Il recentissimo Protocollo condiviso tra Governo e parti sociali, unitamente all’art. 1, comma 7 lett. d) del DPCM 11.3.2020, costituisce la base giuridica (riconducibile alla necessità di assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, ex art. 9, co. 2, lett. b) GDPR) per i trattamenti di dati personali attinenti alla salute dei dipendenti limitatamente alle finalità di contrasto al COVID-19, alle condizioni e modalità stabilite dal Protocollo.
Di seguito, una brevissima e generale panoramica dei contenuti del Protocollo rilevanti in quest’ottica (che non sostituisce un’attenta lettura del documento ufficiale):
- Il datore di lavoro ha l’obbligo di informare (consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi depliants informativi) i dipendenti e i visitatori su una serie di doveri (es. stare a casa se sintomatici, in quarantena se provenienti da zone a rischio, rispettare regole igieniche personali e aziendali, in caso di condizioni di pericolo informare il medico, in presenza di sintomi durante il lavoro informare il datore di lavoro, rispettare le disposizioni delle autorità sanitarie …)
- Il datore di lavoro può condizionare l’ingresso di lavoratori e visitatori al controllo della temperatura corporea, anche tramite preposti non sanitari purché autorizzati ed istruiti, ma deve fornire l’informativa, anche oralmente, e non deve registrare il dato acquisito se non necessario (es. per la documentazione del negato accesso in azienda); l’interessato va identificato solo se necessario e comunque il controllo va fatto garantendo riservatezza (ad esempio, adibendo al controllo locali ad hoc)
- È richiesta l’individuazione per i fornitori esterni di percorsi di accesso, transito e uscita che riducano le occasioni di contatto con i dipendenti
- È ammessa la condivisione dei dati negli esclusivi limiti consentiti dalla normativa di emergenza (verso le Autorità sanitarie competenti)
- È altresì ammessa la possibilità di richiedere un’attestazione di non provenienza da zone a rischio e assenza di contatti, i cui contenuti devono rispettare i criteri di finalità, necessità e pertinenza
- Per l’applicazione e la verifica delle regole del protocollo di regolamentazione va costituito in azienda un comitato composto da tutte le parti sociali (datore di lavoro, rappresentanze sindacali aziendali) e dal rappresentante dei lavoratori per la sicurezza (RLS). Ritengo che una corretta applicazione e verifica di tali regole possa estendersi anche alla eventuale definizione di ulteriori regole e misure, anche più limitative, scaturenti dalle caratteristiche dell’azienda: in tale caso, i relativi trattamenti di dati personali saranno legittimati dalla medesima base giuridica dei trattamenti scaturenti dalla diretta applicazione del Protocollo, e in aggiunta dall’accordo sindacale scaturito in sede di comitato.
Preciso infine che poche ore fa è stata pubblicata anche dall’EDPB una dichiarazione in merito al COVID-19, sostanzialmente in linea con quanto sopra, ma con la peculiarità di avere fatto cenno alle condizioni per trattare (al medesimo fine di contrasto) dati personali provenienti da strumenti di comunicazione elettronica, e in particolare ai dati di localizzazione: in tale caso – regolato dalla Direttiva e-privacy e non dal GDPR -, i dati devono essere anonimizzati.
Se non è possibile, non possono essere trattati, salvo l’intervento di un provvedimento legislativo nazionale (ai sensi dell’art. 15 Dir. e-Privacy) che persegua finalità di sicurezza nazionale e che preveda anche appropriate garanzie per gli individui, oltre al rispetto dei principi generali.