***
Tipologie di dati raccolti dalle imprese per fronteggiare l’emergenza Coronavirus e basi giuridiche del trattamento
A seguito del preoccupante dilagarsi dell’oramai noto coronavirus, numerose aziende nel settore pubblico e privato, allo scopo di tutelare la salute dei propri dipendenti, hanno implementato delle procedure di controllo dello stato di salute dei lavoratori.
Tra le misure maggiormente diffusesi, all’atto di ingresso nei locali aziendali di visitatori e utenti, si registrano: a) la raccolta informazioni circa la presenza di sintomi da Coronavirus ad esempio attraverso la misurazione della temperatura corporea; b) la raccolta di notizie sugli ultimi spostamenti; c) l’acquisizione di una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, ovvero anche di vicende relative alla sfera privata.
Le informazioni raccolte attraverso le predette procedure rientrano certamente nell’alveo dei dati personali, con la conseguenza che il datore di lavoro, in tale contesto, compie una attività di trattamento.
Non solo, con riguardo alla rilevazione della temperatura corporea, ovvero alla raccolta di dichiarazioni relative all’assenza di sintomi influenzali, il datore di lavoro effettua un trattamento di categorie particolari di dati personali. Trattasi più specificatamente di informazioni idonee a rivelare lo stato di salute di una persona fisica e, in quanto tali, reputate di carattere estremamente sensibile.
La distinzione relativa alle diverse tipologie di dati trattati, comuni, ovvero particolari, lungi dal risolversi in una mera elucubrazione giuridica, riveste una significativa rilevanza ai fini della liceità del trattamento.
Sulla base della vigente normativa in materia di dati personali contenuta nel D.Lgs 196/2003 (Codice Privacy), così come modificato dal Reg. UE 2016/679 (GDPR), infatti, le condizioni in base alle quali è possibile effettuare un trattamento di categorie particolari di dati (i.e. dati relative alla salute) sono sicuramente più limitate e stringenti rispetto a quelle prescritte per il trattamento dei dati comuni.
L’art. 6 del GDPR, ad esempio, indica tra le condizioni di liceità del trattamento di dati personali per così dire comuni, oltre al legittimo interesse del titolare, anche “la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica” e, con riferimento proprio a tale base giuridica, il considerando n. 46 del GDPR riporta la necessità di “tenere sotto controllo l'evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie”.
Alle medesime conclusioni non è invece possibile giungere con riguardo al trattamento di dati relativi alla salute. L’art. 9 GDPR pone infatti un generale divieto di trattamento per le categorie particolari di dati, eccetto che in limitate e circoscritte ipotesi, incluse il consenso dell’interessato, nonché nei casi in cui il trattamento sia espressamente autorizzato da una norma di legge.
Il giudizio del Garante Privacy Italiano
Interpellato ad esprimersi in merito alla liceità dei trattamenti effettuati dalle imprese per fronteggiare l’emergenza coronavirus, il Garante Privacy italiano ha censurato tali attività “fai da te” (così definite dalla stessa Autorità) ritenendole non conformi ai principi di proporzionalità, necessità e pertinenza.
Detta ferma disapprovazione per i menzionati trattamenti di dati personali sembrerebbe trovare giustificazione nel fatto che le attività di prevenzione della diffusione del virus COVID-19 sono ad esclusivo appannaggio dei soggetti istituzionali ai quali il datore di lavoro non può sostituirsi.
In aggiunta a quanto sopra, secondo il giudizio del Garante, la legislazione d’urgenza adottata dal Governo e dalle Regioni già prevede specifici obblighi di comunicazione all’azienda sanitaria territoriale (e non al datore di lavoro) per coloro i quali negli ultimi 14 giorni abbiano soggiornato in zone a rischio epidemiologico.
Il giudizio dell’Autorità sembrerebbe pertanto prescindere dalle singole basi giuridiche atte a giustificare le attività di trattamento in commento, focalizzandosi invece sulla generale non pertinenza e non necessità della raccolta di dati attinenti la sfera extra lavorativa, ovvero lo stato di salute del lavoratore.
Fermo restando, conclude il Garante, l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.
La decisione in commento, anche alla luce anche delle posizioni adottate recentemente dal Governo, desta non poche perplessità.
In primo luogo, infatti, soprattutto per i dati di carattere comune, essendovi idonee basi giuridiche espressamente individuate dal GDPR (art. 6) per giustificare attività di trattamento di tal tipo, non si comprende come mai dovremmo in radice escluderne la legittimità.
Le informazioni relative ad eventuali spostamenti dei soggetti che fanno il loro ingresso nei locali aziendali, onde scongiurare che gli stessi abbiano soggiornato in zone ad alto rischio epidemologico, seppur costituente una aggiuntiva cautela a quanto già legislativamente previsto (i.e. obbligo di comunicazione al SSN), ben potrebbe trovare ragionevole giustificazione nell’ambito di protocolli di sicurezza predisposti dal datore di lavoro, al fine di garantire la salubrità degli ambienti, nonché la sicurezza e la salute di coloro che si trovano nei locali aziendali.
Con riguardo invece al trattamento di dati relativi alla salute, sembrerebbe poter essere ammissibile qualora questo avvenga sulla base del consenso dell’interessato (art. 9, GDPR).
Sul punto, si è consapevoli di come generalmente l’Autorità nazionale sia solita escludere che l’autorizzazione prestata dal lavoratore, nel contesto lavorativo, possa integrare i requisiti normativi del libero consenso, visto lo squilibrio connaturato al rapporto con il datore.
Qualora tuttavia fosse assicurata la libertà di scelta al lavoratore, ad esempio attraverso la presenza di un presidio deputato alla rilevazione della temperatura unicamente di coloro i quali volontariamente ritengano di volersi sottoporre a tale cautela, sembrerebbe ragionevole in linea di principio potersi ritenere lecito un trattamento di tal tipo.
La posizione del Garante alla luce del dpcm 11 marzo 2020
Le considerazioni di cui sopra, sembrerebbero poter trovare ulteriore conferma alla luce delle disposizioni contenute nel dpcm 11 marzo 2020 recentemente approvato dalla Presidenza del Consiglio dei Ministri, attraverso il quale è stata disposta la chiusura della maggior parte degli esercizi commerciali del Paese.
Il provvedimento in commento prevede altresì specifiche misure che dovranno essere adottate dalle aziende nell’ambito delle proprie attività produttive. In particolare, tra le varie prescrizioni è richiesta l’assunzione di protocolli di sicurezza anti-contagio.
Nell’attesa di futuri chiarimenti da parte del Governo, l’imposizione di protocolli di tal tipo sembrerebbe in parte sconfessare la posizione assunta dal Garante Privacy in merito alla illegittimità dei controlli effettuati dal datore di lavoro.
A parere di chi scrive, potrebbe quindi aprirsi la strada per fornire una valida base giuridica a sostegno delle attività di trattamento, anche di categorie particolari di dati, effettuate dalle imprese nell’ambito di specifici protocolli di sicurezza anti-contagio.
In tale ipotesi, resta in ogni caso impregiudicata la necessità da parte dei titolari di individuare le corrette basi giuridiche, garantire la sicurezza del trattamento, valutare la necessità di una valutazione di impatto (c.d. DPIA), predisporre delle adeguate informative privacy e, in generale, garantire il rispetto dei principi di adeguatezza, pertinenza, conservazione, necessità e trasparenza del trattamento.
Il presente articolo è stato redatto con la collaborazione dell'Avv. Marta Tonioni, Associate di Zunarelli Studio Legale Associato.