La situazione di emergenza determinata dalla diffusione del Covid 19 sta influenzando anche l’organizzazione delle aziende che hanno già riaperto, o che apriranno dal prossimo 4 maggio. Infatti, le aziende dovranno attenersi alle indicazioni contenute nel Protocollo delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro previste nel DPCM del 26 aprile 2020 – Allegato 6 e garantire la sicurezza sul posto di lavoro.
L’implementazione delle misure di prevenzione e contenimento del virus comporteranno inevitabilmente il trattamento dei dati personali dei dipendenti e di tutti coloro che a vario titolo accederanno nei locali aziendali. Il trattamento dei dati personali dovrà essere effettuato rispettando i principi enunciati dall’articolo 5 del GDPR. In particolare i dati personali dovranno essere:
a) raccolti in modo corretto e trasparente: l’interessato dovrà essere informato sulla base giuridica ( nel caso specifico l’adempimento di un obbligo di legge ) e sulle finalità e modalità di trattamento;
b) i dati raccolti devono essere pertinenti e adeguati rispetto alla finalità per le quali sono trattati. Quindi si dovrà valutare quali dati personali sono realmente necessari per raggiungere la finalità del trattamento ( in questo caso la prevenzione del virus);
c) le operazioni di trattamento dovranno avvenire in modo da garantire un ‘adeguata sicurezza dei dati personali. I datori di lavoro dovranno, quindi, attuare il principio di Privacy by design e valutare con il medico competente, responsabile della sicurezza, quali dati personali dovranno essere raccolti per garantire la sicurezza sul posto di lavoro.
Successivamente, prevedere e implementare le misure tecniche ed organizzative finalizzate a garantire la riservatezza, integrità e disponibilità dei dati personali.
Nello specifico, la prima attività di trattamento dei dati, prevista dal punto 2 di detto Protocollo, è il rilevamento della temperatura corporea del soggetto che accede nei locali aziendali. Con tale operazione di trattamento ( che non sembra obbligatoria) viene rilevata la temperatura corporea dell’interessato, al fine di consentire l’accesso solo a chi ha una temperatura inferiore a 37,5°.
Questa informazione rientra nella definizione di dato personale relativo alla salute, con la conseguenza che il loro trattamento deve essere oggetto di specifiche valutazioni e attenzioni, al fine di implementare le misure di sicurezza adeguate alla loro protezione.
Il datore di lavoro, in qualità di titolare, deve quindi valutare l’opportunità e la necessità di trattare tali dati personali. Il Protocollo suggerisce di evitare la registrazione di questo dato e limitarsi sono a rilevarlo per permettere l’accesso.
Pertanto, è consigliabile limitarsi a registrare solo l’identità ( nome e cognome) di coloro che accedono ai locali aziendali, dando per definito che chi accede ha una temperatura corporea inferiore al limite stabilito. Prevedendo, come unica eccezione, il caso in cui l’interessato abbia una temperatura corporea superiore a 37,5.
Infatti, il Protocollo in questo caso prevede di avvertire le autorità sanitarie e, solo se necessario, documentare il motivo dell’accesso negato. Sempre nella fase di accesso ai locali aziendali, il datore di lavoro dovrà fornire all’interessato l’informativa privacy con i contenuti previsti dall’articolo 13 del GDPR.
Al riguardo, si potrà indicare come:
Finalità: prevenzione dal contagio da COVID-19 sul posto di lavoro.
Base giuridica: attuazione del protocollo di sicurezza anti-contagio previsti dal DPCM 11 marzo 2020 e del successivo DPCM 26 aprile 2020 – Allegato 6.
Durata del trattamento: fino al termine dello stato d’emergenza, ufficializzato dal Consiglio dei Ministri il 31.01.2020.
Le modalità di comunicazione dell’informativa all’interessato possono essere diverse, semplicemente potrà essere esposta in prossimità del luogo in cui avviene la misurazione. Inoltre, considerato che i dipendenti hanno già ricevuto l’informativa privacy, potrà essere fornita un’informativa semplificata, cioè priva delle informazioni già comunicate.
Infine, considerato che il rilevamento della temperatura avviene sulla base di una procedura documentata, è da considerare superfluo e ridondante far sottoscrivere l’informativa privacy a chi accede ai locali aziendali.
Nel caso dei dipendenti, l’informativa privacy potrà essere inviata per email unitamente alle altre comunicazioni previste dal Protocollo.
Dal punto di vista organizzativo, dovranno essere individuati e formalmente autorizzati i soggetti preposti al trattamento dei dati e fornire loro le istruzioni necessarie. In conclusione, salvo nuovi DPCM, il datore di lavoro dovrà:
1 – Nominare la persona autorizzata a rilevare la temperatura corporea dell’interessato che accede sul posto di lavoro;
2 – predisporre un’ informativa e renderla disponibile nel punto di rilevazione della temperatura corporea;
3 – in caso di livello della temperatura superiore a 37,5° prevedere con il responsabile della sicurezza e /o medico competente una specifica procedura. In caso di negato accesso ai locali aziendali, potrà essere necessaria la predisposizione di una dichiarazione a firma del Titolare o di un suo delegato. Copia di detta dichiarazione dovrà essere conservata nei termini di legge ed ai soli fini di archiviazione e verifica di eventuali problematiche.
4- prevedere determinate procedure al fine di garantire, nel caso di superamento della soglia di temperatura dell’interessato, la riservatezza e la dignità del lavoratore.