Disposizioni per il contrasto del Covid-19 e protezione dei dati personali: un connubio possibile?

1. Premessa

Per effetto delle disposizioni emergenziali emanate nel nostro Paese per il contenimento del contagio dal virus COVID-19 e per lo svolgimento in sicurezza delle attività industriali, le imprese sono state chiamate ad adottare una serie di misure per il contrasto e il contenimento del virus COVID-19, individuate in Protocolli o linee guida per la prevenzione o riduzione del rischio di contagio nel settore di riferimento.

Ad oggi, a livello centrale, per le attività produttive industriali e commerciali, sono stati adottati il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e la parti sociali” sottoscritto il 24 aprile 2020 nonché per i rispettivi ambiti di competenza il “Protocollo condiviso di regolamentazione per il contenimento della diffusione del Covid-19 nei cantieri” sottoscritto il 24 aprile 2020 e il “Protocollo condiviso di regolamentazione per il contenimento della diffusione del Covid-19 nel settore del trasporto e della logistica” sottoscritto il 20 marzo 2020.

Ai sopraindicati protocolli, si aggiungono, poi, ulteriori protocolli e linee guida adottati dalle regioni e dalla Conferenza delle regioni e delle province autonome “nel rispetto dei principi contenuti nei protocolli o nelle linee guida nazionali”, come stabilito nell’ultimo Dpcm del 17 maggio 2020.

Si tratta, in ogni caso, di atti prescrittivi, il cui mancato rispetto assoggetta le imprese ad un articolato sistema sanzionatorio, comportante, oltre alla sospensione dell’attività “fino al ripristino delle condizioni di sicurezza” (art. 1, comma 15, del Decreto Legge n. 33 del 16 maggio 2020) anche un corposo insieme di sanzioni amministrative pecuniarie ed accessorie (art. 2 del Decreto Legge 16 maggio 2020, n. 33), oltre che responsabilità, sia di natura civile che penale, in cui può incorrere il datore di lavoro.

In particolare, ci si riferisce ai delicati e discussi profili di responsabilità per le infezioni da Covid-19 gravanti sul datore di lavoro per effetto del riconoscimento del contagio da Covid-19 come infortunio sul lavoro, nonostante le precisazioni da ultimo fornite dall’Inail con la nota del 15 maggio 2020 e con la circolare n. 22 del 20 maggio 2020, con la quale ultima, in particolare, l’Inail ha cercato di fornire chiarimenti in merito alla diversità dei presupposti per l’erogazione dell’indennizzo rispetto a quelli per la responsabilità penale e civile del datore di lavoro, precisando che la responsabilità del datore di lavoro “è ipotizzabile solo in caso di violazione della legge o di obblighi derivanti dalle conoscenze sperimentali o tecniche, che nel caso dell’emergenza COVID-19 si possono rinvenire nei protocolli e nelle linee guida governativi e regionali”; va, tuttavia, rilevato che questo intervento – pur nell’intento di ribadire la necessità che, ai fini della responsabilità  del datore di lavoro, sia provato il nesso di causalità e la relativa imputabilità quanto meno a titolo di colpa -  non elimina alla radice situazioni di incertezza, che – proprio per la rilevanza delle conseguenze in capo al datore di lavoro, tra cui va compresa anche l’azione di regresso da parte dell’Istituto - richiederebbero ben più di una circolare.

La varietà e molteplicità degli strumenti approntati ha indotto gli apparati governativi competenti ad istituire appositi nuclei a composizione mista, ai quali è affidato il compito precipuo di svolgere attività di vigilanza e controllo all’interno delle imprese.

 

2. L’applicazione dei Protocolli da parte delle imprese

Quale inevitabile conseguenza di quanto sopra, anche in base anche a dati da ultimo rilevati, le imprese hanno per lo più reagito prontamente, attuando al proprio interno le prescrizioni contenute nei protocolli e, in taluni casi, anche andando oltre il perimetro dagli stessi individuato, adottando strumenti e misure non espressamente previsti.

L’attuazione delle suddette misure non è stata, tuttavia, priva di criticità, non solo di carattere operativo ma anche tecnico/giuridico, tra cui vanno compresi i conseguenti impatti sul fronte data protection, scarsamente considerati nell’ambito dei protocolli e dallo stesso legislatore.

In particolare, nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento delle diffusione del virus Covid-19 negli ambienti di lavoro”, allegato al Dpcm del 26 aprile 2020, gli aspetti connessi alla protezione dei dati personali sono stati trattati nelle note a piè di pagina, con riferimento al paragrafo relativo alle modalità di ingresso in azienda, fornendo indicazioni relativamente all’eventuale trattamento di dati personali, qualora il datore di lavoro subordini l’accesso ai locali aziendali alla misurazione della temperatura corporea e/o all’acquisizione di ulteriori dati attraverso il rilascio di dichiarazioni attestanti la non provenienza da zone a rischio epidemiologico e l’assenza di contatti negli ultimi 14 giorni con soggetti risultati positivi al Covid-19.

Allo scopo di dare risposta ad una serie di quesiti manifestati sulle problematiche connesse all’emergenza derivante dal Covid-19, con particolare riferimento al trattamento dei dati nel contesto lavorativo pubblico e privato, il Garante per la protezione dei dati personali si è, inoltre, espresso fornendo ulteriori chiarimenti e indicazioni operative, nell’ambito delle proprie “FAQ”, che tengono conto delle risposte fornite nonché dei reclami, segnalazioni e quesiti raccolti.

 

3. La misurazione della temperatura corporea prima dell’accesso ai locali aziendali

Una delle misure messe in atto dalle imprese ai fini di prevenzione del contagio da COVID-19 consiste nella misurazione della temperatura corporea, all’ingresso dei locali aziendali, dei dipendenti nonché di soggetti terzi, quali fornitori, clienti e visitatori.

Va, in primo luogo, rilevato, che - ad eccezione di alcuni ambiti territoriali o specifici settori, in relazione ai quali la misurazione della temperatura corporea è stata individuata come obbligatoria, come, ad esempio, nel caso della Regione Lombardia, con le ordinanze n. 546 e n. 547 emanate nel mese di maggio 2020 e nel caso del Protocollo condiviso per la regolamentazione per il contenimento della diffusione del Covid-19 nei cantieri” - l’adozione di tale misura è stata prevista su base facoltativa, anche se – successivamente alle prime fasi della pandemia – si sono intensificate le raccomandazioni per la relativa implementazione, in ragione del rischio di riattivazione di focolai nei luoghi di lavoro.

Significativo, a questo riguardo, è il “Documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio da Sars-Cov-2 nei luoghi di lavoro e strategie di prevenzione”, redatto dall’Inail nell’aprile 2020, che, alla luce di quanto sopra, espressamente prevede che “va altresì attuata la procedura di controllo della temperatura corporea sui lavoratori, prima dell’accesso al luogo di lavoro”.

Dal punto di vista data protection, comportando tale misura il trattamento di dati personali e, per di più, di dati relativi alla salute, appartenenti alle categorie particolari di dati, si è posta attenzione ai relativi impatti sulla tutela dei dati personali e sulle modalità di attuazione della stessa.

A questo riguardo, già nel “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra Governo e parti sociali”, la cui prima versione risale al 14 marzo 2020, per limitare in capo al datore di lavoro/titolare del trattamento le relative conseguenze ed oneri, è previsto che di regola non sia effettuata alcuna registrazione dei dati inerenti alla temperatura corporea, ad eccezione dei soli casi di superamento della temperatura-soglia, ove la registrazione del dato sia necessaria per documentare le ragioni ostative all’accesso al luogo di lavoro.

In proposito, le sopraindicate “FAQ” del Garante hanno ulteriormente ribadito questo aspetto, con un espresso richiamo all’osservanza del principio di minimizzazione.

In linea con quanto sopra, il Garante ha, altresì, specificato come la registrazione del dato, nel caso di misurazione della temperatura corporea a soggetti terzi (ad es. clienti o visitatori), non sia necessaria, anche laddove la temperatura risulti superiore alla soglia.

Tenuto conto dei protocolli nonché delle indicazioni fornite dal Garante e comunque attenendosi ai principi e alle prescrizioni contenute nella normativa per la protezione dei dati personali, le imprese, nell’implementazione della misura in questione, hanno dovuto porre in essere una serie di adempimenti, tra cui la predisposizione di informative per l’accesso ai locali aziendali e la misurazione della temperatura corporea - accompagnate da avvisi informativi/raccomandazioni esposti all’ingresso dei locali aziendali – e l’introduzione di specifiche misure organizzative, finalizzate ad istruire e autorizzare (ai sensi dell’art. 29 del GDPR e per le imprese italiane dell’art. 2-quaterdecies del “Codice in materia di protezione dei dati personali”), il personale al trattamento dei dati in questione.

Va rilevato come la misurazione della temperatura corporea, ampiamente applicata da parte delle imprese, sia stata oggetto di appositi interventi da parte di Autorità di controllo, soprattutto per tenere conto della necessaria salvaguardia, nel bilanciamento con il diritto alla salute, della tutela della riservatezza e del diritto alla protezione dei dati personali.

Significativa è, in proposito, la posizione espressa dalla Autorità spagnola (Agencia Espanola de Proteccion de Datos), che con un recente comunicato del 30 aprile scorso (“Comunicado de la AEPD en relacion con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos”), ha espresso preoccupazioni in merito all’applicazione di tale misura, per le potenziali ingerenze sul piano della privacy.

In particolare, l’Autorità spagnola ha rilevato come non solo la temperatura corporea sia un dato particolare, ma anche come la relativa misurazione consenta di desumere lo stato di salute e di eventuale contagio dell’interessato e ciò non solo ai soggetti incaricati di effettuare tale attività ma anche ai terzi, laddove la rilevazione sia svolta pubblicamente e non all’interno di aree/presidi “protetti” e, infine, come un eventuale diniego di accesso possa comunque influire sulla condizione psicologica/emotiva del soggetto interessato.

Quanto sopra potrebbe indurre il titolare a considerare, con riferimento al proprio contesto, di effettuare una valutazione d’impatto, laddove, come previsto dall’ art. 35 del GDPR, vi siano, in particolare, trattamenti su larga scala di categorie particolari di dati personali (tra cui i dati consistenti nella temperatura corporea dei soggetti interessati).

Analoghe considerazioni si rinvengono nella guida rivolta ai datori di lavoro recentemente pubblicata dall’Autorità di controllo inglese (Information Commissioner’s Office) in tema di “Workplace testing”, in cui – in applicazione del principio di accountability – è richiamato il precipuo fondamento della valutazione di impatto, volta a comprovare e giustificare la conformità delle scelte del titolare alla luce della disciplina in materia di protezione dei dati personali.

Va altresì tenuto conto che, in alcuni casi, le imprese per sopperire all’adozione della misura in questione, hanno fatto ricorso a modelli di autocertificazione, da far sottoscrivere ai propri dipendenti e, in taluni casi, anche a soggetti terzi, quali clienti, fornitori o visitatori.

Anche tale prassi necessita, tuttavia, di attenta considerazione, sia per la massiccia raccolta di documenti cartacei che ne deriverebbe sia per il trattamento di dati personali, compresi quelli relativi alla salute, in taluni casi sproporzionato e non rispettoso del principio di minimizzazione, che inevitabilmente esporrebbe i titolari a oneri e responsabilità, tanto che nelle Indicazioni operative per la tutela della salute negli ambienti di lavoro non sanitari -Manuale per la riapertura delle attività produttive – della Regione Veneto, per le imprese di minori dimensioni (micro e piccole imprese, ditte individuali e imprese a conduzione familiare) è previsto che la misurazione della temperatura corporea possa essere sostituita da una dichiarazione – anche verbale – relativa allo stato di salute generale ed all’assenza di sintomi simil influenzali.

Tale indicazione evidentemente tiene conto delle peculiarità di realtà imprenditoriali caratterizzate dalla presenza di numeri esigui di persone e degli evidenti aggravi che incomberebbero sul titolare per effetto della raccolta dei moduli di autocertificazione.

Un accenno, infine, va fatto al ricorso da parte dei datori di lavoro a tecnologie più complesse, per la rilevazione della temperatura, tra cui, ad esempio, le termocamere. Anche con riferimento a tali strumenti è, comunque, raccomandata un’attenta preliminare valutazione in merito alle caratteristiche tecniche degli stessi, sia alla luce delle disposizioni in tema di protezione dei dati personali che alla luce di quelle giuslavoristiche, in tema di controllo dei lavoratori.

Quanto alle implicazioni sul fronte data protection, in conseguenza dell’adozione di tali strumenti, va richiamata l’attenzione su una serie di valutazioni e adempimenti che incomberebbero sul titolare, tra cui:

(i) l’integrazione del registro dei trattamenti,

(ii) lo svolgimento di una valutazione d’impatto,

(iii) la designazione dei soggetti autorizzati ad accedere ai dati in caso di superamento della soglia della temperatura,

(iv) le attività di istruzione/formazione degli stessi,

(v) la nomina dei soggetti responsabili dei trattamenti conseguenti alla manutenzione delle apparecchiature oltre che

(vi) la redazione di un’informativa ad hoc.

A fronte delle maggiori facilitazioni ed opportunità offerte dalla tecnologia, è evidente l’impatto per le imprese da punto di vista della protezione dei dati personali sarebbe comunque rilevante.

 

4. Test sierologici

Un’ulteriore misura adottata dalle imprese e non specificamente prevista nei Protocolli riguarda la messa a disposizione del personale test sierologici.

Anche in questo caso, gli impatti sul piano della protezione dei dati personali richiedono attente valutazioni.

Con riferimento ai test sierologici, l’Autorità Garante per la protezione dei dati personali ha recentemente integrato le proprie “FAQ” fornendo indicazioni in merito al quesito relativo alla possibilità che il datore richieda l’effettuazione di test sierologici ai propri dipendenti.

In proposito, il Garante ha, innanzitutto, precisato che, nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, tale misura possa essere adottata “solo se disposta dal medico competente”, chiamato, in particolare, a “suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori”.

Tale indicazione va coordinata con i rilievi recentemente espressi nella  circolare  del Ministero della Sanità del 29 aprile scorso, avente ad oggetto “Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-Cov-2 negli ambienti di lavoro e nella collettività”, con la quale il Ministero ha rilevato come allo stato attuale i test sierologici disponibili non siano caratterizzati “da una sufficiente validità” ai fini del giudizio di idoneità nell’ambito della sorveglianza sanitaria.

Inoltre, sempre in ottica data protection, il Garante ha rilevato come i dati relativi alla diagnosi o all’anamnesi familiare dei lavoratori non debbano essere oggetto di trattamento da parte dei datori di lavoro (fatta eccezione per i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni stabilite dal medico competente) e che, oltre alle campagne di screening avviate dalle autorità sanitarie competenti, il datore possa, sostenendone in tutto o in parte, i relativi costi, proporre ai propri dipendenti l’effettuazione di test sierologici, senza in ogni caso poter conoscere l’esito dei test.

 

5. Rilevi conclusivi

Come si può notare, le misure poste in essere ai fini di prevenzione del contagio da COVID-19 comportano una serie di oneri e responsabilità, destinati ad assorbire le imprese in svariati ambiti, non solo quello economico.

Consistenti, sono, infatti, gli adempimenti che gravano sul datore di lavoro, tra cui vanno ricompresi anche quelli conseguenti all’applicazione della disciplina in materia di protezione dei dati personali.

Proprio per tale ragione e tenuto conto altresì dei pesanti impatti derivanti dalla c.d. “pandemia economica”, che inevitabilmente sta producendo i propri effetti a carico dell’intero sistema economico, si rende opportuna una sospensione – per facilitare la ripresa delle attività a seguito della fase di lockdown – dell’applicazione delle pesanti sanzioni pecuniarie introdotte dal GDPR inconciliabili con la situazione attuale, a vantaggio degli ulteriori poteri di intervento, di cui il Garante è depositario, altrettanto e anzi ancor più efficaci in ottica di adeguamento al GDPR (come giustamente notato da Bolognini).

In proposito, alcuni autori hanno proposto una moratoria, almeno per l’anno in corso, delle sanzioni amministrative pecuniarie previste dal GDPR, che inevitabilmente – se applicate - pregiudicherebbero in maniera considerevole e, in taluni casi, irrimediabilmente le imprese, con evidente pregiudizio per l’intero sistema economico.