurino ai lavoratori adeguati livelli di protezione. Di seguito vediamo i risvolti operativi del Protocollo all’interno dell’azienda.
Ad esse è dedicato il primo punto del Protocollo. L’azienda, deve informare tutti i lavoratori e a chiunque acceda ai locali della stessa, del contenuto delle disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, degli appositi documenti informativi dai quali deve evincersi:
La rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679). Il Protocollo suggerisce, altresì, le modalità operative del trattamento dati: 1) rilevare la temperatura e non registrare il dato acquisito. 2) fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 GDPR
- con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19, - con riferimento alla base giuridica potrà essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR; - con riferimento ai tempi dell’eventuale conservazione dei dati è possibile indicare il termine dello stato d’emergenza.
Il Protocollo ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative.
Con riferimento alla base giuridica, il trattamento di cui sopra rappresenta una esplicita deroga al divieto ex art 9, par. 1, GDPR di trattare le categorie particolari di dati personali – tra le quali i dati relativi alla salute – riconducibile al caso del par. 2, lett. b), dello stesso articolo ove “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.”
Il Protocollo di regolamentazione suggerisce, altresì, di definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. Per soggetti preposti si intendono iprofessionisti soggetti al segreto professionale. Il Protocollo infatti specifica che “il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie”. Quanto alle misure chi effettua i suddetti trattamenti deve sempre operare con riferimento a quanto previsto dal paragrafo 1 dell’art. 25 GDPR in relazione alla pseudonimizzazione dei dati, nonché a tutto quanto previsto dall’art. 32 GDPR.
A riguardo è intervenuto il Garante che ha precisato che qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, è lo stesso Protocollo a ricordare di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati. A tal fine (in conformità al cd. principio di minimizzazione ex art. 5, par. 1, lett. c), GDPR) si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.
In data 16 marzo 2020 la Presidente del Comitato Europeo per la Protezione dei Dati (EDPB) si è espressa, attraverso l’emanazione di uno Statement, su come applicare la normativa sulla protezione dei dati personali nel contesto della crisi legata al coronavirus. Tale intervento si è reso necessario al fine di tentare di armonizzare le precedenti indicazioni fornite dalle numerose autorità Garanti Europee, che nei giorni si scorsi si sono espresse, in modo spesso discordante, in materia. In primo luogo, l’EDPB ha chiarito che la normativa sulla privacy, non costituisce un limite all’adozione di misure per combattere la pandemia del coronavirus. Anzi sottolinea il Comitato come il proprio il Regolamento Europeo offra svariate basi giuridiche che possono essere utilizzate, in alternativa al consenso, per poter trattare dati personali come misura di contenimento del contagio.
Alla luce delle normative e delle indicazioni sopra esposte, ed in attesa, di ricevere indicazioni più puntuali, sia a livello nazionale che comunitario, si raccomanda di limitare i trattamenti a quelli ritenuti strettamente necessari, e di effettuarli sempre nel rispetto delle disposizioni della normativa GDPR nonché nel rispetto della dignità umana.
Noi e terze parti selezionate (come ad esempio Google, Facebook, LinkedIn, ecc.) utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come ad esempio per mostrati annunci personalizzati e non personalizzati più utili per te, come specificato nella cookie policy.Chiudendo questo banner con la crocetta o cliccando su "Rifiuta", verranno utilizzati solamente cookie tecnici. Se vuoi selezionare i cookie da installare, clicca su "Personalizza". Se preferisci, puoi acconsentire all'utilizzo di tutti i cookie, anche diversi da quelli tecnici, cliccando su "Accetta tutti". In qualsiasi momento potrai modificare la scelta effettuata.