“Equilibrio mobile” ai tempi del COVID-19
di Sonia Intonti
“L’intelligenza è sapersi adattare ai cambiamenti”, ed in questo periodo storico in cui l’emergenza sanitaria legata alla diffusione del virus COVID-19 (“coronavirus”) sta turbando ogni angolo della terra, abbiamo l’obbligo morale di agire con intelligenza ed adattarci ai cambiamenti necessari per affrontare e vincere la forza letale che si nasconde nell’invisibilità del nemico.
Non è colpa di nessuno di noi se oggi ci troviamo a dover fare costantemente i conti con una minaccia invisibile e più forte di noi, ma è assolutamente nostra responsabilità il modo in cui reagiamo a tale minaccia.
In questo contesto si inserisce e si comprende il significato di “Equilibrio Mobile”[1] che contraddistingue il bilanciamento di interessi tra interessi pubblici, libertà e diritti fondamentali, tra i quali ha un proprio posto anche il diritto alla protezione dei dati personali: da una parte, quindi, l’interesse pubblico alla tutela della salute pubblica, dall’altro il diritto alla riservatezza dei cittadini, nelle declinazioni che esso segue con il Regolamento (UE) 2016/679 (“GDPR”).
Ed in questo contesto si inseriscono e si comprendono altresì le evoluzioni dei provvedimenti emanati a vari livelli per far fronte alla gestione e al contenimento dell’emergenza epidemiologica da COVID-19.
A Roma, il 14 marzo, è stato sottoscritto il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” [2], il quale sostanzialmente ribalta quanto precedentemente disposto dal Garante per la Protezione dei Dati Personali, contrario alle “misure fai da te” nel trattamento dei dati da parte del datore di lavoro[3].
Interessanti, dal punto di vista privacy, sono le linee guida presenti in tale Protocollo, individuate dal Governo e dalle organizzazioni datoriali e sindacali per agevolare le aziende nell’adozione di misure anti-contagio, e che chiariscono le misure di precauzione che il datore di lavoro deve adottare per tutelare la salute delle persone all’interno dell’azienda, così delineando il perimetro di legittimità dei controlli del datore di lavoro nella attuazione delle misure di prevenzione e contrasto del contagio da Covid-19 nell’ambiente lavorativo. In particolare:
- L’azienda dovrà fornire adeguate informazioni a tutti i lavoratori e a chiunque intenda entrare nei locali dell’azienda circa i trattamenti dei propri dati personali in conformità con le disposizioni dell’Autorità, tramite la consegna di apposite informative privacy, nel rispetto del principio di trasparenza di cui all’art. 5(1)(a) del GDPR e dei requisiti richiesti dall’art. 13 del GDPR.
- Il datore di lavoro potrà richiedere al personale e a ogni soggetto terzo che intenda fare ingresso ai locali aziendali il rilascio di una autodichiarazione mediante la quale l’interessato attesti di non essere stato in contatto con persone risultate positive al virus Covid-19 e di non aver soggiornato o sostato e di non essere transitato nelle zone a rischio epidemiologico, in conformità alle indicazioni dell’OMS[4].
- Qualora venga richiesta l’autodichiarazione di cui al punto 2., il datore di lavoro dovrà astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, o in merito alle specificità dei luoghi in cui il soggetto interessato abbia sostato o soggiornato;
- Il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro e la persona a cui sia stata rilevata una temperatura sopra-soglia dovrà essere momentaneamente isolata attraverso modalità idonee a garantire il pieno rispetto della riservatezza e la dignità dell’interessato.
- In ogni caso, il datore di lavoro non potrà registrare il dato acquisito nel rispetto dei principi di minimizzazione e limitazione della conservazione ex art. 5(1)(c) del GDPR: fa eccezione il caso in cui vi sia il superamento della soglia di temperatura, nel quale sarà necessario darne atto all’interno della documentazione a sostegno delle ragioni che hanno impedito l’accesso ai locali aziendali. Tuttavia, anche in questo caso i principi di cui poco sopra impongono la limitazione della conservazione di tali dati al periodo coincidente con lo stato di emergenza.
- Il datore di lavoro dovrà adottare misure di sicurezza tecniche ed organizzative adeguate a proteggere i dati trattati, soprattutto quando appartenenti a categorie particolari (come i dati relativi allo stato di salute), fornendo, all’opportunità, istruzioni specifiche al personale che è autorizzato a trattare tali dati nell’ambito dell’applicazione delle misure di prevenzione e contrasto del contagio.
- Il datore di lavoro, nel rispetto del principio di limitazione delle finalità ex art. 5(1)(b) del GDPR, non potrà trattare i dati raccolti nel contesto dell’applicazione delle misure di prevenzione e contrasto del contagio da COVID-19, per ulteriori finalità.
- In nessun caso, al di fuori di quelli previsti da specifiche previsioni normative, il datore di lavoro potrà comunicare o diffondere i dati personali oggetto di trattamento a soggetti terzi.
A Bruxelles, la mattina del 16 marzo, l’European Data Protection Board (EDPB) ha sostanzialmente avallato le misure come quelle sopra descritte, dichiarando che “Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure adottate nella lotta contro la pandemia di coronavirus. […] Pertanto, occorre tenere conto di una serie di considerazioni per garantire il trattamento legittimo dei dati personali”[5].
Il GDPR, infatti, riconosce che “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”[6], e a tal fine prevede adeguate basi giuridiche per il trattamento dei dati personali in situazioni di epidemia, proponendo un’alternativa alla richiesta del consenso da parte dell’interessato “Ciò vale ad esempio quando il trattamento dei dati personali è necessario per i datori di lavoro per motivi di interesse pubblico nel settore della salute pubblica o per proteggere interessi vitali (art. 6 e 9 del GDPR) o per adempiere ad un altro obbligo legale”.
[1] Calderini Barbara, “Coronavirus, così sono a rischio privacy e altri diritti individuali”, in Agenda Digitale, 2020. (https://www.agendadigitale.eu/sicurezza/privacy/coronavirus-e-privacy-limpatto-sulla-protezione-dei-dati-personali-e-altri-diritti-individuali/)
[2] https://www.diario-prevenzione.it/doc20/protocollo-condiviso_13600.pdf
[3] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117
[4] Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e 2 l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, si ricorda di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati. A tal fine, si applicano le indicazioni di cui alla precedente nota n. 1 e, nello specifico, si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
[5] European Data Protection Board, “Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak”, 16 Marzo 2020 (https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en)
[6] Considerando 4 del Regolamento UE 679/2016 “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.”
Autore: