Sottoscritto il 14 marzo 2020 e aggiornato il 24 aprile, il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del coronavirus negli ambienti di lavoro” intende garantire la tutela della salute e le condizioni di sicurezza dei lavoratori sui luoghi di lavoro, sulla base delle indicazioni del Ministero della Salute.
Si tratta di un Protocollo di intesa tra le parti sociali, in attuazione della misura di cui all’art. 1, comma I, numero 9, del Decreto del Presidente del Consiglio dei ministri – DPCM dell’11 marzo 2020, che — in relazione alle attività produttive e professionali — raccomanda accordi tra organizzazioni datoriali e sindacati. Esaminiamo di seguito i punti salienti del Protocollo che hanno aspetti afferenti alla privacy.
Le fonti delle due versioni del protocollo
Il DPCM dell’11 marzo, all’allegato 1 elenca una serie di attività di “commercio al dettaglio” che restano aperte, elenco — suddiviso per codici Ateco — che è in coordinamento con quello successivo afferente al DPCM siglato in data 22 marzo 2020. Sostanzialmente nel prevedere “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale”. Sostanzialmente, “molte” attività restano aperte, ivi comprese le annesse filiere, purché rientrino nei servizi essenziali o siano attività professionali caratterizzate da motivi di necessità ed urgenza.
Il Protocollo di intesa che di seguito commenteremo con riferimento a quei punti di pertinenza privacy, viene anche richiamato dal Decreto n. 34 del 21 marzo 2020 emanato dalla Regione Piemonte il quale, al punto 17, nell’ordinare la sospensione delle attività dei servizi di ristorazione, consente “…i servizi di mensa e del catering continuativo su base contrattuale, i servizi resi nell’ambito delle strutture pubbliche e private […], garantendo il rispetto delle misure previste dall’accordo Governo-Parti Sociali del 14.03.2020″. Lo scorso 24 aprile 2020, detto Protocollo ha subito aggiornamenti e modifiche, anche in vista della Fase 2 prossima, per la quale occorrerà attendere fino al 4 maggio p.v., per la cui realizzazione è verosimile aspettarci ulteriori DPCM.
L’obbiettivo del Protocollo resta sempre lo stesso: «…fornire indicazioni operative finalizzate ad incrementare, negli ambienti di lavoro non sanitari, l’efficacia delle misure precauzionali di contenimento adottate per contrastare l’epidemia di COVID-19. Il COVID-19 rappresenta un rischio biologico generico, per il quale occorre adottare misure uguali per tutta la popolazione. Il presente protocollo contiene, quindi, misure che seguono la logica della precauzione e seguono e attuano le prescrizioni del legislatore e le indicazioni dell’Autorità sanitaria».
Ciò premesso, ci focalizziamo sui punti ad impatto privacy, pur non tralasciando aspetti maggiormente pertinenti alla sicurezza (D. lgs. 81/2008) poiché significativi nel contesto più generale, fonte di ispirazione, per arricchire il presente commento di esempi.
Informazione
Il Protocollo, al punto 1, già nella prima versione del 14 marzo 2020 forniva delle informazioni (introduttive) circa:
- l’opportunità, ad esempio, «di affiggere all’ingresso o nei luoghi maggiormente visibili dei locali aziendali appositi depliants informativi». Si tratta di informazioni che debbono essere ben visibili, prima di accedere alle aree del “posto di lavoro”.
- «l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5 gradi) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’Autorità sanitaria»
Tra gli elementi di novità apportati dall’aggiornamento del Protocollo del 24 aprile 2020 annoveriamo due punti:
- “l’impegno a rispettare tutte le disposizioni dell’Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene“. Al riguardo, circa l’obbligo di misurazione della temperatura ad esempio nei Centri Commerciali, tali modalità potranno essere effettuate dal personale Autorizzato o, in mancanza, per il tramite di rilevazioni termografiche anonimizzate.
In presenza di temperature superiori ai 37,5 è bene prestare fin da subito attenzione agli impatti privacy che potranno esserci dovendo negare l’accesso dell’individuo (interessato) oltre che cliente dell’aree Commerciali.
- “l’azienda fornisce una informazione adeguata sulla base delle mansioni e dei contesti lavorativi, con particolare riferimento al complesso delle misure adottate cui il personale deve attenersi in particolare sul corretto utilizzo dei DPI per contribuire a prevenire ogni possibile forma di diffusione di contagio”.
Dal che si deduce un, ancora, più massiccio ruolo del Medico Competente. Il Datore di lavoro dovrà, infatti, richiedere al Medico Competente quali misure adottare nell’ambito del Protocollo di Sorveglianza sanitaria, ovvero se limitarsi a quelle previste dal protocollo o se introdurne di nuove. Il Datore di lavoro dovrà anche sottoporre al medesimo Medico la lista delle misure poste in atto per ridurre le possibilità di contagio. Qualora il Datore di lavoro non ricevesse indicazioni dal Medico Competente dovrà sollecitarle, in quanto la definizione del Protocollo di Sorveglianza sanitaria è a diretto carico del Medico il quale riveste un ruolo fondamentale nella definizione delle misure. Ciò posto, affrontiamo nel dettaglio alcuni aspetti.
Modalità di ingresso in azienda
Si tratta del 2 punto di cui al Protocollo si leggeva ed ancora si legge nel Protocollo che «Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro». Non solo, invero, tale prescrizione sarà da attuare sia per i Clienti sia per tutti i soggetti — prestatori d’opera — i quali prestino la propria attività professionale nei locali aziendali, vale a dire tutti i cd Collaboratori evidentemente non alle dipendenze dell’Organizzazione.
Ancora, si legge: «Le persone in tale condizione – nel rispetto delle indicazioni riportate in nota – saranno momentaneamente isolate e fornite di mascherine non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni».
La fornitura delle mascherine è un punto critico: uno perché sono ancora abbastanza introvabili o trovabili a prezzi ancora troppo alti, due perché non regge tanto dal punto di vista logico. Infatti se le mascherine sono obbligatorie per circolare all’aria aperta, lo devono essere, vieppiù, per la permanenza in spazi chiusi, come all’interno di un’Azienda. I lavoratori, di conseguenza, devono avere indossata una loro mascherina, già nel tragitto per raggiungere l’azienda. Qualora, poi, quest’ultima — per svariati motivi — non fosse in grado di fornirla, i lavoratori dovranno usare la loro (di cui debbono comunque essere muniti). É ben vero che a complicare la questione “mascherina”, sussiste la circostanza per la quale talvolta occorre utilizzare un tipo di mascherina specifica da adoperare in Azienda. Questa dovrà essere indicata dal Medico Competente.
Ancora, tutte le scelte compiute dal Datore di lavoro previo concerto con il Medico Competente, sono da documentare, e gli stessi lavoratori hanno il diritto di essere informati. Tuttavia, invero, proprio in considerazione dell’attuale carenza di mascherine rende “vana” questa precisazione di cui al Protocollo nella sua ultima versione, rendendo poco attuabili le procedure (in termini di frequenza e modalità) volte all’igienizzazione delle stesse. Dicasi per il successivo punto elenco leggendo il quale rileviamo come la provenienza dalle zone «a rischio secondo le indicazioni dell’OMS» non significa nulla, o meglio è valevole per gli stranieri che dovessero accedere nel territorio nazionale, dal momento che proprio secondo i parametri dell’OMS tutta l’Italia è considerata “zona a rischio” o rossa che dir si voglia. Il solo fatto, tuttavia, di raggiungere aziende in territorio italiano li pone a dover “almeno transitare” da una (o più a seconda di dove sia ubicata l’Azienda rispetto al luogo di partenza del lavoratore che, in essa, si deve recare) zona rossa.
In ogni caso, al di là di queste note critiche iniziali, questo punto fornisce delle “linee guida” in ordine all’accesso nei locali aziendali di quelle attività rimaste aperte. Si tratta di mere raccomandazioni da fornirsi, per non incorrere in eventuali problematiche civilistiche e di sicurezza in ambito juslavoristico, dal Medico Competente al titolare (datore di lavoro) definendo, a seconda dell’organizzazione, il protocollo sanitario più adeguato, quindi, impattante sul trattamento dati personali. In ogni caso, ci pare difficile fare meno di quanto indicato nel Protocollo a maggior ragione nella sua ultima versione, ed in questo caso, andrebbe, come minimo, giustificato.
Per precisione, al primo punto in elenco, viene citato il “Medico Curante”; è evidente che costui sarà la figura deputata ad impartire giuste indicazioni quando, il personale dipendente recatosi al lavoro, prima di accedere ai locali aziendali, «potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5 gradi, non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione — omissis — saranno momentaneamente isolate […], ma dovranno contattare nel più breve tempo possibile il proprio Medico Curante e seguire le sue indicazioni». Ma non è tutto, dal momento che gli scenari potrebbero essere svariati, ne citiamo altri due, che riguardano i fornitori, e gli avventori/clienti
Circa i fornitori riteniamo che la rilevazione della temperatura non andrebbe mai fatta, a meno che non vi siano disposizioni insite nei processi produttivi dell’organizzazione, che suggeriscono di rilevarla sempre, e solo nel caso si debba permettere loro l’accesso fisico ai locali aziendali (manutentori, impresa di pulizie, ecc.) oppure per gli autisti, come ad esempio nel caso in cui questi avessero necessità di recarsi ai servizi igienici a loro destinati, per i quali dovrà prevedersi un adeguato piano di igienizzazione.
Circa il personale avventizio o i clienti consigliamo di valutare sulla base delle tipologie dell’Organizzazione. Ad esempio, in un’officina di veicoli industriali, sarà opportuno misurare la febbre al Cliente o avventore che necessariamente scende dal veicolo per illustrare il problema per cui necessita manutenzione. A quel punto, si procede secondo quanto stabilito dal Medico Competente, ad esempio: sotto i 36,9 gradi si può continuare con l’attività, da 37,0 a 37,5 il soggetto andrebbe “isolato” e invitato a contattare immediatamente il suo medico curante per le procedure stabilite dal Ministero della Salute, cui si rinvia. In questo casodovrà essere anche valutata l’igienizzazione della vettura o di parti di essa indicando anche laddove debba essere spostata.
Se poi, si dovesse riscontrare una temperatura superiore ai 37,5° e così “a salire”, il soggetto dovrà essere isolato fino a quando l’ASL o la PP.SS, sulla base dei protocolli sanitari/regionali di competenza, non verranno fisicamente a prelevarlo. Contestualmente, si dovrà allertare il Medico Competente. Il tutto sarebbe meglio che venisse altresì precisato o richiamato nell’informativa da esporre nei locali aziendali. Quanto sopra, al fine di rendere edotto e consapevole l’interessato nel senso che la misura “cautelativa” è specificata dalle Autorità per una finalità superiore, id est la salvaguardia degli interessi vitali, come da art. 6, paragrafo lett. d) del Reg. UE 679/2016 – GDPR.
Non solo; in talune Regioni, tra cui la Lombardia, come da Ordinanza n. 514 del 21 marzo 2020 si suggerisce il prelevamento della temperatura corporea, “a tappeto”. Sarà opportuno, dunque, fare riferimento sia alla completa ottemperanza — registrando le attività— da parte del titolare del trattamento, al regolamento UE 679/2016, nonché verificare l’Allegato 1 al Provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979] (pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018) che elenca le tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, richiamando, per quanto ivi interessa, il punto 5 che recita i “Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).”, oltre il punto 10 secondo cui “Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse”.
Il tutto di “concerto” sul protocollo sanitario con il coinvolgimento del RSPP.
Le note privacy
Di seguito, commentiamo separatamente —per quanto siano connesse tra loro— le due note di cui al Protocollo con riferimento al punto 2.
La prima nota
Occorre premettere che, tutte le misure di prevenzione nei confronti dei lavoratori e degli altri soggetti i quali, a titolo diverso, siano autorizzati ad entrare nel perimetro dell’Organizzazione (volontari, corrieri, autisti, manutentori, ecc.), devono essere definite in un documento. Questo dovrà essere allegato al documento di valutazione del rischio biologico coronavirus ad hoc predisposto, come richiesto dall’art. 17 comma I, lett. a) del D.lgs 81/2008. Tale documento riporta le firme tutte e rispettivamente del datore di lavoro, del Medico Competente, del Rspp e del Rsl, quest’ultimo per presa visione.
In particolare, le misure di prevenzione, che possono non limitarsi al rilevamento della temperatura corporea all’ingresso nell’organizzazione, come indicato nel protocollo e sopra anticipato, sono definite esclusivamente dal Medico Competente di concerto con il Datore di lavoro e con l’Rspp.
D’altra parte, dallo stesso documento di valutazione del rischio biologico (DVR) come da comunicazione dell’INL — avente per oggetto “adempimenti datoriali – valutazione rischio emergenza Coronavirus” del 13 marzo 2020 — è chiaro che i parametri fisiologici dei lavoratori da rilevare, non siano solo la temperatura corporea, bensì tutti quelli che il Medico Competente definisce opportuni, sulla base della valutazione emergenza Covid-19. Tali misure, con il precipuo obiettivo di ridurre il possibile rischio biologico portato dal singolo interessato, devono essere documentate e portate a conoscenza dei soggetti coinvolti nella loro applicazione. «La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente, ove ci sia l’applicazione dell’art 4 par 1 del Reg Ue 2016/679».
Quanto riportato nella nota potrebbe non riguardare la sola misura della temperatura corporea, ma la rilevazione anche di altri parametri, sulla base delle indicazioni provenienti dal Medico Competente. Inoltre, anche la rilevazione della temperatura potrebbe avere una frequenza maggiore di quella giornaliera. Sulle note, in generale, rimaste immodificate rispetto alla versione del Protocollo del 14 marzo 2020, ci corre d’obbligo rammentare che le misure, comunque, potranno/dovranno essere ampliate, di volta in volta, su indicazione del Medico Competente tanto con riferimento all’esigenze sanitarie di prevenzione del contagio (come ad esempio la possibilità di attivare tamponi e/o test sierologici), quanto in ordine alla evoluzione scientifica che potrebbe mettere a disposizioni tecniche, via via, in grado di fornire risultati sempre più attendibili, in tempi rapidi e con metodologie di facile applicazione. In altri termini, vogliamo porre l’accento sul fatto che il Protocollo di intesa, anche in questa seconda versione aggiornata al 24 aprile 2020, dovrebbe rispondere ad una logica “one to one” in relazione alle singole realtà produttive e/o organizzative in ottemperanza ai provvedimenti di carattere regionale e/o comunale, pur tuttavia legittimi soltanto in ottica più restrittiva. Circa, ancora, l’accesso nei locali aziendali, il Protocollo del 24 aprile 2020 introduce due punti/aspetti, sempre con riferimento alle modalità di ingresso in azienda, ed in particolare prevede che:
- qualora i lavoratori «…già risultati positivi all’infezione da Covid- 19, dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la avvenuta negativizzazione del tampone secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza.»
Si tratta di una inesattezza in quanto la idoneità alla mansione deve essere prevista anche per i non dipendenti in forza c/o l’azienda stessa. Ciò rileva ai fini anche privacy pensando, ad esempio, alla conservazione di tali dati eventualmente particolari;
- qualora, poi, «…per prevenire l’attivazione di focolai epidemici, nelle aree maggiormente colpite dal virus, l’Autorità sanitaria competente disponga misure aggiuntive specifiche, come ad esempio, l’esecuzione del tampone per i lavoratori, il datore di lavoro fornirà la massima collaborazione».
Senza tuttavia prevedere che il Medico Competente dovrebbe suggerire al Datore di lavoro l’indice di rotazione temporale che, in caso di esito negativo, l’indice di rotazione ovvero manca del tutto la previsione di quell’effetto circolare cd di re-call, determinante invece ai fini che ci occupano.
I “suggerimenti”
Il documento utilizza la locuzione “si suggerisce” perché si sottolinea la valenza non obbligatoria. Nel caso in cui si adoperassero misure meno rigorose rispetto a quelle indicate, sarebbe opportuno che ne fosse data e documentata la motivazione per la quale si è deciso di discostarsi, ben coinvolgendo il Medico Competente.
- Rilevare la temperatura e non registrare il dato acquisto.
È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
La rilevazione della temperatura dovrebbe essere effettuata da una figura dedicata, (ad esempio un membro della squadra di emergenza/primo soccorso o un collaboratore aziendale che per esperienza, competenza, consapevolezza, abbia dimestichezza con aspetti relativi alla salute (ad esempio, il lavoratore aziendale anche volontario ambulanza o preparatore atletico per una squadra amatoriale, difficilmente potrà essere il Medico Competente, “figura esterna” per la maggior parte delle realtà produttive nazionali).
Nel caso, invece, in cui si optasse anche per la raccolta, sulla base del Piano di sorveglianza sanitaria nonchè di altri parametri fisiologici, dovranno essere definite le funzioni abilitate. Non solo, andrà essere valutato se tale raccolta è possibile effettuarla presso la Sede aziendale o è necessario che l’autorizzato si rechi presso uno dei centri specializzati. La problematica sarebbe di una sostanziale impossibilità nella gestione qualora debbano essere raccolti dati anche di soggetti terzi aventi con l’Organizzazione un rapporto non continuativo, nel qual caso potrebbero essere valutate l’adozione di “patenti” sulla scorta del modello cinese o sud-coreano, soluzioni tutte ancora troppo futuristiche.
Il soggetto incaricato, se interno all’azienda e quindi sotto la responsabilità del Titolare del trattamento/Datore di lavoro, deve essere:
- dotato dei Dispositivi di Protezione Individuali previsti, come indicato nel documento integrativo alla valutazione dei rischi;
- istruito in merito alle misure di prevenzione da adottare, come indicato nel suddetto documento;
- istruito in merito alle modalità per la rilevazione della temperatura o di eventuali altri parametri fisiologici;
- nominato come “autorizzato al trattamento dei dati personali in relazione alle finalità del trattamento”, ai sensi e per gli effetti di cui all’art. 29 o 28 3b del GDPR con specifiche istruzioni.
Nel caso di soggetto esterno, ovvero se appartiene ad un’altra Organizzazione questa deve essere nominata Responsabile del trattamento. In alcuni casi, la identificazione dell’interessato è assolutamente inevitabile (ad esempio nel caso di una piccola realtà in cui tutti si conoscono). Il punto mette, dunque, in evidenza la non necessità di registrare il dato/i dati raccolti per la valutazione del rischio biologico che potrebbe introdurre il singolo interessato. Infine, ancorché non indicato, la rilevazione dei parametri fisiologici, per quanto possibile dovrebbe essere effettuata in un luogo riservato, in particolare se non è prevista la sola rilevazione della temperatura corporea.
Tale esigenza deve, tuttavia, essere pure bilanciata con quella di non creare troppo ritardo nell’ingresso nell’Organizzazione o ancor peggio pericolosi assembramenti. Fornire l’informativa sul trattamento dei dati personali. Si ricorda che l’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Quanto ai contenuti dell’informativa, con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da Covid-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e con riferimento alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza.
I contenuti dell’informativa
Per quanto previsto, l’informativa come suddetto può essere fornita anche oralmente. É preferibile comunque redigerla in forma scritta apponendola, se possibile, in un’area posta antecedentemente a quella destinata alla rilevazione dei parametri fisiologici. Per quanto riguarda i lavoratori (e non gli esterni), l’informativa potrebbe anche non essere necessaria nel caso in cui quella fornita al dipendente, all’atto dell’assunzione specificava chiaramente tra le finalità, in modo dettagliato, anche quelle della raccolta dati ai fini della valutazione degli aspetti relativi alla salute e sicurezza del lavoratore stesso. Ovviamente, una informativa predisposta ad hoc è sicuramente la soluzione più adeguata.
I contenuti specifici da considerare sono:
- introdurre in premessa, che la raccolta dei dati è finalizzata all’emergenza COVID-19 per tutti quei soggetti che, a qualsiasi titolo, accedono nel perimetro dell’Azienda, sulla base dei protocolli e della normativa nazionale/regionale e della valutazione del rischio biologico come riportato nell’ultima versione del DVR.
Va, inoltre, specificato che potranno essere trattati ulteriori dati sanitari dell’interessato in relazione alla sua eventuale condizione di fragilità, infatti per quei soggetti che lo reputano opportuno potranno essere comunicati al medico competente, per valutarne lo stato di “fragilità”, anche eventuali patologie in essere o pregresse che l’interessato ritiene utile esser note a tale figura, affinchè si possano valutare ulteriori misure di protezione dello stesso interessato, come indicato anche dal “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 24.04.2020[1].
- tra le basi giuridiche che rendono legittimo il trattamento occorre considerare anche l’art. 9 par. 2, lett. b) protezione sociale, e lett. f) l’interesse pubblico rilevante nonché l’art. 6 par. 1, lett. c) obbligo di legge (ex art. 2087 c.c. e d.lgs. 81/08 tutela salute e sicurezza nei luoghi di lavoro) e lett. d) concernente la salvaguardia dell’interesse vitale degli operatori che collaborano con il Titolare, oltre alle persone fisiche tra cui i visitatori. Sulla base di ciò, non va richiesto consenso alcuno;
- per i tempi di conservazione non limitarsi a “termine dello stato di emergenza”, ma fare riferimento anche alla casistica che i dati potranno anche essere conservati sulla base delle indicazioni provenienti dal Ministero della Salute o dalla ATS o da altro organo deputato per eventuali indagini epidemiologiche. I dati potranno anche essere conservati dal Datore di Lavoro al fine di poter dimostrare di aver messo in atto tutte le misure previste in aderenza al Protocollo Sanitario ed al DVR COVID-19;
- circa la comunicazione dei dati, occorre anche indicare che, su richiesta delle autorità, gli stessi potranno essere trasmessi ad altri soggetti autorizzati tra cui, a titolo di esempio, il Ministero della Salute, l’ATS altro organo deputato per eventuali indagini epidemiologiche. Non va, peraltro, dimenticato che i dati — nel caso in cui l’interessato risulti aver contratto il Covid-19 — potranno essere comunicati a soggetti terzi come il Medico Competente, ovvero ad altri soggetti interni o esterni all’Organizzazione venuti a contatto con l’interessato presuntivamente affetto da detto virus;
- quale conseguenza del mancato conferimento dei dati si deve specificare l’impossibilità di accedere nei locali aziendali. Inoltre, per quanto riguarda i dati relativi alla eventuale condizione di fragilità dell’interessato si veda, in merito alla natura del conferimento, quanto indicato nella sezione “Tipologia di dati trattati”;
- circa la sottoscrizione dell’informativa, infine, valutare se non sia più che altro un passaggio burocratico, fine a sé stesso.
Ci pare non banale rammentare che, ovviamente, in presenza di un nuovo trattamento dovrà essere aggiornato sia il registro dell’attività dei trattamenti che l’analisi dei rischi-DPIA.
Definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento (raccolta dei dati e loro conservazione) e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19), oltre a quanto già specificato nella informativa.
Le misure organizzative devono prevedere:
- l’individuazione delle funzioni incaricate della raccolta (si veda quanto indicato al punto 1) e quelli incaricati della conservazione suggerendo di fare ricorso all’RSPP o al Referente della protezione dei dati, ove presente. Si vedano anche le indicazioni, sopra riportate circa gli eventuali soggetti terzi incaricati alla raccolta;
- le istruzioni con previsione del luogo di conservazione dei dati e le modalità per prevenirne un accesso non autorizzato. Ma, più in generale, le istruzioni devono prevedere anche altri aspetti quali quelle identificate al punto 1, oltre alla gestione del lavoratore per il quale deve essere previsto un isolamento temporaneo (vedi punto 4). Le istruzioni, infine, devono prevedere a quali soggetti rilevare la temperatura oltre ai lavoratori, come sopra detto. L’Organizzazione, naturalmente, deve essere in grado di garantire l’applicazione delle misure (ad esempio adeguata distanza nel corso della rilevazione dei parametri fisiologici); in caso contrario le misure non sono applicabili.
Inoltre, tali misure — come peraltro indicato nel succitato documento INL — devono “essere basate sul contesto aziendale e sul profilo del lavoratore”. In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi (v. infra).
La nota 1, a questo punto (4), dà per scontato che il lavoratore comunichi, in maniera spontanea, di aver avuto contatto con soggetti risultati positivi al Covid-19. Ciò ovviamente deve essere oggetto di una comunicazione aziendale nella quale si raccomandi ai lavoratori (e talvolta per i visitatori, anche se più complesso da gestire) una maggiore consapevolezza e senso di responsabilità, anche nell’effettuare tali comunicazioni. Inoltre, i lavoratori stessi dovrebbero essere “responsabilizzati” nel comunicare, in loro interesse e di quello dei colleghi, se dovessero manifestare sintomi o financo fossero risultati positivi al Covid-19.
Ancora, devono essere previste delle misure organizzative quali:
- azioni da mettere in atto nel caso in cui si rilevi una persona (anche un visitatore) i cui parametri fisiologici non corrispondessero a quelli ritenuti idonei dal Medico Competente sia in fase di rilevazione, sia in altri momenti della giornata lavorativa. Al riguardo, le misure devono prevedere, in quale luogo deve essere accolta la persona e come successivamente questo luogo debba essere sanificato, quali autorità allertare, e così via (si veda punto 11 del protocollo);
- di concerto con il Medico Competente devono essere definite le misure da mettere in atto nel caso di comunicazione, da parte del lavoratore, che ha avuto contatto con soggetti risultati positivi al Covid-19. Qualora, anche costui dovesse risultare positivo e ciò fosse stato rilevato fuori dal contesto aziendale. A tal proposito, si tenga conto della contestazione mossa da un’Azienda, ad un lavoratore, per aver omesso «…nell’ultimo mese … di essere stato a stretto contatto con una persona che aveva manifestato tutti i sintomi da Covid-19: febbre, stanchezza e tosse secca» come segnalato da un articolo su La Stampa, versione on-line del 22 marzo 2020; (si veda anche quanto riportato nel punto 11 del protocollo);
- individuazione di figure la cui mancanza renderebbe impossibile l’attività aziendale; a titolo di esempio: numero minimo di addetti all’emergenza (figure chiave dotate di specifiche autorizzazioni o patentini, ecc.).[1]
- da ultimo, per chi vuole —e molte aziende lo hanno storicamente— il Datore di lavoro/Titolare del trattamento potrà predisporre un registro visitatori al fine di ricostruire la catena di eventuali contatti con figure esterne sia per comunicare loro, che per ricevere eventuali informazioni in merito allo stato di salute dell’esterno.
La nota numero due
Questa riguarda la dichiarazione, circolata sin dai primi giorni da quando è stato dichiarato lo stato di emergenza, che attesta «… la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19». Anche in questo caso, si richiede che l’acquisizione di tali dati avvenga nel rispetto di quanto previsto in materia di protezione dati, il che implica:
- la predisposizione di una informativa i cui contenuti richiamano, in gran parte quelli previsti dalla nota 1;
- i dati da raccogliere debbono rispettare il principio della minimizzazione dovendo peraltro essere definite le misure da adottare qualora l’interessato risponda, in modo positivo, ai due quesiti richiesti.
Queste due informative, con tutta evidenza, possono essere integrate dal momento che presentano molti punti in comune.
Modalità di accesso dei fornitori esterni
Si tratta del punto 3 specifico per l’accesso dei fornitori esterni che tratta, nello specifico, le modalità di accesso ai fornitori di cui, in gran parte, si è già detto nel commento del punto 2. Qui basti precisare che, dovendo regolamentare la necessità di procedure relative all’ingresso e all’uscita dei mezzi di trasporto nel perimetro aziendale dei fornitori, occorre individuare quali tra questi si annoverino. Ad esempio, gli autisti, i fornitori di servizi quali pulizie e manutenzione, nonché le imprese appaltatrici che stanno operando in quei cantieri, di cui ordinanze contingibili ed urgenti.
Ancorchè l’impatto privacy di questo punto, sia molto limitato, richiamandoci a quanto già detto, qui riteniamo opportuno segnalare che, in ambedue le versioni dei Protocolli (del 14 marzo e del 24 aprile) sostanzialmente riportano gli stessi “errori” nel senso che, con riferimento ai primi punti ed in particolare:
- si continua a leggere che «Se possibile, gli autisti dei mezzi di trasporto devono rimanere a bordo dei propri mezzi: non è consentito l’accesso agli uffici per nessun motivo. Per le necessarie attività di approntamento delle attività di carico e scarico, il trasportatore dovrà attenersi alla rigorosa distanza di un metro»
- ovvero che «Per fornitori/trasportatori e/o altro personale esterno individuare/installare servizi igienici dedicati, prevedere il divieto di utilizzo di quelli del personale dipendente e garantire una adeguata pulizia giornaliera»
Al riguardo, occorre prevedere, anche se non riportata nel Protocollo, una procedura di smaltimento dei DPI dei dipendenti nonchè di quelli utilizzati dai visitatore (avventori), entrati in Azienda. Ne deriva che, esemplificando, occorrerà prestare molta attenzione ad ogni realtà aziendale, circa le permanenze in cabina o per necessità fisiologiche tali per le quali l’autista potrebbe scendere dal veicolo. In pratica, costui dovrà sottostare al protocollo aziendale (dalla misurazione della temperatura, fino alla completezza dei DPI per l’accesso ai locali per soggiornare nelle aree di ristoro se presenti od usufruire dei servizi igienici. Pur tuttavia, resta da capire come tale misura potrà essere applicata con il progredire dell’estate nel corso della quale non sarà pensabile che un autista sosti per ore, all’interno del proprio mezzo.
Ancora, si legge in entrambi i Protocolli che “ove presente un servizio di trasporto organizzato dall’azienda va garantita e rispettata la sicurezza dei lavoratori lungo ogni spostamento” è bene prestare particolare circa questo capoverso dal momento che può essere interpretato in “duplice campo di applicazione” sia per gli spostamenti casa-lavoro cd in itinere, che per quelli, invece, interaziendali (all’interno cioè delle aree dell’azienda).
Ciò posto, le novità apportate dall’aggiornamento del Protocollo di cui a quello del 24 aprile 2020 concernono le ipotesi in cui:
- dei “lavoratori dipendenti da aziende terze che operano nello stesso sito produttivo (es. manutentori, fornitori, addetti alle pulizie o vigilanza) che risultassero positivi al tampone Covid-19, l’appaltatore dovrà informare immediatamente il committente ed entrambi dovranno collaborare con l’autorità sanitaria fornendo elementi utili all’individuazione di eventuali contatti stretti”.
Si fa riferimento ai fornitori di servizi (come ad esempio, l’impresa di pulizia o manutenzione) ai quali occorrerà fornire la informativa che specifichi bene che i dati potranno/dovranno essere comunicato anche al Titolare Committente. Questo punto, tuttavia, a nostro parere, va letto in accezione biunivoca nel senso che occorrerà porre in essere una stretta collaborazione/interconnessione circa coloro i quali sono stati trovati con uno stato febbrile in atto.
- “L’azienda committente è tenuta a dare, all’impresa appaltatrice, completa informativa dei contenuti del Protocollo aziendale e deve vigilare affinché i lavoratori della stessa o delle aziende terze che operano a qualunque titolo nel perimetro aziendale, ne rispettino integralmente le disposizioni”.
Questo aspetto, in altri termini, significa che andrà integrato il DUVRI tra impresa appaltatrice ed appaltante dando informativa circa la modifica di tutte le misure. In pratica, potrebbe trattarsi di un vademecum da declinare con l’indicazione (nel depliant) di tutte le misure specifiche.
Organizzazione aziendale
Ci riferiamo al punto 8 del Protocollo, con riferimento al quale in entrambe le versioni ci limitiamo a fare un focus sullo smart working in quanto, tra le varie ipotesi contemplate è l’unico impattante ai fini privacy. Soffermandoci su questo evidenziamo che, il Protocollo nella versione del 24 aprile enfatizza questo aspetto potenziando il ricorso a questa modalità tanto agile quanto alternativa di svolgimento del lavoro, ove possibile.
Si legge testualmente infatti che “il lavoro a distanza continua ad essere favorito anche nella fase di progressiva riattivazione del lavoro in quanto utile e modulabile strumento di prevenzione, ferma la necessità che il datore di lavoro garantisca adeguate condizioni di supporto al lavoratore e alla sua attività (assistenza nell’uso delle apparecchiature, modulazione dei tempi di lavoro e delle pause)” purché si accerti che lo smart worker ottemperi alle misure di sicurezza adeguate nel rispetto delle attività impattanti sul trattamento dati personali, come ad esempio la non condivisione della visione dello schermo/monitor se non necessario alle attività professionali.
Per completezza, si rimanda alle Linee Guida emanate dall’Inail, ulteriormente esplicative. In ogni caso, e richiamando quanto già scritto in proposito, giova qui ribadire, per sommi capi che lo smart working, attivato in questo momento di emergenza, non darà diritto dopo di proseguire con la medesima modalità, salvo diversi accordi/intendimenti che l’Organizzazione intenda assumere nei confronti del singolo lavoratore. Dal punto di vista procedurale, l’attivazione — pur nel rispetto delle doverose comunicazioni tra cui l’Inail — è più snella rispetto a quella, più rigida e macchinosa, prevista dagli artt. 18 e ss della Legge 81/2017 in disciplina del “lavoro agile”. Rammentiamo l’importanza delle procedure/linee guida/istruzioni che disciplinino le modalità con cui agire in smart working, anche lato sicurezza delle informazioni.
Da ultimo, una considerazione di carattere juslavoristico non trascurabile, lo smart working di oggi, che per il divieto di uscire sarebbe da doversi qualificare come telelavoro (in quanto la postazione è sempre da casa), non può essere rifiutato dal singolo lavoratore. In caso contrario, il dipendente dovrà avvalersi di ferie, con quanto di conseguenza.
Spostamenti interni, riunioni, eventi interni e formazione
Il punto in questione, come al precedente e per la stessa motivazione, verrà analizzato solo in relazione all’aspetto concernente la formazione. In pratica, il Protocollo introduce la possibilità, che peraltro vi è sempre stata, di svolgere la formazione a distanza grazie all’utilizzo di piattaforme ad hoc o di quelle rese disponibili dai propri fornitori. Nel caso in cui l’organizzazione non fosse preparata a questa evenienza, dovranno essere valutati e regolamentati alcuni aspetti come ad esempio, regole di non copiatura e consultazione testi durante il test. Per fare questo, alcune alternative sono prospettabili.
- Un tempo limitato per rispondere all’esame
- Un set di domande orali
In ogni caso, dovrà essere verificata la presenza costante dei discenti anche stimolandoli con domande o suscitando domande. Questo perché, per non appesantire la banda, si potrebbe richiedere di togliere il video. Va segnalato, infine, che se da un lato vi è una deroga ad utilizzare lavoratori che non hanno effettuato l’aggiornamento nei tempi previsti, dall’altro ciò non apre la possibilità ad utilizzare coloro che non hanno fatto la formazione di base (come ad esempio affidare un carrello, ad un carrellista non formato).
Il Protocollo del 24 aprile, da ultimo, con riferimento al punto 8 in disamina, aggiunge per ovvie ragioni, tutta una serie di considerazioni sul “distanziamento sociale” con riferimento alle quali ci limitiamo ad esemplificare l’impatto che queste misure a tutela del rigore dello stesso potranno avere in punto privacy. Pensiamo ai Centri, parchi Commerciali o/Outlet laddove il Controllo in tempo reale del numero di Clienti presenti, avviene nella misura in cui ci siano almeno 10 mq i di spazio tra/per persona, come hanno dichiarato, al momento della loro riapertura ed anche impatto privacy alla possibilità di dotare i lavoratori di dispositivi che segnalino la prossimità con le altre persone.
Gestione di una persona sintomatica in azienda
Il punto 11 fornisce alcune indicazioni dalle quali possiamo ricavare interessanti considerazioni sull’attivazione del cosiddetti Team Crisi. Si tratta di indicazioni nel caso in cui un collaboratore presenti sintomi collegabili alla patologia del Covid-19 nonché l’iter che l’organizzazione deve avviare con l’Autorità Sanitaria nel caso in cui si rilevasse un lavoratore positivo al coronavirus.
Per mettere in atto tali misure è necessario che l’organizzazione:
- abbia comunicato al personale l’obbligo di segnalare sintomi riconducibili alla patologia nel caso in cui questi non venissero rilevati in Azienda;
- abbia definito le misure da mettere in atto, come già rilevato nella nota del punto 4;
- abbia un sistema atto a rilevare quali siano stati i contatti stretti tra il lavoratore e gli altri, risalendo ad un arco temporale dei 14 gg precedenti.
Tale dato non è espressamente richiesto dal Protocollo in disamina, ma è presumibile dal tempo di incubazione del virus. Volendo fare un focus sul Team Crisi —purtroppo ancora patrimonio di troppe poche organizzazioni nella nostra realtà produttiva, dal momento che la maggior parte delle Aziende italiane sono annoverabili tra microimprese (di 1-5 addetti) tali da non potersi neanche permettere un team privacy, figuriamoci un Comitato di Crisi – ad oggi, ne abbiamo nel panorama delle organizzazioni nazionali di tre tipi:
- La grossa impresa o la PA — e nemmeno tutte, ad esempio molto dipende anche dalle dimensioni del singolo Comune— le quali hanno risorse e competenze per lo sviluppo ed il mantenimento del Team.
- La piccola e media impresa ove il Team può essere composto, nella migliore dell’ipotesi, da un consulente/DPO (ove nominato) e basta, a tutto concedere da un Referente interno.
- La microimpresa dove esiste il consulente, ed in rarissimi casi il DPO, e nulla di più. In queste ipotesi, forse la maggior parte, il consulente è… il Team.
In situazioni di emergenza come quella che stiamo vivendo ora, per la quale difficilmente è stato previsto un by design, si può sicuramente interagire con il by default, al fine di coadiuvare tutti gli operatori sanitari interni ed esterni. La liceità del trattamento per interessi vitali, non deve tuttavia generare “rischi” ulteriori di violazione dati oppure consentire indebite “profilazioni” che potrebbero in futuro ledere i diritti degli interessati, in maniera irreversibile ed intollerabile. Uno dei problemi, sicuramente, è dato dal fatto che il Team privacy, dopo aver coadiuvato le funzioni sanitarie, dovrà ben definire il “campo di applicazione, le finalità nonché agire sui mezzi e sulla formazione del personale”
Rammentiamo che per finalità intendiamo “l’essere rivolto a uno scopo, a un fine prefissato, e per il Reg UE: la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”. Per mezzi intendiamo invece “strumenti, risorse, processi, capacità per il raggiungimento dello scopo”.
Quanto sopra richiesto dal Protocollo, sta generando una mole di dati personali (ex art 9 del GDPR) “enorme”. La loro conservazione non va trascurata. Ad esempio, si potrebbe decidere, quale misura di accountability, di scannerizzare tutto e di dar “fuoco” alle rilevazioni caracee, per limitare eventuali violazioni dei dati (data breach); fermo restando che lo storage sia già passato da una robusta analisi dei rischi. Altrimenti, la carta raccolta e chiusa in un cassetto, con la chiave in carico al consulente/Referente privacy e Titolare del trattamento, sarebbe decisamente preferibile.
Ancora, nel Team Crisi, quale titolare autonomo sarebbe certamente da inserire il Medico Competente in quanto, il suo operato ha valenza giuridica sia sui protocolli sanitari che per il giudizio di idoneità degli addetti (personale). Si faccia il caso dell’accesso ai locali di talune organizzazioni come Centri commerciali con all’interno l’area della GDO (punto vendita alimentare), ove per andare a far la spesa si devono fare diverse decine di metri all’interno delle gallerie commerciali, è lì o meglio all’ingresso, che andrà inserito un Presidio per la misurazione della temperatura corporea con tutti gli accorgimenti di cui si è detto, anche ipotizzando “di concerto” con la pubblica sicurezza di far effettuare eventuali verifiche personali “fuori dall’ambiente commerciale” (si vedano le infinte code, peraltro molto ordinate, che quotidianamente vediamo nei servizi televisivi).
Da ultimo, ma non ultimo, è importante che il Team Crisi verbalizzi ogni attività, quale misura di accountability nonché nel rispetto di quanto previsto dall’art. 32 paragrafo 1 lett. d), e paragrafo 2 del citato articolo del Regolamento UE 679/2016 integrando quale procedura di design tutte quelle attività in default dai provvedimenti emessi dal Governo, Ministero della Sanità, Enti Locali, attualmente in vigore.
Sorveglianza Sanitaria
Premesso quanto già detto con riferimento al Team Crisi o altrimenti detto Team Covid, ora si tratta di analizzare il punto 12 che il Protocollo del 24 aprile ha ampliato sensibilmente. Tuttavia, qui ci limitiamo ad evidenziare come il Medico Competente sia tenuto a segnalare “…all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy”. In teoria, questo punto si sarebbe dovuto collocare a monte ritenendo che sia la base di tutto, in entrambe le due versioni del Protocollo, opinando che in questa aggiornata versione venisse corretto.
Ma non è tutto. Infatti, è concettualmente errata l’impostazione. Infatti, non è il Medico Competente a dover segnalare ma è il Datore di lavoro a dover chiedere che il Medico segnali anzi stabilisca le misure da dover essere adottate in relazione al contesto. Non solo, ma anche la locuzione “…particolare fragilità” nuovamente non viene definita. Peraltro, alcune di queste potrebbero nemmeno essere note al Medico Competente.
Stesso discorso, poiché inversamente impostato, concerne il successivo punto, certamente aggiunto nella nuova versione del Protocollo (del 24 aprile), concernente l’avvicinarsi della cd FASE 2 ovvero “Alla ripresa delle attività, è opportuno che sia coinvolto il Medico Competente per le identificazioni dei soggetti con particolari situazioni di fragilità e per il reinserimento lavorativo di soggetti con pregressa infezione da Covid-19″. Ma, il Medico Competente andava già coinvolto (!)
In ogni caso, è opportuno segnalare che è sempre in carico a quest’ultimo le validazioni circa le misure da porre in essere, sconsigliando il coinvolgimento del Datore di Lavoro che, non da ultimo, è chiamato a rispondere penalmente. Si veda in questo caso anche quanto indicato nel paragrafo relativo ai contenuti dell’informativa.
L’aggiornamento del protocollo
Si tratta dell’ultimo che nella versione aggiornata del Protocollo del 24 aprile 2020 rimarca l’aspetto del Team Covid o Crisi sopra delineato. Ciò posto, dal punto di vista privacy, suggeriamo —in ultima battuta— ai Titolari delle Aziende nonché del trattamento, di prestare la massima attenzione in quanto il “coinvolgimento degli RLST”, determinerà un accesso che non dovrà essere indiscriminato ai dati.
Si invitano, pertanto, ad innalzare la consapevolezza di questi temi, in ottica di accountability quanto mai opportuna e necessaria di questi tempi, così difficili. Senza contare degli aspetti, peraltro rilevanti concernenti le eventuali sanzioni che il Datore di Lavoro dovrebbe adottare in caso di mancato rispetto ovvero adempimento di cui al Protocollo, ma questo aprirà altri scenari che verranno approfonditi, eventualmente, in altro articolo.
__
Note
- Il tema della fragilità è ripreso nel paragrafo “Sorveglianza Sanitaria/Medico Competente/RLS/DPO (ove presente) cd Team Covid” ↑