Questo articolo è la versione aggiornata della precedente pubblicata il 30 aprile.

La prevenzione del contaggio da coronavirus, ormai è noto, comporta e comporterà cambiamenti nelle abitudini di tutti i giorni. Queste nuove abitudini, nel mondo del lavoro, impongono nuovi trattamenti di dati personali, che afferiscono alle categorie particolari (art. 9 del Regolmento UE 679/16, in precedenza “dati sensibili” secondo il Codice Privacy Dlg. 196/03), essendo dati relativi alla salute. Si precisa subito che il caso in questione rappresenta uno di quelli per cui il trattamento è lecito e non è previsto il ricorso al consenso degli interessati (in particolare, il caso di epidemie è esplicitamente riportato nel Considerando 46). La liceità dei trattamenti non esclude però il rispetto di tutte le altre forme di tutela dei diritti e delle libertà degli interessati, in particolare i principi di minimizzazione, privacy by design e by default, la riservatezza (privacy propriamente detta), la trasparenza.

In relazione ai provvedimenti legislativi specifici per il contrasto all’epidemia, essi includono indicazioni relative ai trattementi possibili o necessari e relative indicazioni sulla protezione dei dati personali; l’Autorità Garante italiana ha pubblicato, e tiene aggiornata, una raccolta delle sezioni rilevanti di questi provvedimenti, ed una serie di domande frequenti (FAQ), che rappresentano un utilissimo riferimento. Il provvedimento principale è rappresentato dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo e poi aggiornato il 24 aprile 2020, che in particolare disciplina le modalità di ingresso in azienda. Nel seguito si daranno indicazioni relativi ai trattamenti, anche solo potenziali, in questo ambito.

Oltre ai trattamenti prettamente sanitari di prevenzione del contagio, altri possibili trattamenti utili all’azienda sono:

Controllo sintomatico

Il Protocollo prevede la misurazione della temperatura come controllo sintomatico prima di poter accedere in azienda, ma le stesse considerazioni valgono per altre misurazioni (a solo titolo di esempio: la saturazione dell’ossigeno nel sangue tramite saturimetro). Come l’Autorità Garante precisa, non è ammessa la registrazione dei risultati della misurazione, che è quindi assolutamente da evitare a meno di motivate e dimostrabili ragioni. Nel caso più comune, quindi, il trattamento è molto semplice e richiede solo due adempimenti: l’istruzione dell’addetto alla misurazione e l’informativa, che può essere anche comunicata oralmente. Qualora si registrassero non i valori, ma solo l’indicazione del superamento o meno della soglia, allora è necessaria l’informativa completa, l’aggiornamento del registro dei trattamenti (con conseguente analisi dei rischi, almeno basilare, e dichiarazione dei tempi di conservazione), misure di sicurezza adeguate, etc, oltre alle istruzioni dettagliate per gli addetti alla raccolta, archiviazione, utilizzo e distruzione dei dati.

Riguardo alle istruzioni per gli addetti, esse devono contenere indicazioni inequivocabili alla riservatezza (ovvio) ed alle modalità di gestione dei casi di superamento della temperatura (come l’indicazione al lavoratore di tornare a casa e mettersi in contatto con il proprio medico di base, anche in funzione della necessità di certificato di malattia secondo le comuni prassi).

Contatti e zone a rischio

Sempre il Protocollo prevede che i lavoratori non entrino in azienda nel caso, nei 14 giorni precedenti, siano entrati in contatto con positivi al virus o provengano dalle zone a rischio dichiarate dell’OMS. Anche in questo caso, non è richiesto, e quindi è vivamente sconsigliato, di raccogliere dichiarazioni scritte. Come nel caso precedente, qualora si ritenesse di farlo per motivi validi e dimostrabili, la raccolta dei dati deve evitare inutili dettagli (identità della persona positiva, o luogo frequentato) e comunque, come nel caso precedente, si devono aggiornare o produrre tutta la documentazione organizzativa della privacy.

La modalità più semplice ma comunque corretta è porre oralmente la domanda nel momento in cui viene rilevata la temperatura, e comportarsi come nel caso di temperatura superiore al limite se la risposta fosse positiva.

Comparsa dei sintomi in azienda

Nel caso che un lavoratore od ospite sviluppi sintomi parainfluenzali o comunuque riconducibili a possibile contagio al virus mentre si trova al lavoro, egli deve ovviamente quanto prima informare l’azienda; questo significa che l’azienda deve aver previsto (ed informato i lavoratori) sui punti di contatto a cui fare riferimento per fornire l’informazione, ed aver previsto un’area isolata (e riservata) dove il lavoratore possa aspettare ulteriori valutazioni ed istruzioni (da far sanificare in seguito, insieme alle altre aree frequentate). In questa fase è necessario allertare il medico competente o le autorità sanitarie secondo le modalità stabilite dalla Regione ed attenersi alle loro indicazioni relative ai trattamenti sanitari e valutazioni sull’idoneità al lavoro.

Tracciamento dei contatti

Come tutti sanno, trovare le persone venute in contatto con un positivo al virus permette di informarle, isolarle ed eventualmente sottoporle agli esami diagnostici, allo scopo di prevenire ulteriori contagi. In questo senso, le sedi ed i locali aziendali sono ovviamente occasione di contatti che possono essere opportunamente registrati. Fatto salvo che ogni azienda dovrebbe avere il suo registro presenze per i lavoratori, è necessario tenere traccia di tutti i “visitatori”, includendo in questa terminologia tutte le persone che vengono in contatto con i lavoratori: addetti alle pulizie, corrieri, consulenti o personale di altri aziende, etc. Qualora già non esista qualcosa del genere, è opportuno predisporre un registro che riporti il nominativo, l’indicazione dell’azienda di appartenzenza, l’indicazione dei reparti o dei locali frequentati,  gli orari di entrata e di uscita (con l’accortezza che tale registro sia visibile ai soli addetti autorizzati; in particolare, bisogna evitare di usare elenchi che il visitatore compili in autonomia in cui è possibile vedere gli accessi precedenti). Si noti che la comunicazione del contatto (e quindi del possibile contagio) non spetta alle aziende, ma agli enti preposti, a cui sarà perciò necessario fornire i dati strettamente necessari, e solo quando richiesti.

In ogni caso, il datore di lavoro non può imporre di sua iniziativa strumenti digitali di tracciamento dei contatti (come l’app prevista a livello nazionale, che prevede la volontarietà dell’installazione). Qualora ciò venga richiesto dai lavoratori come forma di ulteriore tutela, è necessario individuare soluzioni che raccolgano il minimo delle informazioni necessarie, e poi individuare attentamente il processo di gestione dei dati raccolti, ed infine procedere a tutti (e probabilmente numerosi) adempimenti in termini di documentazione, analisi dei rischi (inclusa probabilmente la Valutazione di Impatto), formazione, etc.

Test diagnostici

Riguardo all’ipotesi di effettuare test rapidi (di qualsiasi tipo) il cui risultato possa abilitare all’ingresso in azienda, al momento tale pratica è assolutamente da evitare, a meno che non siano disposti dal medico competente (nell’ambito della sorveglianza sanitaria) o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica.

Diverso è il caso che l’azienda possa partecipare a sperimentazioni 0 screening (dedicati alle categorie di lavoratori ritenute a maggiorn rischio di contagio) promossi dalle autorità sanitarie: fermo restando che va verificato il protocollo d’intesa proposto, in questo caso la base giuridica dovrebbe essere la ricerca scientifica o similare, fermo restando che il singolo lavoratore dovrebbe aderire su base volontaria, senza alcuna conseguenza sul posto di lavoro. In sostanza, gli adempimenti necessari nel caso si aderisca ad una sperimentazione vanno verificati puntualmente sulla base di quanto viene richiesto.

Rientro al lavoro dopo positività

Il Procollo condiviso prevede che il rientro in azienda di un lavoratore precedentemente positivo al coronavirus debba essere preceduto da una certificazione medica di “avvenuta negativizzazione”, rilasciata dal dipartimento di prevenzione territoriale di competenza. Si presuppone che debba essere necessario conservare tale comunicazione, che costituisce certamente un dato appartenente alle categorie particolari, per cui è necessario predisporre la limitazione all’accesso di tale comunicazione ai soli addetti indispensabili (presumibilmente, la sola funzione di gestione del personale, o chi ha l’autorità di autorizzare o impedire l’accesso in azienda), e salvare le comunicazioni in un apposito “contenitore” protetto (crittografato o chiuso a chiave) per il quale si sia già predisposta (e documentata) la modalità di distruzione del dato a fine emergenza.

Situazioni di fragilità

Al fine di innalzare i livelli di tutela per situazioni particolari, il medico competente è tenuto a segnalare all’azienda coloro che presentano fragilità o patologie (sia attuali che pregresse) non già segnalate nella consueta attività di sorveglianza. A questo scopo, il rispetto della privacy delle persone oggetto di tale tutela consiste esclusivamente nell’individuare le persone e le forme di tutela necessarie, senza che siano esplicitamente presentate le fragilità o patologie. Tali segnalazioni non dovrebbero essere registrate (di conseguenza, si dovrebbe evitare di comunicarle per iscritto, in particolare per email); in caso contrario, devono essere prese misure di sicurezza adeguate, analoghe al caso precedente delle comincazioni di negativizzazione.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.