Nelle ultime settimane a causa della situazione di emergenza sanitaria connessa al coronavirus sta dilagando nelle aziende in Italia il fenomeno dei questionari sulle recenti attività dei lavoratori: è stato necessario l’intervento del Garante della privacy per ricordare la necessità di rispettare le regole della data protection. Abbiamo, infatti, assistito al dilagare di questionari “fai da te”, check list finalizzate alla raccolta di dati in occasione della registrazione per l’accesso alle sedi aziendali da parte di dipendenti, clienti, fornitori. Il Garante ha calato la propria scure su queste pratiche (tanto di enti privati quanto pubblici), affermando in modo inequivocabile che i datori di lavoro devono “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extralavorativa”.
Privacy e normativa d’urgenza
Non potranno pertanto essere effettuate attività di “raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti” L’Autorità ha rinviato a quanto definito dal Governo all’interno dei numerosi provvedimenti di questi giorni (da ultimo si veda anche il Decreto del Presidente del Consiglio dei Ministri 1 marzo 2020, GU n.52 del 1-3-2020). La normativa d’urgenza adottata nelle ultime settimane prevede, infatti, che chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo all’azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.
Tale trattamento trova la sua base giuridica legittimante all’interno dell’art. 9, par. 2, lett. i) del GDPR, in quanto “necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero” (si veda anche il considerando 54 del Regolamento). Come è noto, questa base giuridica non è invocabile da parte di aziende private e datori di lavoro per legittimare i questionari e le checklist succitate, ma legittima esclusivamente i trattamenti posti in essere delle competenti autorità (sanitarie e non). Nel contesto attuale si tratta dei soggetti operanti nel Servizio nazionale di protezione civile, di cui agli artt. 4 e 13 del d.lgs. 2 gennaio 2018, n. 1, citato, nonché di quelli indicati all’interno dei provvedimenti d’urgenza emanati.
Pericolo e interesse pubblico
L’interesse pubblico richiede, infatti, sempre e comunque una apposita norma di legge che espressamente autorizzi la raccolta e il trattamento dei dati. Non è neppure invocabile, a suffragio delle pratiche di cui sopra, un proprio legittimo interesse dell’azienda nell’effettuare questo tipo di trattamenti posto che tale base giuridica non può applicarsi al trattamento dei dati particolari. Il Garante con il suo comunicato ha rimarcato l’essenziale relazione delle comunicazioni con la sicurezza sui luoghi di lavoro.
Come noto, infatti, restano fermi gli obblighi in materia di salute e sicurezza sussistenti in capo al datore di lavoro, ossia il dovere di apprestare tutte le misure di sicurezza al fine di garantire l’integrità fisica e la personalità morale dei dipendenti (art. 2087 c.c.) anche al fine di tutelare i lavoratori dall’esposizione a “rischio biologico” (D. Lgs. 81/2008). Pertanto, si legge nel comunicato, i datori di lavoro potranno invitare i propri dipendenti a fare, ove necessario, comunicazioni relative a possibili situazioni di pericolo per la salute e la sicurezza sui luoghi di lavoro, agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati. L’Autorità ha affermato che vi è “l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro”. Tale affermazione, apparentemente ovvia, apre in realtà alla possibilità di comunicazioni di dati sanitari tra aziende. Si pensi al caso dei rapporti di somministrazione di lavoro ove il datore di lavoro dovrà trasmettere le informazioni all’azienda utilizzatrice in quanto soggetto cui compete la responsabilità in ambito sicurezza sui luoghi di lavoro.
La riflessione
Ad avviso degli scriventi, quanto prescritto dal Garante ai datori di lavoro trova applicazione anche ai casi di utilizzo di checklist/questionari all’atto della registrazione di visitatori e utenti per raccogliere, come misura di prevenzione dal contagio, informazioni circa la presenza di sintomi da coronavirus e notizie sugli ultimi spostamenti. Ed invero, l’invito finale all’osservanza delle indicazioni fornite dal Ministero della Salute e dalle Istituzioni competenti, è rivolto a tutti i titolari del trattamento, scoraggiando qualsiasi iniziativa autonoma volta alla raccolta di dati anche sulla salute degli utenti.
L’invito tiene conto, soprattutto, del pesante quadro sanzionatorio introdotto dal Regolamento Generale sulla Protezione dei Dati Personali 2016/679. L’Autorità pone comunque fine ad una parte delle questioni sorte in questi ultimi giorni e, se pur emesso dopo dieci giorni dall’emergenza Coronavirus in Italia, allorchè una considerevole parte dei dati sono stati già forniti, rappresenta un prima presa di posizione su alcune delle questioni che lo stato di emergenza generale ha posto sulle scrivanie delle aziende e delle P.A. Un comunicato che, tuttavia, chiarisce solo una parte dei quesiti connessi al trattamento ed alla trasmissione dei dati in una situazione di emergenza.
Si pensi per esempio al tema dei soggetti autorizzati al trattamento, tematica questa accennata in alcuni passaggi del comunicato (es medico competente, operatori sanitari, sistema attivato dalla protezione civile etc) ma che lascia alcuni dubbi sulla corretta interpretazione. Per esempio: ove si parla di “soggetti che istituzionalmente esercitano queste funzioni in modo qualificato” è lecito ricomprendere le figure aziendali preposte quali RSPP? Non è escluso, ad ogni modo, che l’evolversi della situazione richiederà ulteriori chiarimenti da parte dell’autorità se del caso anche mediante un Provvedimento ad hoc.
