Le difficoltà economiche che sta vivendo il Paese e non di meno quelle sanitarie, stanno mettendo in secondo – o forse terzo – piano una priorità che sino a pochi giorni fa, anche per l’ampia risonanza data al tema dall’entrata in vigore del Regolamento UE 679/2016, c.d. GDPR, sembrava non poter più essere messa in ombra tanto nella sfera personale, quanto in quella lavorativa.
Ci si riferisce ovviamente alla tutela dei nostri dati personali.
Le notizie che ad oggi trapelano sulle prospettive che ci attendono per dar corso alla c.d. Fase 2 sono ancora molto incerte e confuse ma, ormai su più fronti, pare possa dirsi abbastanza verosimile che verrà chiesto a tutti di sacrificare la nostra privacy per consentire – non solo alle Autorità – un controllo costante sul nostro stato di salute e sui nostri spostamenti.
Domandarsi quanto tale richiesta sia lecita pare doveroso, ma soprattutto non può essere trascurata la seguente riflessione: i datori di lavoro, qualunque sia la forma organizzativa della propria impresa, come potranno essere certe di quali dati sarà per loro possibile raccogliere e trattare senza ledere i diritti dei propri dipendenti?
Quando il rifiuto di far conoscere determinati dati sarà consentito e potrà dirsi lecito?
Ad oggi manca sicuramente un approccio concreto al tema e probabilmente sarà lasciata al singolo la valutazione di che cosa è da ritenersi opportuno e/o necessario.
Unica fonte normativa allo stato è il Comunicato Stampa diffuso dal Garante lo scorso 2 marzo con il quale venivano condannate iniziative “fai da te” e incentivati comportamenti di astensione, da parte dei datori di lavoro, di raccolta dati di tipo sistematico.
Si legge nel Comunicato di riferimento “I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”.
Aggiungeva il Garante che era dovere del lavoratore comunicare “qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro”.
Di seguito il 19 marzo il Comitato Europeo ha adottato una dichiarazione mediante la quale è stato chiarito che “anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati. Occorre pertanto tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile. L’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza”.
Aggiunge, il Comitato, che “nel contesto lavorativo, il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Il RGPD prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell’Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9.2.c), poiché il considerando 46 fa esplicito riferimento al controllo di un’epidemia”.
Ciò che viene chiarito è quindi che i datori di lavoro possono ottenere informazioni personali dai propri dipendenti e/o da coloro che accedono alla propria azienda nella misura necessaria ad adempiere ai loro obblighi e a organizzare le attività lavorative, conformemente alla legislazione nazionale.
Rimane quindi, come detto in apertura, onere del singolo Titolare del Trattamento comprendere come muoversi all’interno del perimetro tracciato dalla normativa.
Un perimetro definito secondo dei principi che, poi, nella pratica, dovranno guidare scelte operative di difficile prospettazione.
Operazione molto complessa, anche in ragione del fatto che probabilmente potrebbe essere chiesto in un prossimo futuro di giustificare le scelte compiute.
Non può che essere quindi necessariamente raccomandato di verificare l’opportunità di un aggiornamento dei propri registri dei trattamenti – per coloro che ne abbiano istituito copia – e di creare alcontempo una traccia ben chiara di tutte le informative raccolte e/o diffuse nel periodo.
Per ogni approfondimento e supporto lo Studio si mantiene come sempre a disposizione.