Tutela della privacy durante l’emergenza epidemiologica da coronavirus: diritti, deroghe, limiti nella gestione del rapporto di lavoro
di Luciana D'Andretta
La gravissima emergenza che la nazione sta affrontando a causa del COVID-19 ha imposto l’adozione di provvedimenti di vario rango, anche nell’ambito della gestione dei rapporti di lavoro, limitativi di diritti fondamentali, ma necessari per contenere il numero dei contagi. A tale riguardo sono intervenuti la Protezione civile, il Capo del Governo, il Garante per la privacy e l’European Data Protection Board, legittimando misure restrittive, purché temporanee, proporzionate e volte a salvaguardare il superiore interesse pubblico alla salute.
Lo stato di emergenza del nostro Paese e la diffusione di una pandemia globale
Il 31 dicembre 2019 la Commissione sanitaria municipale di Wuhan in Cina ha segnalato all’Organizzazione mondiale della sanità (di seguito Oms) una serie di casi di polmonite di origine ignota nella città di Wuhan, nella Provincia cinese di Hubei.
Il 9 gennaio 2020, il Centro per il controllo e la prevenzione delle malattie in Cina ha reso pubblica l’identificazione di un nuovo coronavirus, provvisoriamente denominato dalle Autorità sanitarie internazionali “Virus 2019-nCoV”, come causa eziologica della malattia respiratoria denominata COVID-19 (“Corona Virus Disease 2019”).
L’emergenza globale da coronavirus è stata proclamata dall’Oms il 30 gennaio 2020, ai sensi dell’articolo 12 del Regolamento sanitario internazionale (R.S.I.; International Health Regulations, I.H.R.). L’Oms, infatti, ha dichiarato ufficialmente l’epidemia di coronavirus in Cina “emergenza di sanità pubblica di rilevanza internazionale” (P.H.E.I.C., Public Health Emergency of International Concern), evidenziando, il successivo 28 febbraio, la minaccia di diffusione di tale virus su scala mondiale a livello “molto alto”.
Nelle seguenti 2 settimane il numero di casi di COVID-19 al di fuori della Cina è aumentato di 13 volte e il numero di Paesi colpiti si è triplicato. Per queste ragioni, l’11 marzo 2020 l’Oms ha conclamato il nuovo coronavirus come pandemia, invitando tutti i Paesi ad adottare misure stringenti al fine di impedire ulteriori casi di infezioni.
Già prima di tale data, in Italia, con provvedimento del 30 gennaio 2020, era stato ufficializzato da parte del Consiglio dei Ministri, anche nel nostro Paese, lo stato di emergenza per 6 mesi dalla data del provvedimento, al fine di consentire l’emanazione delle necessarie ordinanze di Protezione civile, in deroga a ogni disposizione vigente e nel rispetto dei principi generali dell’ordinamento giuridico.
Con la medesima delibera sono stati, altresì, stanziati i primi fondi necessari per dare attuazione alle misure precauzionali derivanti dalla dichiarazione di emergenza internazionale effettuata dall’Oms.
Sono seguiti, quindi, nelle settimane successive, una serie di interventi, via via sempre più severi e restrittivi, volti a contenere il più possibile il diffondersi del virus.
Tali circostanze – del tutto inaspettate, eccezionali e contingenti – hanno fatto emergere la necessità di un bilanciamento tra interessi privatistici e pubblicistici; in particolare, tra l’interesse alla riservatezza dei dati personali dei lavoratori e l’interesse alla salute e sicurezza sul lavoro. Si è posto, dunque, un problema di salvaguardia della privacy dei dipendenti in tale frangente.
La tutela di privacy, salute e sicurezza dei lavoratori secondo le disposizioni vigenti in Italia al momento dell’insorgere del virus
Da tale gravissima emergenza sanitaria è sorta, dunque, l’esigenza di operare una valutazione e un contemperamento tra i diversi interessi giuridici coinvolti, partendo dai principi sottesi alla normativa attualmente vigente.
Analizziamo, dunque, quali sono le regole che rilevano nel caso di specie in materia di privacy e di salute e sicurezza sul lavoro.
Sotto il primo profilo, occorre prendere in esame quanto dispone il Regolamento U.E. 679/2016 (di seguito GDPR), in particolare all’articolo 23, paragrafo 1; al considerando n. 4; all’articolo 6.1, lettera e); all’articolo 9, commi 1 e 2.
L’articolo 23, paragrafo 1, e il considerando n. 4 del GDPR introducono alcune possibili limitazioni all’applicazione dei principi in materia di protezione dei dati personali, qualora necessarie per tutelare interessi generali valutati come prevalenti, nel rispetto dei principi di proporzionalità, necessità, sicurezza e qualora rivolte al perseguimento di scopi di interesse generale riconosciuti dall’UE o legate alla necessità di proteggere diritti e libertà altrui (conformemente a quanto previsto dall’articolo 8, CEDU, e dall’articolo 52, Carta UE).
Secondo l’articolo 6.1, lettera e), GDPR, i trattamenti risultano leciti qualora “necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Statuisce, infine, l’articolo 9, comma 1, GDPR, che “È vietato trattare […] dati relativi alla salute”, fornendo al comma 2 un lungo elenco di ipotesi di inapplicabilità del disposto generale di cui al comma 1. Ricordiamo, come eccezioni, menzionandoli a titolo esemplificativo, i seguenti casi:
“a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato; […]
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale […]”.
Per quanto concerne la normativa in materia di salute e sicurezza sul lavoro, risulta utile richiamare il disposto dell’articolo 2087, cod. civ., l’articolo 5, L. 300/1970, e l’articolo 41, D.Lgs. 81/2008 (T.U. sicurezza).
Più precisamente, l’articolo 2087, cod. civ., impone al datore di lavoro di “adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei datori di lavoro”.
In virtù di quanto disposto dall’articolo 5, St. Lav., in materia di accertamenti sanitari, commi 1, 2 e 3: “Sono vietati accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Il controllo delle assenze per infermità può essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, i quali sono tenuti a compierlo quando il datore di lavoro lo richieda. Il datore di lavoro ha facoltà di far controllare la idoneità fisica del lavoratore da parte di enti pubblici ed istituti specializzati di diritto pubblico”.
Infine, si ricorda che, ai sensi dell’articolo 41, T.U. sicurezza, la sorveglianza sanitaria sui dipendenti è demandata al medico competente.
In sintesi, secondo il quadro normativo italiano, da un lato, è possibile derogare alle garanzie di privacy qualora vi siano superiori interessi pubblici in gioco e, dall’altro, è compito del datore di lavoro preservare la sicurezza dei propri lavoratori. I necessari interventi e controlli non possono, tuttavia, prescindere dal rispetto di opportune cautele nei riguardi del dipendente.
L’ordinanza n. 630/2020 del Dipartimento della Protezione civile e il parere favorevole del Garante privacy
Stando, dunque, ai principi sopra evidenziati, il diritto alla privacy non costituisce un diritto assoluto, ma può essere limitato ai fini del perseguimento di un obiettivo di interesse pubblico generale preminente o per proteggere diritti e libertà altrui.
Ed è proprio sulla base di tale assunto che, con l’ordinanza n. 630/2020, il Capo del Dipartimento della Protezione civile ha imposto una serie di limitazioni relative all’esercizio di alcuni diritti civili fondamentali dei soggetti coinvolti nell’emergenza coronavirus, tra i quali quello alla protezione dei dati personali, in ragione dell’interesse pubblico generale alla tutela della salute pubblica.
Specificamente, con l’articolo 5 della citata ordinanza, è stato stabilito che, nell’attuazione delle attività di protezione civile descritte in detto provvedimento, per assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, i soggetti che operano nel Servizio nazionale di Protezione civile e quelli individuati dall’ordinanza stessa, possano realizzare trattamenti (compresa la comunicazione tra loro) dei dati personali, anche relativi agli articoli 9 e 10, GDPR, necessari per l’espletamento della funzione di protezione civile, al ricorrere dei casi di cui agli articoli 23, comma 1, e 24, comma 1, D.Lgs. 1/2018 (codice della Protezione civile)[1], fino al 30 luglio 2020.
La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli sopra indicati, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10, GDPR, può essere svolta solo nei casi in cui risulti “indispensabile”, ai fini dello svolgimento delle attività di cui all’ordinanza medesima. Il trattamento dei dati deve, comunque, essere effettuato nel rispetto dei principi di cui all’articolo 5, GDPR, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
Ci sembra utile evidenziare che, prima della sua emanazione, la bozza dell’ordinanza era stata trasmessa al Presidente del Collegio Garante per la protezione dei dati personali in Italia, Antonello Soro, affinché esprimesse il proprio giudizio al riguardo.
Il Presidente Soro, con parere del 2 febbraio 2020, ha considerato le disposizioni contenute nella suddetta ordinanza idonee a rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali nel contesto di una situazione di emergenza, quale quella che stiamo vivendo, così avallando la possibilità di comprimere il diritto alla riservatezza in ragione del diffondersi del coronavirus.
Resta fermo, in ogni caso, quanto in generale previsto dal Garante privacy, ovvero che i principi di legittimità e determinatezza del fine perseguito, nonché della sua proporzionalità, correttezza e non eccedenza, impongono una gradualità nell’ampiezza e tipologia dell’intervento. I controlli più invasivi sono, quindi, legittimi solo a fronte della rilevazione di specifiche esigenze e sempre garantendo che sia adottata la soluzione meno limitativa possibile per i diritti dell’interessato coinvolto.
Il D.L. 6/2020 e il D.P.C.M. 1° marzo 2020
All’ordinanza in parola hanno fatto seguito il D.L. 6/2020 (poi convertito con modificazioni nella L. 13/2020) e il D.P.C.M. 1° marzo 2020.
Il D.L. 6/2020, al fine di evitare il diffondersi del COVID-19 nei Comuni o nelle aree in cui risultasse positiva almeno una persona per la quale non si conoscesse la fonte di trasmissione, o comunque in cui vi fosse un caso non riconducibile a una persona proveniente da un’area già interessata dal contagio di tale virus, ha imposto alle Autorità competenti di “adottare ogni misura di contenimento e gestione adeguata e proporzionata all’evolversi della situazione epidemiologica”.
Tra le misure di cui al comma 1 sono state previste anche sospensioni o limitazioni delle attività lavorative per le imprese.
Il Legislatore ha ritenuto, dunque, non necessario introdurre deroghe ai principi generali sopra esposti, non avendo conferito al datore di lavoro, ma solo alle Autorità competenti, il potere autonomo di introdurre provvedimenti attuativi di misure di contenimento del virus.
Una settimana dopo, il D.P.C.M. ha previsto ulteriori disposizioni in materia di contenimento e gestione dell’emergenza epidemiologica in corso. In particolare, con l’articolo 3, D.P.C.M., sono stati imposti determinati obblighi, operanti sull’intero territorio nazionale, in capo al lavoratore che sia transitato in una zona a rischio.
Nello specifico, è stato stabilito che chiunque sia rientrato in Italia nei 14 giorni precedenti il 1° marzo 2020, dopo aver soggiornato in una delle zone a rischio epidemiologico, come identificate dall’Oms, o sia transitato o abbia sostato nel territorio dei Comuni delle c.d. zone rosse[2], è tenuto a informare dell’eventualità di contagio il Dipartimento di prevenzione dell’azienda sanitaria competente per territorio e il proprio medico di base (ovvero il pediatra di libera scelta), attraverso i canali designati dalle Regioni.
In ragione di quanto disposto si è creato, in concreto, un clima di allarme e di incertezza in ambito lavorativo, non sapendo i datori di lavoro, pubblici e privati, come dar corso in concreto a tale direttiva. In diversi casi, infatti, le imprese hanno effettuato raccolte autogestite dei dati dei prestatori di lavoro e di quanti (visitatori, fornitori, consulenti, etc.) avessero accesso, per qualunque ragione, nei locali dell’azienda, con riguardo all’assenza dei sintomi influenzali, al fatto che si fossero recentemente recati nelle zone colpite dal virus o che fossero entrati in contatto con persone legate a tali aree.
I metodi impiegati sono stati i più disparati (termoscanner per la misurazione della temperatura corporea, questionari, autodichiarazioni, etc.), tutti comunque volti ad acquisire informazioni relative alla sfera privata.
L’obiettivo dei datori di lavoro non lasciava spazio a dubbi: garantire la salute e la sicurezza di tutto il personale, evitare un’eventuale chiusura dell’azienda da parte delle Autorità preposte, nonché scongiurare la quarantena di tutti i colleghi, qualora un lavoratore risultasse positivo al test per COVID-19. Come, invece, perseguire tale obiettivo, adottando la misura meno invasiva possibile per la riservatezza, non era affatto chiaro. Ed è proprio per questo che numerosi datori di lavoro si sono rivolti direttamente al Garante privacy, domandando se fosse lecito porre in essere le soluzioni organizzative nel frattempo da loro ideate.
Il provvedimento del 2 marzo 2020 del Garante privacy e il divieto di raccolte di dati “fai da te”
Come sopra evidenziato, il Garante per la protezione dei dati personali ha ricevuto numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere informazioni da parte del proprio personale circa la presenza di sintomi da coronavirus e notizie sugli ultimi spostamenti degli stessi.
La questione ha riguardato, in particolare, sia la richiesta ai lavoratori di compilare questionari autocertificando i propri dati personali (relativi alla salute, nonché alla sfera personale e familiare), sia la misurazione coatta della loro temperatura corporea tramite termoscanner.
I sindacati hanno protestato di fronte all’adozione di tali misure, considerandole lesive della privacy, dell’articolo 5, St. Lav., e del D.P.C.M. 1° marzo 2020, che attribuisce tale competenza al solo personale di sanità pubblica.
Ci si è chiesti, a tal proposito, se fosse possibile risolvere il problema raccogliendo il consenso espresso da parte del dipendente all’impiego di tali sistemi, sulla base di quanto previsto nel summenzionato articolo 9, comma 2, lettera a), GDPR. Ma non è parsa questa la soluzione percorribile, sotto molteplici aspetti: il nome del dipendente non sarebbe anonimo o minimizzato; il consenso non verrebbe prestato in piena libertà, dato lo stato di soggezione del lavoratore nei confronti del datore di lavoro; il datore di lavoro si arrogherebbe il compito di sorveglianza sanitaria, spettante in via esclusiva al medico competente.
Interrogato su tali questioni, in data 2 marzo 2020, il Garante privacy ha precisato che “i datori di lavoro devono […] astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”.
L’accertamento e la raccolta di informazioni relative ai sintomi tipici del coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Nel contempo, sempre come specificato dal Garante, “resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro”.
Una soluzione potrebbe essere quella di consentire al datore di lavoro, in questi casi, di avvalersi del medico competente per l’effettuazione dei suddetti controlli, in maniera tale da minimizzare i dati (conformemente a quanto previsto con il GDPR) e, contestualmente, tutelare la salute dei lavoratori (come disciplinato dal T.U. sicurezza).
Infatti, ai sensi dell’articolo 2087, cod. civ., la misurazione della temperatura corporea e il rilascio di dichiarazioni aventi i contenuti sopra indicati possono essere considerati come misura di gestione preventiva dell’emergenza, a condizione che la sorveglianza sanitaria sui dipendenti sia demandata al medico competente e nel rispetto di quanto disposto dall’articolo 5, St. Lav..
A tal fine, il datore di lavoro dovrà procedere ad aggiornare il DVR, indicando il medico competente che stabilisca tali pratiche come adatte a prevenire il rischio di diffusione del coronavirus, con criteri di diligenza e prudenza.
Il Garante, infine, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di coronavirus, ha, a propria volta, sollecitato tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
L’intervento dell’European Data Protection Board sull’applicazione della normativa per la protezione dei dati personali nel contesto della crisi legata al coronavirus
Non tutti gli Stati membri hanno adottato la stessa condotta restrittiva del Garante privacy italiano, delineata nel paragrafo che precede, e questo ha creato perplessità, soprattutto in aziende che hanno sedi e stabilimenti dislocati in diversi Paesi membri.
Si è, dunque, manifestata l’esigenza di adottare una linea d’azione comune tra i diversi Paesi dell’Unione Europea, auspicando sul punto una pronuncia dell’EDPB (European Data Protection Board, ovvero il Comitato europeo per la protezione dei dati), così da armonizzare maggiormente la disciplina a livello sovranazionale e da evitare pericolose incertezze interpretative.
Il Comitato si è finalmente espresso sul tema, in data 19 marzo 2020, pubblicando una “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19”.
Le indicazioni fornite non chiariscono tutte le questioni dibattute, ma offrono comunque alcuni spunti di riflessione interessanti.
In particolare, l’EDPB ha sottolineato che la pandemia in corso è una condizione giuridica che può legittimare restrizioni delle libertà, a condizione che le stesse siano proporzionate e limitate al periodo di emergenza. In tema di liceità del trattamento, il GDPR consente, infatti, alle Autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali anche nel corso di un’epidemia.
Secondo quanto dichiarato dall’European Board, in particolare, nel contesto lavorativo il trattamento dei dati personali può essere necessario per adempiere a un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro, o per il perseguimento di un interesse pubblico, come il controllo delle malattie e altre minacce di natura sanitaria.
Il GDPR prevede, inoltre, deroghe al divieto di trattamento di talune categorie particolari di dati personali, come quelli sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell’Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9.2, lettera c), poiché il considerando 46 fa esplicito riferimento al controllo di un’epidemia.
Per quanto riguarda, invece, il trattamento dei dati di localizzazione degli smartphone, l’EDPB dichiara che le Autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo e in forma aggregata. Come noto, infatti, si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Al contrario, misure maggiormente invasive possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. In tali casi, i provvedimenti adottati dovrebbero comunque essere soggetti a un controllo rafforzato e a garanzie più stringenti.
Pur se l’intervento del Comitato è da ritenersi apprezzabile, le indicazioni fornite rimangono generiche e non offrono una soluzione definita alle questioni sopra evidenziate. Ulteriori chiarimenti sarebbero auspicabili, in particolare in questa difficile congiuntura dove la tensione tra rispetto della privacy e gli interessi di salute pubblica appare lampante.
Si confida che l’EDPB torni ad occuparsi di questi temi nelle prossime settimane, magari proponendo linee guida più dettagliate che offrano appigli concreti su come le aziende devono comportarsi per garantire il contestuale rispetto di riservatezza e salute.
Altri chiarimenti probabilmente giungeranno anche dalle diverse Autorità garanti della privacy nazionali, considerando che gli Stati membri sembrano voler seguire approcci diversi, soprattutto per quanto riguarda il monitoraggio tecnologico del diffondersi del virus.
[1] Si tratta delle emergenze, previste all’articolo 7, codice della Protezione civile, “connesse con eventi calamitosi di origine naturale o derivanti dall’attività dell’uomo”.
[2] Successivamente abolite con il D.P.C.M. 9 marzo 2020, con il quale l’intero territorio italiano è stato dichiarato “zona protetta”.
Si segnala che l’articolo è tratto da “La circolare di lavoro e previdenza“.
Centro Studi Lavoro e Previdenza – Euroconference ti consiglia:
