Ed invero, ai sensi dell’art. 6 del GDPR, un trattamento è certamente lecito ove sia “
necessario all'esecuzione di un contratto di cui l'interessato è parte”, o sia “
necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (che nel caso di specie è il datore di lavoro), od anche ove “
il trattamento sia determinato dalla necessità di salvaguardare gli interessi vitali dell'interessato o di un'altra persona fisica”.
Ciò premesso, al fine di offrire chiarezza alle Strutture, occorre analizzare i singoli trattamenti che si rendono necessari (o opportuni) per far fronte alla diffusione del COVID-19.
1. Rilevazione della temperatura in ingresso
Tale trattamento è imposto dalla legge e, pertanto, è lecito previa informativa al dipendente. La relativa disposizione, già prevista dal protocollo tra le parti sociali del 14 marzo 2020 è stata riportata nel protocollo di sicurezza del 24 aprile, che è confluito nel DPCM del 26 aprile, non ancora pubblicato, il quale, all’art. 2 co. 6, dispone espressamente che “le imprese le cui attività non sono sospese rispettano i contenuti del protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro sottoscritto il 24 aprile 2020 fra il Governo e le parti sociali”.
Di tal che tale trattamento è certamente legittimo, ma deve essere preceduto da un’adeguata informativa al dipendente (nonché ai soggetti terzi che transitano in struttura), con particolare riferimento alla non conservazione dei dati così rilevati in caso di esito negativo.
A questo punto, le aziende che abbiano già provveduto a predisporre l’informativa dovranno integrarla richiamando il protocollo del 24 aprile 2020.
2. Acquisizione e conservazione del dato rilevato
L’acquisizione e la conservazione del dato così rilevato, in caso di temperatura > o = a 37,5 costituisce un autonomo trattamento che ha una funzione differente rispetto alla semplice rilevazione della temperatura.
Ed invero, se, da una parte, la limitazione dell’accesso in struttura è determinata dalla necessità di tutela, l’acquisizione risponde al bisogno di giustificare l’assenza del dipendente dal posto di lavoro.
La conservazione di tale dato è legittima ove il soggetto sia un dipendente della struttura, atteso che, in tal caso, i dati dovranno essere comunicati ai soggetti preposti (ad esempio, all’ufficio del personale e al responsabile della sicurezza).
3. Trasmissione del dato
Come cennato, la conservazione e la trasmissione del dato è giustificata esclusivamente ove la temperatura rilevata non permetta l’accesso in Struttura. Tuttavia, la comunicazione dovrà avvenire esclusivamente ai soggetti che si configurino quali autonomi titolari del trattamento (Ufficio del personale o addetto alla sicurezza sui luoghi di lavoro) e, in ogni caso, nel rispetto degli artt. 28 e 29 del Reg. UE 2016/679. All’uopo, sarà opportuno prevedere nell’informativa che i dati non saranno diffusi o comunicati a terzi al di fuori da specifiche previsioni normative, atteso che gli stessi potrebbero essere richiesti dall’autorità sanitaria al fine di tracciare la diffusione del contagio.
4. Comunicazione dati direttamente dal lavoratore
Nella versione del 24 aprile u.s., il protocollo di sicurezza conferma l’obbligo per il dipendente di comunicare tempestivamente al datore di lavoro eventuali condizioni di pericolo e in particolare: “sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc…”. I cennati dati debbono essere trattati con le medesime modalità di cui sopra; tuttavia, ove il dipendente sia venuto in contatto con colleghi, potrebbe rendersi necessario comunicare a questi l’informazione. All’uopo è opportuno prevedere dei regolamenti interni che dal punto di vista privacy tengano presente la necessità di comunicare l’esistenza di un caso di contagio, tutelando la riservatezza dell’individuo.
5. Comunicazioni del Medico competente
Con il Protocollo del 24 aprile, le parti sociali hanno inteso rafforzare il ruolo del Medico competente, il quale, in aggiunta alle attività già previste dalla legge e dal protocollo del 14 marzo, sarà tenuto ad avere un ruolo attivo nel contenimento della diffusione del virus in azienda, da una parte, suggerendo l’adozione di eventuali ulteriori mezzi diagnostici e, dall’altra, identificando i lavoratori con particolare fragilità al fine di permettere l’adozione di ogni opportuna misura.
Tale ultima attività potrebbe comportare la trasmissione di dati particolari che, se possibile, pare opportuno limitare attraverso la previsione di specifiche policy aziendali. In argomento, sembrerebbe efficace richiedere al medico l’identificazione di macro-categorie di situazioni a rischio, senza identificare i soggetti, e dare indicazioni in merito a come il lavoratore, che rientra in una delle suddette categorie, deve comportarsi (ad esempio: contattare medico di base/competente o richiedere lavoro agile).