Coronavirus e trattamento dei dati, il parere del Garante

*di Sarah Yacoubi – Datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata. 

Il Garante Privacy  ha precisato in una nota, aggiungendo che, al riguardo, si segnala che la normativa d’urgenza adottata nelle ultime settimane prevede che chiunque negli ultimi 14 giorni abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.

I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, informazioni su eventuali sintomi influenzali dei propri dipendenti e dei suoi contatti personali extralavorativi.

La prevenzione dalla salute resta una prerogativa dei soggetti che svolgono istituzionalmente questo compito unici organi deputati a verificare il rispetto delle regole di sanità pubblica.  

L’intervento del Garante protezione dei dati Antonello Soro è una risposta concreta alla corsa, partita durante l’ultima settimana, da parte delle aziende a svolgere controlli sui possibili contagi da Covid-19 dei propri dipendenti, fornitori, clienti e in generale dei visitatori delle loro sedi. 

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

Ma attenzione, come conferma la decisione del Garante, non è cosi. E le aziende stesse, pur sottoposte a forti pressioni, come in questi giorni, devono tutelarsi per non compiere atti inutili e per non incorrere in sanzioni pesanti. 

I provvedimenti di emergenza adottati dal Governo per il coronavirus non legittimano i privati a svolgere controlli indiscriminati che potrebbero essere invasivi della privacy degli individui. 
L’interesse pubblico che viene invocato non basta, ma richiede una norma di legge che espressamente autorizzi la raccolta e il trattamento dei dati, norma che è improbabile (e forse non auspicabile) venga mai adottata anche al di fuori dell’attuale situazione.
Il Regolamento privacy europeo (679/2016) ha introdotto sanzioni fino al 4% del fatturato aziendale mondiale o a 20 milioni di euro, a seconda di quale importo sia maggiore, per le violazioni del Gdpr. E non si deve pensare che in casi di emergenza (come l’attuale) una sanzione del Garante sia improbabile mentre è più importante tutelare la salute dei dipendenti. Non c’è dubbio che la salute sia un interesse primario e che il Garante non si è ancora pronunciato, ma – una volta che la situazione si sarà normalizzata – potrebbe svolgere ispezioni ed emettere sanzioni. 

Quindi bisogna evitare rischi inutili. Niente “caccia al malato” tramite controlli effettuati spesso da persone senza alcuna qualifica medica. E attenzione ai controlli svolti all’ingresso delle sedi in modo che qualsiasi visitatore ne possa venire a conoscenza e senza dare indicazioni su cosa avvenga delle informazioni raccolte. Si tratta di dati personali e la semplice rilevazione della temperatura è un trattamento di dati personali, anche se non vengono annotati. Sono attività che devono conformarsi alla normativa sul trattamento dei dati personali che in primis prevede il principio di minimizzazione: solo i dati strettamente necessari possono essere trattati.

Resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.  Al riguardo, il ministro per la Pubblica Amministrazione ha recentemente fornito indicazioni operative circa l’obbligo per il dipendente pubblico e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio. In tale quadro il datore di lavoro  può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche  predisponendo canali dedicati; permangono altresì i compiti del datore di lavoro relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.

Le autorità competenti hanno, inoltre, già previsto le misure di prevenzione generale alle quali ciascun titolare dovrà attenersi per assicurare l’accesso dei visitatori a tutti i locali aperti al pubblico nel rispetto delle disposizioni d’urgenza adottate.

Pertanto, il Garante, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e  dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.

*Privacy Consultant

Data Protection Officer 

Contenuti correlati