Nella cd. “fase 2” di gestione dell'emergenza epidemiologica l'intero Paese è tenuto ad attuare una serie di rigorose misure di sicurezza sociali, che muovono dal distanziamento minimo tra persone all'obbligo di indossare i dispositivi di protezione individuale, fino al rilevamento della temperatura corporea dei dipendenti che entrano in azienda.
Tale regola è stabilita espressamente all'art. 2 del Protocollo condiviso firmato dalle associazioni sindacali e datoriali, e si accompagna ad ulteriori misure di sicurezza che ogni impresa è tenuta a eseguire.
Queste nuove misure impattano anche sulla
gestione dei dati personali dei dipendenti e dei soggetti che entrano in contatto con l'azienda: ci si chiede quindi quali adempimenti debbano essere rispettati per evitare violazioni in ambito privacy e GDPR.
1. Il rilevamento della temperatura corporea per l'ingresso in azienda
È un trattamento di dati personali a tutti gli effetti e come tale deve avvenire ai sensi della disciplina privacy del Regolamento Europeo n. 679/2016 (GDPR).
La temperatura, infatti, indica un dato della salute dell'individuo.
Si consiglia pertanto di esporre all'interno dei locali aziendali, in modo che sia ben visibile, un'apposita
informativa, che indichi con particolare riferimento al dato della temperatura corporea (e quindi oltre alle ordinarie indicazioni su titolare, responsabili, misure di protezione dei dati, etc):
1) la
base giuridica del trattamento, che non è il consenso della persona, ma in via alternativa:
- l'assolvimento degli obblighi del datore in materia di sicurezza del lavoro;
- la tutela di un interesse vitale;
- motivi di interesse pubblico rilevante;
- l'implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020;
2) la
finalità del trattamento: prevenzione e contenimento del contagio epidemiologico;
3) la
durata del trattamento: fino alla fine dell'emergenza epidemiologica;
4) le
misureorganizzative e
tecniche di protezione dei dati.
Nessuna norma impone però di tenere la registrazione delle temperature misurate in tempo reale all'ingresso nel luogo di lavoro: per evitare quindi complicazioni, la cosa migliore rimane
cancellare nell'immediato il dato, ove la temperatura non superi i 37,5° C.
Solo se la temperatura eccede questa soglia, il dato va
registrato e
conservato, poiché diviene necessario documentare le ragioni che hanno impedito l'accesso in azienda.
I dati devono comunque essere trattati per la prevenzione dal contagio da COVID-19 e
non devono essere diffusi o comunicati a terzi. Pertanto, se un lavoratore risulta avere una temperatura sospetta, va isolato momentaneamente in modo riservato e dignitoso.
2. Richiesta di attestazioni o autodichiarazioni del lavoratore su luoghi e persone frequentati
ll Protocollo firmato dalle associazioni di categoria prende in esame il caso in cui il datore di lavoro richieda a lavoratori e soggetti terzi di
rilasciare dichiarazioni o attestazioni sui luoghi o sulle persone frequentate che possano rappresentare rischi di contagio, o su
eventuali sintomi influenzali sofferti ricondubili alla malattia da Covid-19 (es: autodichiarazione di non essersi recato in una “zona rossa” o “focolaio”; autocertificazione di non aver avuto contatti con persone contagiate, etc).
Queste dichiarazioni o attestazioni
non sono obbligatorie, e, se raccolte, rappresentano sempre un trattamento dei dati personali, per il quale si applica la disciplina del GDPR e per i quali vige la regola della stretta necessarietà del dato.
Questo trattamento rimane, in ogni caso, altamente
sconsigliato.
Sul punto è infatti intervenuto il Garante della Privacy, che con un comunicato ha chiarito che
i datori di lavorodevonoastenersidal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite,
informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei
suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
Il Garante ricorda infatti che queste informazioni devono essere raccolte solo dagli operatori sanitari e dalla Protezione Civile, quali unici soggetti istituzionalmente incaricati a tali compiti per la gestione della prevenzione ai contagi.
Il datore di lavoro può quindi solo agevolare i contatti tra i suoi dipendenti e personale con questi canali autorizzati, ma non sostituirsi ad essi.
Lo Studio rimane a disposizione e risponderà entro 48 ore ai tuoi dubbi o alle tue eventuali domande che puoi lasciare cliccando
QUI.