PRIVACY: CHIARIMENTI IMPORTANTI SU CLIENTI E DIPENDENTI

Emanate alcune FAQ

06/05/2020

Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito alcune risposte alle domande più frequenti sulle problematiche connesse al corretto trattamento di dati personali durante l’emergenza coronavirus.

Relativamente al contesto lavorativo, sono forniti alcuni importanti chiarimenti, di seguito sintetizzati.

Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Il Garante fa presente che il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, sottoscritto tra Governo e parti sociali, prevede la possibilità per il datore di lavoro di rilevare la temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali. Tale disposizione trova applicazione anche nei confronti di utenti, visitatori e clienti, nonché dei fornitori.

In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali ai sensi del Regolamento (UE) 2016/679, il Garante fa presente che non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, ma, nel rispetto del principio di “minimizzazione” (art. 5, par. 1, lett. c) del Regolamento, è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge (37,5°C) e comunque quando sia necessario documentare le ragioni che hanno impedito al lavoratore l’accesso al luogo di lavoro.

Diversamente, nel caso in cui la temperatura corporea venga rilevata a clienti o visitatori occasionali, anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

 

L’impresa può richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

Il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.

Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare, in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle disposizioni emanate nell’ambito del contenimento del contagio, il Garante ritiene possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (ad esempio, visitatori e utenti).

Il Garante fa presente che dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

 

Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

Il Garante chiarisce che in capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.

Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti, come previsto nel Protocollo tra le parti sociali.

Il medico competente, pertanto, nel rispetto delle disposizioni sulla protezione dei dati personali, provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. Non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

Il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati, i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

 

Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano tra le specifiche attribuzioni di quest’ultimo.

 

Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

Il Garante ritiene che il datore di lavoro non possa rendere nota l’identità del lavoratore affetto da Covid-19 agli altri lavoratori. Spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti.

In conclusione, alla luce del mutato quadro normativo di riferimento, il Garante ha sensibilmente modificato il proprio orientamento in materia di trattamento di dati acquisiti al fine di contenere la diffusione del coronavirus, espresso nel parere del 2 marzo 2020.

Il Garante ritiene ora che il datore di lavoro sia legittimato (non obbligato) a rilevare la temperatura dei clienti, oltre che dei lavoratori, prima che accedano alla struttura, senza però registrare il dato. La registrazione potrà avvenire solo nel caso in cui la temperatura del lavoratore risulti superiore alla soglia indicata (37,5°C). Per i clienti, invece, il Garante non ritiene necessario registrare il dato anche nel caso in cui un cliente superi la soglia prevista.

Inoltre, il Garante ritiene possibile richiedere sia ai lavoratori che ai clienti una dichiarazione che attesti che, negli ultimi 14 giorni, non abbiano avuto contatti con soggetti risultati positivi al COVID-19 o provengano da zone a rischio secondo le indicazioni dell’OMS.

E’ doveroso però ricordare, come evidenziato anche nel Protocollo tra le parti sociali, che la raccolta e conservazione di tali dichiarazioni, contenenti dati personali, deve avvenire nel rispetto delle prescrizioni del Regolamento (UE) 2016/679 (ad esempio, obbligo di fornire una adeguata informativa, definire misure di sicurezza e organizzative adeguate a proteggere i dati individuando i soggetti preposti al trattamento e fornendo loro le istruzioni necessarie, nonché, in alcune ipotesi, obbligo di nominare un responsabile della protezione dei dati - DPO).

In alternativa, è possibile responsabilizzare lavoratori, fornitori e clienti invitandoli a prendere visione dell’informativa che riporta le condizioni che non consentono l’ingresso nella struttura.