EMERGENZA COVID-19: LE NOVITÀ INTRODOTTE DAL PROTOCOLLO DEL 14 MARZO 2020

Sono numerose le polemiche in corso correlate alla gestione dell’emergenza pandemica che hanno coinvolto una pluralità di soggetti, dal Governo, ai cittadini stessi, sino ad arrivare alle aziende, tra i soggetti più colpiti dalla crisi. È altresì vero che mai ci si poteva aspettare un evento di tale portata, che conducesse alla quasi completa chiusura di tutte le attività, in particolare quelle considerate “non essenziali”.

E allora, onde prevenire una serie di conseguenze che (si spera) possano essere in qualche modo evitate, si cerca di correre ai ripari con tutti i metodi legittimi possibili, che rischiano di apparire meno giustificabili se essi si trasformano in un’indebita ingerenza da parte dell’azienda nella privacy del proprio dipendente.

Si è infatti discusso (e polemizzato) su temi quali il rapporto tra privacy e uso di dispositivi di geolocalizzazione nel contesto dello smart-working, nonché il rapporto tra riservatezza e diritti dei lavoratori alla protezione dei dati ed esigenza di salvaguardia della salute collettiva sul luogo di lavoro. In quest’ultimo caso, in particolare, giova soffermarsi anche nel presente articolo.

L’emergenza COVID-19 ha, tra i tanti effetti, provocato il panico in capo a quelle aziende di differenti dimensioni su come comportarsi nei confronti dei propri dipendenti. In particolare, il Garante per la protezione dei dati personali è stato sollecitato dagli imprenditori pubblici e privati a prevedere un provvedimento, poi emesso il 2 marzo 2020, su come gestire la pandemia, sia con riferimento allo stato di salute dei dipendenti/fornitori/visitatori, sia in relazione ai relativi spostamenti. Sul punto, il Garante è apparso chiaro nel sostenere che i datori di lavoro debbano “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”, motivando detta decisione stabilendo che “La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”, ossia operatori sanitari e il sistema attivato dalla protezione civile, restando in ogni caso fermo l’obbligo del lavoratore “di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro”.

Un – seppur apparente – cambio di rotta rispetto a quanto stabilito dal Garante è stato effettuato dal “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, siglato in data 14 marzo 2020 tra sindacati e imprese in accordo con il Governo, consistente in 13 punti volti a tutelare la salute e la sicurezza dei lavoratori dal possibile contagio da nuovo coronavirus e garantire la salubrità dell’ambiente di lavoro.

Detto Protocollo pone una serie di raccomandazioni tra cui, per quel che in questa sede interessa, un controllo all’ingresso dell’azienda: ciò significa che il personale, prima di entrare nella sede di lavoro, potrà (dovrà) essere sottoposto al controllo della temperatura corporea e se questa risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro da parte del lavoratore.

Nello specifico, il Protocollo, riconoscendo che la rilevazione in tempo reale della temperatura corporea costituisce un trattamento dei dati personali, ne specifica il pieno rispetto della normativa GDPR. A tal fine, le linee guida, alla nota n. 1, sviluppano i seguenti punti:

–         (di base) non registrare il dato acquisito: nel Protocollo, infatti, viene raccomandato di “rilevare la temperatura e non registrare il dato acquisito”, e sarà possibile identificare l’interessato e registrare il superamento della soglia di temperatura “solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali”;

–         obbligo di informativa, anche orale, ex art. 13 GDPR: la medesima nota, al punto 2, chiarisce il dovere di “fornire l’informativa sul trattamento dei dati personali. Si ricorda che l’informativa può omettere le informazioni di cui l’interessato è già in possesso è può essere fornita anche oralmente”;

–         limitazione della finalità ex art. 5, co. 1, lett. b, GDPR: “Quanto ai contenuti dell’informativa, con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19”;

–         base giuridica: “con riferimento alla base giuridica può essere indicata l’implementazione di protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020”;

–         conservazione dei dati: “con riferimento alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza”;

–         le misure di sicurezza e organizzative adeguate: “definire le misure di sicurezza e organizzative adeguate a proteggere i dati”;

–         soggetti preposti al trattamento: il Protocollo suggerisce altresì che, sotto il profilo organizzativo, “occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie”. Sul punto, non è chiaro se la formula di cui si avvalgono le linee guida in esame sia volutamente generica o meno, considerato che è tuttora dibattuto se per “soggetti preposti al trattamento” si intendano coloro di cui all’art. 29 GDPR (quindi, responsabile esterno al trattamento dei dati o chiunque agisca sotto la sua autorità o quella del titolare del trattamento) oppure, secondo una condivisibile interpretazione, i professionisti soggetti al segreto professionale;

–         riservatezza e la dignità del lavoratore in caso di isolamento: “in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi”.

Quanto ai fornitori, il Protocollo stabilisce la necessità di individuare procedure di ingresso, transito ed uscita, mediante modalità, percorsi e tempistiche predefinite, al fine di ridurre le occasioni di contatto con il personale in forza dei reparti/uffici coinvolti. Inoltre, è previsto che:

–         gli autisti dei mezzi di trasporto devono rimanere a bordo dei propri mezzi e nel caso di attività di carico e scarico, mantenere la distanza di un metro;

–         individuare/installare servizi igienici dedicati a fornitori/trasportatori e/o altro personale esterno, garantendone un’adeguata pulizia giornaliera.

Al di là delle critiche mosse in relazione alla scarsa chiarezza di talune disposizioni del Protocollo (anche considerato che chi supera la temperatura corporea non è detto che sia contagiato da COVID-19, tantomeno chi non la supera può esserne affetto in maniera asintomatica), v’è da valutare il rapporto delle relative previsioni con l’art. 5, co. 1, dello Statuto dei Lavoratori (Accertamenti sanitari), a mente del quale “Sono vietati accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente (…)”.

Ebbene, non parrebbe sussistere un particolare contrasto tra le due disposizioni sopra riportate, in quanto l’unico dato accessibile dal datore di lavoro, a detta del Protocollo, è la temperatura corporea del lavoratore, a prescindere da quale possa esserne la causa, non andando così a violare quanto stabilito dal co. 1 dell’art. 5 dello Statuto.

La disamina qui proposta merita una breve riflessione in merito, per quel che qui interessa, alle relative implicazioni privacy. Anzitutto, si è già evidenziato come il Protocollo abbia, almeno in parte, cambiato rotta rispetto all’iniziale divieto di iniziative “fai da te” posto dal Garante. Quest’ultimo, del resto, ha dovuto porre dei limiti ad una situazione che, se altrimenti gestita, avrebbe certamente condotto ad un’indebita ingerenza, da parte del datore di lavoro, nella vita del lavoratore, in particolare in relazione al suo stato di salute.

Tuttavia, occorre sottolineare nuovamente come il Protocollo non vada a contraddire quanto dapprima stabilito dal Garante, precisando solamente che ciò che il datore può (e deve) rilevare è la temperatura corporea del dipendente, mentre in relazione all’accertamento e la raccolta di informazioni relative ai sintomi tipici del COVID-19 e alle informazioni sui recenti spostamenti di ogni individuo “spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”. Questo, anche a garanzia dell’art. 2087 c.c. (Tutela delle condizioni di lavoro), a mente del quale l’imprenditore, nell’esercizio della sua impresa, è tenuto ad adottare “le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”. E, a tal fine, il Protocollo, pur tenendo presente che il solo rilevamento della temperatura costituisce – in sé – un trattamento del dato, stabilisce in generale la non registrazione del dato acquisito, rendendola obbligatoria solamente ove necessario a fornire le motivazioni per il mancato accesso in azienda del dipendente. In ogni caso, giova evidenziare come le stesse linee guida specifichino avvedutamente tutti i doveri che l’azienda dovrà rispettare in un’ottica di accountability, dall’informativa (e il relativo contenuto), sino all’individuazione di soggetti preposti al trattamento. Peraltro, il Protocollo è chiaro, al termine della nota n. 1 sopra esaminata, come rimanga in ogni caso essenziale assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore, in particolare in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura.

In conclusione, a chi scrive pare pacifica la convivenza tra la comunicazione del 2 marzo u.s. del Garante e la lettera del Protocollo del 14 marzo u.s. In ossequio ai principi di proporzionalità e minimizzazione dei dati, che tuttora imperniano il GDPR, in combinato disposto con l’art. 2087 c.c., il datore di lavoro si limita solamente a rilevare la temperatura degli addetti, senza neppure, in generale, registrarne il dato, circostanza, quest’ultima, che può verificarsi solamente nel tassativo caso di motivare il mancato ingresso in azienda del lavoratore. Questa apparente deroga alla normativa privacy trova giustificazione in una base giuridica strettamente normativa, ossia la necessaria implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020.

È bene, infine, tenere a mente che ci troviamo pur sempre in una – mai vissuta – situazione di emergenza, dove, forse per la prima volta, pare opportuno anteporre la salute e l’integrità della generalità dei cittadini a quella del singolo, ove non sia possibile tutelarne appieno il diritto alla riservatezza dei propri dati personali (e, in tal caso, particolari).

avv. Valeria Quadranti