Attraverso le FAQ pubblicate il 4 maggio scorso, il Garante Privacy ha nuovamente affrontato il tema del trattamento dei dati nell’ambito dell’emergenza sanitaria.

Oltre a chiarire alcuni aspetti relativi al trattamento nel contesto scolastico, delle sperimentazioni cliniche e delle ricerche mediche, in ambito sanitario e da parte degli enti locali, il Garante è tornato a pronunciarsi sul trattamento dei dati nel contesto lavorativo, di cui qui ci occupiamo.

Rilevazione della temperatura

È ormai ben noto che il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali” dispone, per il settore privato, l’attuazione di misure per il contrasto e il contenimento della diffusione del virus, tra cui la rilevazione in tempo reale della temperatura corporea per l’accesso ai luoghi di lavoro.

Come già indicato nel nostro articolo del 19 marzo, la rilevazione della temperatura, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali e richiede, quindi, l’adozione degli accorgimenti e delle misure di sicurezza previsti dal Regolamento (UE) n. 2016/679.

Il Garante, al riguardo, conferma che non è ammessa la registrazione del dato relativo alla temperatura corporea; nel rispetto del principio di “minimizzazione” è consentita la registrazione della sola circostanza del superamento della soglia, quando ciò sia necessario a documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

Nelle FAQ viene anche precisato che nel caso di rilevazione della temperatura corporea a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali, anche qualora la temperatura risulti superiore alla soglia di riferimento, non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

Altre misure di prevenzione

Tra le misure di prevenzione previste dal Protocollo vi è la preclusione dell’accesso in azienda a chi, negli ultimi 14 giorni:

  • abbia avuto contatti con soggetti risultati positivi al COVID-19 o
  • provenga da zone a rischio secondo le indicazioni dell’OMS.

Sul punto il Garante conferma che nel caso si richieda il rilascio di una dichiarazione che attesti tali circostanze, dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19, astenendosi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

I trattamenti di dati che coinvolgono il medico competente

Il Protocollo, in materia di sorveglianza sanitaria, prevede – tra l’altro – che il medico competente:

  • collabori con il datore di lavoro e le RLS/RLST nell’integrare e proporre tutte le misure di regolamentazione legate al COVID-19;
  • segnali all’azienda “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” e l’azienda provveda alla loro tutela nel rispetto della privacy.

Il Garante precisa, tuttavia, che in capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie dei lavoratori.

Ciò significa – specifica il Garante – che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.

In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di cui al Regolamento (UE) 2016/679, i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

Trattamento dei dati dei soggetti positivi al COVID-19

Nelle FAQ il Garante ribadisce che i datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.

In base al quadro normativo nazionale, il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con queste per individuare i “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.

Tale obbligo di comunicazione – rileva il Garante – non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza.

Spetta, quindi, alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di prevenzione. Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie affinché le stesse possano assolvere ai compiti e alle funzioni previste in relazione alla situazione emergenziale.