Il datore di lavoro può rilevare la temperatura corporea di dipendenti, fornitori e visitatori? Quali precauzioni devono essere adottate? Come bisogna comportarsi riguardo la clientela? Uno studio medico deve seguire procedure particolari?
La “fase 2” è ufficialmente iniziata, ma le regole dettate dal Governo non hanno dissipato i molteplici dubbi sorti in merito alla tutela dei dati personali, specialmente nel contesto sanitario e lavorativo. Forse anche per questo motivo è intervenuto il Garante per la Protezione dei dati personali che nella giornata del 4 maggio 2020, giorno dell’avvio della fase due, ha pubblicato una serie di F.A.Q (https://www.garanteprivacy.it/temi/coronavirus/faq) che mirano a rispondere ai dubbi più urgenti di chi si appresta a trattare una molteplicità di informazioni derivanti dalla situazione emergenziale ed è sempre tenuto a farlo nel rispetto del dettame normativo.
In breve, i principali punti toccati dalle FAQ del Garante nelle operazioni di trattamento dei dati nel contesto sanitario, lavorativo e scolastico.
Il trattamento dei dati nel contesto sanitario
Viene giustamente rimarcata l’ampia liberta dei medici nell’effettuare tutte le analisi necessarie nell’ambito delle attività di cura dei loro pazienti, ivi comprese quelle legate alla presenza di sintomi da COVID-19. Di contro, l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus, spettano unicamente agli organi deputati a garantire il rispetto delle regole di sanità pubblica.
Ampio spazio è dedicato alla dematerializzazione della ricetta medica, viso il suo sempre più crescente utilizzo ed importanza. È confermato, tra l’altro, che il medico può trasmettere all’assistito la ricetta per posta elettronica, via SMS o telefonicamente (in questi ultimi due casi, comunicando il solo Numero della Ricetta Elettronica o NRE).
Il trattamento dei dati nel contesto lavorativo pubblico e privato
Il documento principale da cui muovono anche le considerazioni del Garante resta sempre il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020, così come aggiornato in data 24 aprile 2020.
In virtù di detto Protocollo viene confermata la possibilità (e in taluni casi, l’obbligo) della rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, estendendone l’applicazione anche nei confronti di fornitori, utenti, visitatori e clienti.
Non è ammessa la registrazione del dato relativo alla temperatura corporea. Tale informazione, nel rispetto dell’oramai noto “principio di “minimizzazione” (art. 5, par.1, lett. C del Regolamento EU 2016/679) è possibile registrarla della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Si evidenzia come, anche per questo ultimo caso, si parli di “luogo di lavoro”: rispetto ai clienti e visitatori non sarà mai necessario, di regola, registrare il dato relativo al motivo del diniego di accesso.
Viene altresì confermata la possibilità di richiedere a dipendenti, utenti e clienti, di rendere informazioni – anche mediante un’autodichiarazione – in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso.
La privacy e la dignità dei lavoratori dipendenti sono ulteriormente tutelati, specialmente nel caso in cui risultino positivi al virus COVID-19.
In questa eventualità il datore di lavoro non deve renderne nota l’identità agli altri dipendenti, ma è tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie affinché le stesse possano assolvere ai compiti e alle funzioni previste dalla normativa d’urgenza.
Il medico competente
È bene ricordare, infine, che in capo al medico competente permane anche nell’emergenza il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.
Il medico è sicuramente tenuto a collaborare con il datore di lavoro e le RLS/RLST, segnalando tra l’altro al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti”. Tuttavia, la segnalazione di casi specifici in cui reputi che la particolare condizione di fragilità – connessa anche allo stato di salute del dipendente – ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione, non deve essere accompagnata dalla comunicazione della patologia eventualmente sofferta dal lavoratore.
Il trattamento dati nel contesto scolastico
In tale ambito il Garante era già intervenuto con un provvedimento del 26 marzo 2020 ed un successivo comunicato il 30 marzo 2020, chiarendo alcuni punti fondamentali.
In queste F.A.Q. viene confermato che le scuole non sono tenute ad acquisire il consenso di alunni, genitori e insegnanti per attivare la didattica a distanza, trattandosi di una operazione in linea con le proprie finalità istituzionali. Tuttavia, sempre in ottica di trasparenza. permane l’obbligo di informare gli interessati in merito ai trattamenti dei dati personali.
In conclusione, con queste F.A.Q. il Garante cerca di venire in soccorso delle molteplici aziende ed operatori che dal 4 maggio 2020 devono fare i conti con le problematiche collegate alla riapertura delle attività. Cerca di farlo bilanciando la necessità di essere precisi, ma non rigidi nelle disposizioni, rimarcando alcuni punti chiave e provando a dirimere alcuni dei dubbi più assillanti dell’ultimo periodo. Il tutto senza discostarsi dagli orientamenti e principi assunti a guida nei Comunicati e Provvedimenti degli ultimi mesi.
Sicuramente le realtà lavorative che già dall’inizio di questa emergenza si sono sforzate di operare conformemente alla disciplina vigente in materia di trattamento del dato si troveranno avvantaggiate, in quanto dovranno raffinare i propri protocolli per agire sempre più in sicurezza (mettendosi al riparo da possibili sanzioni), ma senza dover effettuare modifiche impegnative o rivoluzioni nei protocolli di sicurezza fino ad oggi adottati. Diverso è il caso di chi, distrattamente o per mancanza di risorse, ha tralasciato fino ad ora l’obbligo di tutela dei dati personali. Tuttavia, anche in quest’ultimo caso, la pubblicazione delle F.A.Q. del Garante può essere un ottimo spunto per avviare un processo di adeguamento serio e da effettuarsi in tempi rapidi.
La fase due è avviata ed il Garante è intervenuto con F.A.Q. precise, eliminando molte delle zone d’ombra che in precedenza avrebbero potuto arginare controlli e mitigare le sanzioni. Ora questa non è più un’opzione ed è bene che ogni realtà, pubblica e privata, comprenda che l’emergenza non può più essere una scusante per un trattamento irresponsabile o superficiale dei dati in suo possesso.
Avv. Nicola Damiani