Articoli
01/04/2020
Corporate & Commercial - Privacy & IT Compliance

CORPORATE & COMMERCIAL | PRIVACY | COVID-19: profili di interesse per le imprese in materia di protezione dei dati personali*

*NOTA IMPORTANTE: Il presente memorandum è aggiornato al 31 marzo 2020 alle ore 13:00: siccome lo stato di emergenza ed il relativo quadro normativo sono in continua evoluzione su base quotidiana, i contenuti del presente memorandum potranno essere soggetti a continue modifiche.

1. Premessa e quadro normativo di riferimento

A seguito dell’incremento dei casi di contagio da Coronavirus COVID-19 in varie aree del mondo oltre che in Italia, il governo italiano ha deciso di adottare misure straordinarie e urgenti per contrastare la diffusione del virus e per potenziare il sistema sanitario nazionale, a partire dalla dichiarazione dello stato di emergenza deliberata dal Consiglio dei Ministri il 31 gennaio 2020.

Per maggiori informazioni sui provvedimenti adottati dal governo italiano e per ogni ulteriore aggiornamento si prega di consultare i relativi siti web istituzionali del governo e del Ministero della Salute, le pagine web istituite dalle singole Regioni, nonché gli aggiornamenti per le imprese e le note esplicative fornite da Confindustria, tra cui quelli forniti da Assolombarda.
Si segnala, altresì, la pagina informativa predisposta e aggiornata dal Garante per la protezione dei dati personali.

2. Profili di interesse per le imprese in materia di protezione dei dati personali

La materia della protezione dei dati personali assume un rilievo centrale nell’ambito delle misure di contrasto alla diffusione del COVID-19.

Molte delle possibili misure di prevenzione del contagio che sono state ipotizzate nelle scorse settimane (dalla somministrazione di questionari per accertare lo stato di salute dei lavoratori, al rilascio di autodichiarazioni, alla rilevazione della temperatura corporea all’ingresso degli edifici aziendali, all’adozione di misure di contact tracing digitale alle quali in questi giorni stanno lavorando congiuntamente il Governo e il Garante per la protezione dei dati personali) comportano, infatti, il trattamento di dati personali dei cittadini, e in particolare dei lavoratori, inclusi dati relativi alla salute.

Come noto, la normativa in materia di protezione dei dati personali, oltre al rispetto dei principi generali di cui all’art. 5 del Regolamento (UE) 2016/679, meglio noto come GDPR, (e, in particolare, per quanto attiene ai trattamenti di cui si discute, del principio di proporzionalità e minimizzazione dei dati) e degli obblighi generali in materia di informativa e di data governance, subordina la legittimità del trattamento alla sussistenza di una o più delle condizioni di legittimità previste dall’art. 6 del GDPR per i dati personali c.d. comuni e dall’art. 9 del GDPR per i dati personali c.d. particolari (che deve essere interpretato alla luce delle prescrizioni impartite dal Garante a mezzo delle autorizzazioni generali, come adeguate a seguito dell’entrata in vigore del GDPR e delle modifiche al d.lgs. n. 196/2003 introdotte dal d.lgs. n. 101/2018).

Con riguardo al trattamento di dati personali c.d. comuni (qual è, ad esempio, quello consistente nella raccolta e nel successivo trattamento di informazioni circa gli spostamenti o i contatti avuti dal lavoratore o dal visitatore con persone provenienti dalle zone interessate dal contagio, ecc.), esso ben può basarsi sul legittimo interesse del datore di lavoro alla protezione del proprio personale da possibili fattori di rischio.

Quanto invece al trattamento da parte del datore di lavoro dei dati relativi alla salute, lo stesso dovrebbe basarsi sulla condizione di cui alla lettera b) dell’art. 9 del GDPR, che consente il trattamento di dati relativi alla salute allorché esso sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Tuttavia, il trattamento dei dati relativi alla salute nell’assolvimento degli obblighi in materia di salute e sicurezza sul lavoro – in linea di principio – può essere effettuato unicamente nell’ambito dello svolgimento delle attività di sorveglianza sanitaria, che il Testo Unico Sicurezza affida in via esclusiva al medico competente. L’eventuale raccolta di dati relativi alla salute non potrebbe perciò prescindere dall’effettuazione una nuova valutazione del rischio da parte del datore di lavoro e dall’aggiornamento, all’esito della predetta valutazione, del protocollo sanitario aziendale. In senso conforme, solo il medico competente potrebbe effettuare il trattamento, da solo o – se del caso – a mezzo di propri ausiliari, espressamente autorizzati.

Ciononostante, in considerazione dell’attuale emergenza, tale quadro normativo è stato – momentaneamente – superato dalle disposizioni contenute nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro” (“Protocollo”), sottoscritto, in attuazione dell’art. 1, comma 1, n. 9 del D.P.C.M. dell’11 marzo 2020, da parte delle principali associazioni datoriali ed organizzazioni sindacali. Nonostante tale documento non abbia valore di legge, ma contenga, appunto, le principali raccomandazioni condivise tra le parti finalizzate al contenimento del COVID-19, risulta improbabile che le attività ivi ammesse siano in un secondo momento contestate alle aziende che le abbiano poste in essere, essendo stato sostanzialmente avvallato dal Governo e, tra l’altro, dal Garante per la protezione dei dati personali.

Ciò premesso, il Protocollo ammette che l’azienda possa svolgere le seguenti attività, e quindi le connesse operazioni di trattamento dei dati personali (inclusi i dati relativi allo stato di salute):

  • la misurazione della temperatura prima dell’ingresso nei locali dell’azienda (se superiore a 37.5°, l’accesso non è consentito), individuando come base giuridica di tale trattamento l’obbligo di attuare i protocolli di sicurezza contro la diffusione del COVID-19 ai sensi dell’articolo 1, n. 7, lettera d) del D.P.C.M. 11 marzo 2020, e facendo riferimento al termine dello stato di emergenza come periodo di conservazione. Le informazioni sulla temperatura non devono, di regola, essere registrate, ma è consentito identificare la persona e registrare tali informazioni se la temperatura supera la soglia indicata al fine di documentare le ragioni che hanno impedito l’accesso ai locali dell’azienda. In ogni caso, deve essere fornita l’informativa all’interessato. I dati non possono essere diffusi o comunicati a terzi, al di fuori delle specifiche previsioni normative (come nel caso di richiesta da parte dell’autorità sanitaria per la ricostruzione della filiera dei contatti stretti del soggetto risultato positivo al COVID-19).
  • la richiesta di rilasciare una dichiarazione nella quale si confermi di non provenire da aree a rischio e di non essere stato/a in contatto negli ultimi 14 giorni con soggetti risultati positivi al COVID-19. Anche questo trattamento si basa sull’obbligo di attuare i protocolli di sicurezza contro la diffusione del COVID-19 ai sensi dell’articolo 1, n. 7, lettera d) del D.P.C.M. 11 marzo 2020; viene altresì chiarito che devono essere raccolti e trattati solo i dati necessari, adeguati e rilevanti per evitare la diffusione del virus (per esempio, se vengono richieste informazioni su precedenti contatti con persone risultate positive al virus, è necessario astenersi dal richiedere ulteriori informazioni in merito a tali persone).
  • l’autodichiarazione di una persona che ha sviluppato i sintomi da COVID-19 mentre si trova presso la sede della società, mediante segnalazione all’ufficio del personale. A seguito della segnalazione, la persona deve essere temporaneamente isolata e la società deve provvedere ad avvertire l’autorità competente, collaborando con essa per individuare eventuali soggetti che possano aver avuto “contatti stretti” con il soggetto isolato. Per la durata del periodo di indagine, la società può chiedere ai possibili contatti stretti di lasciare lo stabilimento, come misura cautelativa.

Si segnala che tali disposizioni troverebbero applicazione anche nei confronti di visitatori esterni.

A seguito dell’adozione di tale Protocollo, Confindustria ha predisposto una nota illustrativa finalizzata ad assistere le aziende nella sua applicazione; in tale contesto, vengono precisate ulteriori indicazioni circa il ruolo del medico competente: lo stesso è tenuto, tra l’altro, a segnalare al datore di lavoro situazioni di particolare “fragilità” e patologie attuali o pregresse dei dipendenti e, in risposta, il datore dovrà provvedere alla loro tutela nel rispetto della privacy.

Per completezza, infine, si ritiene utile menzionare anche la “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19”, adottata il 19 marzo 2020 dall’European Data Protection Board (“EDPB”).

Anzitutto, l’EDPB conferma il principio per cui le norme in materia di protezione dei dati non ostacolano l’adozione di misure per il contrasto della pandemia. Tuttavia, i titolari e i responsabili del trattamento devono garantire la protezione dei dati personali degli interessati, i principi generali del diritto devono in ogni caso essere rispettati e, infine, qualsiasi misura adottata in questo contesto non può essere irrevocabile. In altri termini, l’emergenza può legittimare limitazioni delle libertà, purché tali limitazioni siano proporzionate e limitate al periodo di emergenza.

Ciò premesso, per quanto concerne il trattamento dei dati nel contesto lavorativo, l’EDPB conferma che il datore di lavoro potrà trattare informazioni sanitarie specifiche di dipendenti e visitatori, nel contesto del COVID-19, solo nella misura consentita dal diritto nazionale.

Per quanto concerne, più in generale, il trattamento dei dati relativi all’ubicazione, si precisa che esso deve essere conforme anche alle disposizioni di cui alla direttiva 2002/58/CE (c.d. “direttiva e-privacy”) che, in linea di principio, ammette il loro utilizzo da parte dell’operatore solo qualora tali dati siano resi anonimi o previo consenso degli interessati. Tuttavia, l’art. 15 della direttiva in questione consente di introdurre misure legislative per salvaguardare la sicurezza pubblica, nei limiti in cui dette misure siano necessarie, adeguate e proporzionate all’interno di una società democratica.

Nello specifico, l’autorità sembra avallare l’utilizzo, da parte dei governi nazionali, dei dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19, con la possibilità, per esempio, di geolocalizzare le persone o inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area. Tuttavia, le autorità pubbliche dovrebbero cercare di trattare tali dati in modo anonimo, in forma aggregata e tale da non consentire la successiva re-identificazione delle persone. Qualora non vengano adottate misure di anonimizzazione dei dati, lo Stato membro interessato avrà l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto ad un ricorso giurisdizionale. Resta fermo che, in ogni caso, lo Stato membro dovrà privilegiare quanto più possibile soluzioni meno invasive che possano essere sufficienti a fini di prevenzione.

 

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto.

Per ulteriori informazioni si prega di contattare il vostro professionista di riferimento ovvero di scrivere al seguente indirizzo: corporate.commercial@nctm.it o ai seguenti professionisti: Paolo Gallarati e Francesca Bonino.

Hanno altresì partecipato alla redazione del presente memorandum i seguenti collaboratori: Virginia Paparozzi, Giulio Uras e Lucrezia Lorenzini.

Ricevi i nostri aggiornamenti