Il rispetto della privacy del lavoratore da parte del datore di lavoro nel contenimento dell’emergenza epidemiologica da COVID-19
a cura dell’avv. Cristiano Cominotto – presidente di A.L. Assistenza Legale e della Dr.ssa Cristina Sofia Barracchia
Il persistente stato di emergenza causato della diffusione del COVID-19 in cui attualmente versa il nostro paese continua a creare incessante panico tra chi cerca costantemente e con ogni mezzo di arginarlo.
Tra questi figurano i datori di lavoro, che pur continuando ad attenersi scrupolosamente ai provvedimenti di emergenza emanati dal Governo nelle ultime settimane, hanno iniziato ad adottare ulteriori misure (c.d. fai da te), non espressamente autorizzate dalla legge, nel tentativo di ridurre e minimizzare i rischi di contagi sul posto di lavoro, come ad esempio la registrazione degli spostamenti del lavoratore e la misurazione della sua temperatura prima di decidere se farlo accedere o meno al posto di lavoro.
Un comportamento a prima vista banale, che non farebbe altro che integrare i più elementari canoni di buon senso ma che dischiude ben rilevanti problematiche se consideriamo che i dati di cui parliamo sono a tutti gli effetti dati relativi alla salute personale del lavoratore e che, pertanto, devono essere gestiti nel rispetto del Regolamento 2016/679/UE sulla privacy.
Fin dove può spingersi dunque il titolare d’azienda per tutelare la sua attività e la salute dei suoi dipendenti?
È assolutamente indubbio che la responsabilità di tutelare i lavoratori dal rischio biologico risiede, ai sensi della normativa vigente, in capo al datore di lavoro (D. lgs. 81/2008), ma è necessario mantenere qualsiasi iniziativa nei labili confini della legittimità, onde evitare di incorrere nel rischio di ledere diritti fondamentali dell’individuo. In che maniera? Sicuramente contemperando le esigenze di contenimento dell’emergenza epidemiologica con il rispetto del diritto alla privacy di ciascun lavoratore, diritto quest’ultimo che può essere legittimamente limitato solo se le restrizioni corrispondono ai principi di necessità, proporzionalità e legalità.
Per capire se le iniziative fai da te adottate dai datori di lavoro sono lecite, bisogna innanzitutto fare un passo indietro e chiarire se esse vadano o meno ad integrare il trattamento di una particolare categoria di dati sensibili. La risposta ci arriva direttamente dal Regolamento 2016/679/UE (GDPR) che, all’art. 9, include i dati relativi alla salute in quella particolare categoria di dati personali oggetto di protezione da parte della stessa normativa.
Il medesimo articolo chiarisce poi quali sono gli unici e tassativi casi in cui trattare questi specifici dati risulta lecito. Nello specifico:
• «qualora vi sia il consenso esplicito dell’interessato»;
• «qualora risulti necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato»;
• «qualora risulti necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato»;
• «qualora risulti necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale».
Nulla questio dunque se il datore di lavoro ha preventivamente acquisito il consenso da parte dell’interessato in relazione alle finalità e modalità del trattamento, che dovranno essere comunque sempre conformi al principio di minimizzazione, fornendo ai lavoratori adeguata informativa privacy contenente tutte le informazioni richieste dal Regolamento privacy e che, quindi, illustri in dettaglio (tra l’altro) anche i tempi di conservazione dei dati e i soggetti a cui le informazioni saranno comunicate.
Tuttavia, bisogna tenere in debito conto che in ambito lavoristico il consenso prestato dall’interessato non potrà mai considerarsi completamente avulso da qualsiasi condizionamento in quanto, per la stessa natura del rapporto non paritario che intercorre tra lavoratore e datore di lavoro, mancherebbe l’essenziale requisito della parità tra le parti quale garanzia della libertà e dell’assenza di condizionamento nella prestazione del consenso, necessario per garantire la legittimità della misura.
D’altra parte non si può neanche sostenere che tale legittimità derivi dalla legge. Lo statuto dei lavoratori, infatti, fa esplicito divieto al datore di lavoro di procedere ad effettuare direttamente accertamenti medici o epidemiologici sui propri dipendenti (e tanto meno di deciderne le tipologie), precisando che le finalità di medicina preventiva o di medicina del lavoro devono essere determinate dall’ordinamento. Sarebbe opportuno, dunque, che qualsiasi datore si astenesse dall’effettuare controlli senza alcuna autorizzazione e qualifica medica, in quanto tale violazione potrebbe esporlo a pesanti sanzioni penali.
Anche i decreti finora emanati dal Governo (rispettivamente il 23 febbraio, l’ 1e il 4 marzo 2020), pur ponendo in capo alle autorità competenti il dovere di adottare “ogni misura di contenimento e gestione adeguata e proporzionata all’evolversi della situazione epidemiologica“, e prevedendo, tra le altre, misure come la sospensione o la limitazione delle attività lavorative per le imprese, allo scopo di evitare il diffondersi del COVID-19 in determinate aree del territorio nazionale, non concedono al datore di lavoro potere alcuno di iniziativa nell’adottare provvedimenti attuativi delle misure di contenimento. Un tale potere potrebbe invece desumersi dal codice civile, che all’articolo 2087, rubricato Tutela delle condizioni di lavoro, stabilisce che il datore di lavoro «è tenuto ad adottare nell’esercizio dell’impresa le misure che […] sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro».
Sulla base di tale assunto, la dottrina distingue le misure che datore di lavoro è chiamato ad adottare in:
• misure tassativamente imposte dalla legge;
• misure generiche dettate dalla comune prudenza;
• misure ulteriori che in concreto si rendano necessarie.
Tali incisi lascerebbero dunque spazio al potere di iniziativa del datore di lavoro nell’adottare ogni tipo di misura che si renda necessaria per tutelare la salute dei propri dipendenti, in ottemperanza a quanto previsto dall’articolo 32 e dall’articolo 41 della Costituzione, che sanciscono rispettivamente il diritto alla salute e l’obbligo che la libera iniziativa economica si svolga nel rispetto della sicurezza, della libertà e della dignità umana.
A far chiarezza sulla questione interviene definitivamente, lo scorso 2 marzo, un comunicato stampa del Garante della Privacy che, recependo i solleciti delle competenti istituzioni, esorta tutti i titolari del trattamento, dunque anche i datori di lavoro, ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni stesse per la prevenzione della diffusione del COVID-19, senza dar luogo ad autonome iniziative che prevedano la raccolta di dati, anche sulla salute dei lavoratori, che non siano normativamente previste o disposte dagli organi competenti.
Egli precisa, dunque, che i datori di lavoro devono astenersi dal raccogliere, anche attraverso specifiche richieste al singolo lavoratore o accertamenti non consentiti, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e sui suoi recenti spostamenti, in quanto gli unici soggetti autorizzati a raccogliere tali informazioni sono quelli istituzionalmente investiti di tale funzione dalle competenti autorità in qualità di organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Resta comunque fermo l’obbligo del lavoratore di portare a conoscenza del datore di lavoro qualsiasi situazione di rischio o pericolo per la salute e la sicurezza sui luoghi di lavoro.
Il Ministro per la pubblica amministrazione è recentemente intervenuto a riguardo, disponendo indicazioni operative per i pubblici dipendenti e per coloro che operano a vario titolo presso la P.A., ponendo a loro carico l’obbligo di segnalare all’amministrazione di provenire da un’area a rischio, anche attraverso appositi canali dedicati predisposti appositamente dal datore di lavoro.
Persiste, altresì, il dovere del datore di lavoro di comunicare agli organi preposti l’eventuale aumento del rischio sul posto di lavoro e di ottemperare agli altri doveri di sorveglianza sanitaria sui lavoratori attraverso il medico competente, come, ad esempio, sottoporre ad una visita straordinaria i lavoratori più esposti.
Quanto al trattamento dei dati personali raccolti nell’ambito dell’attività di sorveglianza, l’articolo n. 2 dell’Ordinanza 21 febbraio 2020 del Ministero della Salute ha recentemente chiarito che essi «vengono trattati dall’Autorità sanitaria competente per motivi di interesse pubblico nel settore della sanità pubblica, ai sensi dell’art. 9, paragrafo 2, del regolamento (UE) 2016/679, nel rispetto delle disposizioni vigenti in materia di protezione dei dati personali, ivi incluse quelle relative al segreto professionale, e in relazione al contesto emergenziale in atto. La documentazione acquisita viene distrutta trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto».