Articolo pubblicato su altalex.
Lo scorso 24 aprile, il Governo e le parti sociali hanno integrato ed aggiornato il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” (testo in calce) introducendo novità di impatto.
Quali gli adempimenti in tema di trattamento dei dati in capo all’azienda e quali in capo al medico competente?
| Sommario |
1. Premessa
La recente integrazione apportata al Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro lascia intatti gli adempimenti in tema di trattamento dei dati in capo al datore di lavoro, primo tra tutti quello di informazione. Nuova, invece, è la previsione del ruolo centrale riconosciuto al medico competente, nell’attuazione delle misure previste, attraverso la segnalazione al datore di lavoro di situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti, che apre nuove prospettive in tema di trattamento dei dati.
Tra gli obblighi che l’Azienda deve osservare, attraverso le modalità più idonee ed efficaci, vi è quello di informare tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, dei cartelli che devono specificare:
- l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;
- l’obbligo di dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano condizioni di potenziale pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc). In tali casi, infatti, i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio;
- l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene);
- l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti;
- l’ingresso in azienda di lavoratori già risultati positivi all’infezione da COVID 19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti di essersi sottoposto al tampone e di aver avuto esito negativo, secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza.
2. Adempimenti per il datore di lavoro
In particolare, per quanto concerne il trattamento dei dati personali, il datore di lavoro si trova a dover gestire, essenzialmente, i dati sanitari provenienti: dalla rilevazione della temperatura corporea dei propri dipendenti oppure dalla sopravvenuta positività o sospetta tale da COVID-19 nelle forme: di comunicazione resa dal dipendente di aver avuto contatti, al di fuori del contesto aziendale, con soggetti positivi al COVID-19 o, per contro, della sua negatività attraverso una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19. Oltre alle misure da porre in essere per la gestione di una persona sintomatica in azienda.
Nella rilevazione della temperatura corporea (che potrà essere effettuata all’entrata del luogo di lavoro) non si dovrà registrare il dato acquisito se quest’ultima risulta al di sotto dei 37,5 °. In caso contrario si dovrà identificare l’interessato e registrare il superamento della soglia di temperatura anche allo scopo di documentare le ragioni che hanno impedito l’accesso ai locali aziendali.
Oltre a ciò l’Azienda dovrà fornire l’informativa sul trattamento de dati personali ai sensi dell’art. 13 del Regolamento europeo 679/2016 (“gdpr”). Quest’ultima può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Si raccomanda, tuttavia, in ossequio al principio di accountability di fornirla sempre per iscritto, dandone massima diffusione. Gli elementi essenziali, indicati nel testo del Protocollo sono:
- la finalità del trattamento individuata nella prevenzione dal contagio da COVID-19;
- base giuridica sarà l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020;
- termine di conservazione dei dati per il quale occorrerà fare riferimento al termine dello stato d’emergenza, fatta salva la tutela dei diritti in sede giudiziaria, per obblighi normativi o per espressa richiesta dell’interessato.
Sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19).
In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, l’azienda dovrà assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi.
Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, occorrerà assicurare tutte le garanzie possibili a tutela del trattamento dati. Andranno, pertanto, raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
Nel rispetto del principio cd. di limitazione della finalità (art. 5, par. 1, lett. b), GDPR), il Protocollo ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative. Il trattamento per la finalità sopraevidenziata appare una esplicita deroga al divieto ex art 9, par. 1, GDPR di trattare le categorie particolari di dati personali – tra le quali i dati relativi alla salute – riconducibile al caso del par. 2, lett. b), dello stesso articolo.
Una volta predisposta l’informativa sul trattamento dei dati andrà di conseguenza aggiornato il registro dei trattamenti (art. 30 gdpr) con l’aggiunta dei nuovi trattamenti che il Titolare intende adottare (misurazione della temperatura, raccolta della dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico ) e la valutazione d’impatto (art. 35 gdpr) che dovrà tener conto della natura particolare dei dati personali trattati.
3. Ruolo e adempimenti in materia di trattamento dei dati del medico competente
Il medico competente, assume in azienda il duplice ruolo di Titolare del trattamento dei dati personali di natura sanitaria (cfr. provvedimento del Garante privacy n. 194 del 27 aprile 2016 [5149198]) nonché di responsabile esterno del trattamento ex art. 28 GDPR nella sua qualità di libero professionista in relazione ai dati comuni dei lavoratori (nome, cognome ecc.) che gli vengono trasmessi dal datore di lavoro o autorizzato al trattamento ex art. 29 GDPR in caso sia un dipendente.
Nell’eventualità in cui il medico competente presti la propria opera in regime libero professionale, sarà compito del datore di lavoro formalizzare la nomina anche dal punto di vista del trattamento dei dati mediante un contratto o altro atto scritto “che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” ai sensi dell’art. 28 gdpr e che contenga tutti i requisiti ivi indicati.
In Italia, come è noto, è in vigore la normativa in materia di igiene e sicurezza sul luogo di lavoro di cui al D.lgs. n. 81/2008 la quale stabilisce compiti che gravano sul datore di lavoro e sul medico competente, circoscrivendo i limiti e gli ambiti del rispettivo trattamento.
L’art. 39, comma 4, D.lgs. 81/2008 stabilisce che “il datore di lavoro assicur(i) al medico competente le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia” e l’art. 2, comma 1, lett. m), definisce la “«sorveglianza sanitaria»: insieme degli atti medici, finalizzati alla tutela dello stato di salute e sicurezza dei lavoratori, in relazione all’ambiente di lavoro, ai fattori di rischio professionali e alle modalità di svolgimento dell’attività lavorativa”.
Da ciò discende il dovere del medico competente di effettuare in sicurezza il trattamento dei dati contenuti nelle cartelle sanitarie che possono essere custodite presso il datore di lavoro ma che a quest’ultimo sono interdette. Il datore di lavoro, secondo il D.Lgs. n. 81/2008 sebbene sia tenuto – su parere del medico competente – ad adottare le misure preventive e protettive per i lavoratori interessati, non è legittimato a conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l’idoneità “sanitaria” del dipendente.
La novità apportata dal protocollo in commento, riguarda il dovere del medico competente di “segnalare all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti”.
Non si tratta di una novità di poco conto. Viene, infatti, temporaneamente ampliato il limite delle informazioni sanitarie a cui il datore di lavoro ha accesso. Non più il mero giudizio di idoneità del dipendente, ma informazioni relative a patologie attuali o pregresse dei lavoratori a cui fa seguito il dovere, per il datore di lavoro, di “provvedere alla loro tutela nel rispetto della privacy”.
La ragione è da rinvenirsi nel “nuovo” ruolo assunto dal medico competente coinvolto maggiormente nella valutazione dei rischi e nella sorveglia sanitaria, al quale è demandato il compito propositivo di suggerire l’adozione di eventuali mezzi diagnostici qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori.
Fondamentale sarà il coinvolgimento del medico competente anche alla ripresa delle attività per le identificazioni dei soggetti con particolari situazioni di fragilità e per il reinserimento lavorativo di soggetti con pregressa infezione da COVID 19.
A seguito di questo ampliamento di funzioni, il medico competente dovrà necessariamente coinvolgere il datore di lavoro per ovvie ragioni di sorveglianza sanitaria e prevenzione del contagio, nel trattare il caso di un dipendente positivo o sospetto tale,. Così facendo il medico competente non rimarrebbe più il solo Titolare del trattamento dei dati sanitari ma assumerebbe il ruolo di contitolare del trattamento insieme al datore di lavoro. Ai sensi dell’art. 26 gdpr, infatti, i contitolari“determinano congiuntamente le finalità e i mezzi del trattamento, (…). Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento”.
Stabilisce il protocollo in commento, inoltre, che la sorveglianza sanitaria deve proseguire rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute privilegiando, in questo periodo, le visite preventive, le visite a richiesta e le visite da rientro da malattia e non deve essere interrotta, perché rappresenta una ulteriore misura di prevenzione di carattere generale: sia perché può intercettare possibili casi e sintomi sospetti del contagio, sia per l’informazione e la formazione che il medico competente può fornire ai lavoratori per evitare la diffusione del contagio.