L’attuale emergenza sanitaria e, in particolare, la necessità di salvaguardare la salute dei lavoratori attraverso l’individuazione di strumenti idonei a minimizzare il rischio di contagio, in occasione dello svolgimento dell’attività lavorativa, ha cambiato profondamente i luoghi di lavoro, sia nella fase del lockdown per le attività non sospese sia in occasione della riapertura di ulteriori attività (produttive, commerciali, pubblici servizi) che comunque, sino alla fine dell’emergenza, dovranno essere svolte in condizioni di massima sicurezza, garantendo la prevenzione dal rischio di contagio.

Gli strumenti di prevenzione del contagio (di tipo tecnologico e/o consistenti in misure organizzative) comportano anche, per converso, un’inedita possibilità d’intrusione del datore di lavoro nella sfera privata del lavoratore, attraverso l’apprensione di notizie non direttamente collegate allo svolgimento della prestazione lavorativa (riferite a spostamenti e contatti), di informazioni relative al suo stato di salute, della ricostruzione dei contatti avuti sul luogo di lavoro in caso di contagio successivamente accertato.

Considerato ciò, il Garante per la protezione dei dati personali, trascorsi pochi giorni dall’inizio dell’emergenza, ha sottolineato che, in particolare nell’ambito del rapporto di lavoro, le garanzie stabilite dal regolamento generale di protezione dei dati (a livello europeo) e dal codice in materia di protezione dei dati personali devono essere integralmente rispettate. Pertanto, ha invitato i datori di lavoro ad astenersi dal raccogliere dati sulla salute del lavoratore, dei suoi familiari e dei suoi contatti al di fuori di un preciso quadro giuridico di riferimento.

In particolare, il datore di lavoro può trattare informazioni riferite al lavoratore ritenute necessarie per la finalità di prevenzione dal rischio di contagio da Covid-19, nel quadro della tutela della sicurezza del lavoro, solo nei termini previsti da una norma dell’ordinamento o da un contratto collettivo conformemente a quanto previsto dall’ordinamento. Il legislatore dell’emergenza ha, in proposito, fatto ricorso a uno strumento del tutto peculiare, quale il recepimento con dpcm dei protocolli condivisi di regolamentazione sottoscritti da governo e parti sociali, e ha poi richiamato i principi dei protocolli con il decreto legge 33/2020.

I menzionati protocolli condivisi (e successivi aggiornamenti) hanno individuato alcune specifiche misure, che hanno impatto sulla protezione dei dati personali, ritenute in termini generali idonee a fronteggiare il rischio di contagio, prevedendo altresì alcune specifiche garanzie, derivanti dalla necessaria applicazione delle norme sulla protezione dei dati personali. Inoltre, i protocolli prevedono la possibilità di adottare, previa concertazione sindacale, misure di prevenzione dei contagi aggiuntive e ‘più incisive’ rispetto a quelle già individuate. In base alla disciplina sulla protezione dei dati, tali ulteriori misure possono ammettersi solo in presenza, tra l’altro, di un adeguato presupposto di liceità.

Le misure anti-contagio, poi, dovranno essere adattate alle concrete realtà lavorative (caratteristiche dimensionali, specificità delle mansioni svolte e dell’organizzazione del lavoro) e, soprattutto, monitorate nella loro concreta applicazione, tenendo anche conto della necessità di aggiornarne tipologia e modalità di attuazione in ragione dell’evolversi della situazione emergenziale (anche considerata la possibile sopravvenienza di ulteriori disposizioni normative) e dell’esperienza applicativa via via maturata. Questa delicata e indispensabile attività di valutazione e revisione, anche relativa alla proporzionalità delle misure inizialmente prescelte rispetto agli scopi perseguiti, potrà essere svolta dai comitati per l’applicazione e la verifica dei protocolli anti-contagio.

Tra le misure anti-contagio introdotte dalla normativa emergenziale, rientra la rilevazione della temperatura corporea dei dipendenti prima di accedere al luogo di lavoro (per esempio, ricorrendo all’utilizzo di termoscanner). Tenuto conto che tale rilevazione costituisce un trattamento di dati personali, il datore di lavoro non può registrare il dato acquisito relativo alla temperatura, ma, qualora sia necessario a documentare le ragioni che hanno impedito l’accesso, può limitarsi a identificare il lavoratore e registrare il superamento della soglia di temperatura prevista dalla legge.

Tale trattamento – comunque e in ogni caso – deve essere effettuato nel rispetto dei principi generali dettati in materia di protezione dei dati personali, in particolare quelli di necessità, proporzionalità e limitazione della conservazione. In proposito, i datori di lavoro possono conservare i dati acquisiti non oltre la fine dello stato d’emergenza; al termine dello stesso, infatti, tali dati dovranno essere cancellati.

Ulteriore misura prevista dai predetti protocolli condivisi, che il datore di lavoro deve adottare, è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi quattordici giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio, secondo le indicazioni dell’Organizzazione mondiale della sanità. A tal fine, può essere chiesta ai lavoratori la compilazione di un’autodichiarazione che attesti queste circostanze. I dati così raccolti, però, dovranno essere solo quelli necessari, pertinenti e adeguati alla prevenzione del contagio da Covid-19; non potranno, infatti, essere richieste informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata. In ogni caso, è necessario che i dati vengano trattati da soggetti a ciò preposti, a cui siano state fornite le informazioni necessarie per effettuare tali trattamenti nel rispetto della disciplina in materia di protezione dei dati personali.

Il Garante, come già ricordato, ha ribadito che l’applicazione delle misure anti-contagio non può derogare alle norme vigenti. In particolare, quindi, sebbene il datore di lavoro possa conoscere, in base alle disposizioni emergenziali, lo stato di affezione da Covid-19 del singolo dipendente, nonché l’avvenuta negativizzazione del tampone ai fini della riammissione sul luogo di lavoro, in base alle valutazioni del dipartimento sanitario competente, tali informazioni sulla salute del lavoratore non possono essere comunicate, ad esempio, ai colleghi né al rappresentante dei lavoratori per la sicurezza. Ciò, poiché spetta alle autorità sanitarie competenti, seppure con la cooperazione del datore di lavoro e per suo conto del medico competente, individuare i contatti stretti, ai fini della ricostruzione della catena dei contagi.

Rimane in capo al medico competente il divieto di comunicare al datore di lavoro l’esistenza di specifiche patologie del dipendente, conosciute nello svolgimento dei propri compiti di sorveglianza sanitaria. Inoltre, spetta sempre al medico competente la valutazione dell’eventuale somministrazione di test sierologici ai dipendenti, mentre il datore di lavoro può offrire la possibilità di effettuare tali test senza conoscere l’esito dell’esame.

Allo stato attuale, sono altresì utilizzabili per finalità anti-contagio applicativi disponibili sul mercato (da installare su smartphone del lavoratore o su dispositivi indossabili o predisposti ai varchi di accesso), che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili, posto che il dispositivo non deve essere associato o associabile all’interessato né consentire la registrazione dei dati trattati. Infine, è necessario tener presente che eventuali dispositivi tecnologici impiegati esclusivamente per finalità di sicurezza del lavoro possono essere adottati dal datore di lavoro solo previa conclusione della procedura di garanzia prevista dall’articolo 4 della legge 300/1970, il cui rispetto è condizione imprescindibile di liceità, anche in base alla disciplina posta a tutela della riservatezza del lavoratore.

Lia Giannotta e Maria Claudia Dolmetta sono funzionari del Garante per la protezione dei dati personali
(Il contributo è a titolo personale e le opinioni espresse non vincolano l’Autorità)