DATI, COVID E PRIVACY: COME AGIRE SUI LUOGHI DI LAVORO

Migration

DA QUALCHE TEMPO ci troviamo a gestire una nuova quotidianità fatta anche di informazioni prima ritenute irrilevanti, ma che ora ci appaiono essenziali. L’importanza di simili informazioni fa comprendere la necessità di una regolamentazione seria e, talvolta, stringente. In generale, le ipotesi di raccolta di dati relativi alla salute dei dipendenti sono previste direttamente dalla legge che individua i casi e i modi della raccolta e i soggetti a ciò titolati. Fuori da tali limiti non è possibile utilizzare informazioni relative alla salute dei dipendenti. Neanche con il loro consenso. Con riguardo alla gestione dei rischi da Sars Cov-2, i punti di riferimento rimangono i Protocolli condivisi tra le parti sociali, e approvati dal Governo, del 2020 e del 2021 nonché le indicazioni del Garante per la Protezione dei Dati Personali e da ultimo il DPCM del 17 giugno sul c.d. certificato verde Covid-19.

In estrema sintesi, il datore di lavoro può svolgere le attività di: misurazione temperatura (senza registrazione del dato); gestione di una persona sintomatica in azienda che comunichi la propria condizione al datore di lavoro; gestione della notizia della positività al fine di sanificare gli ambienti e cooperare con l’Autorità, ma non di ricostruire la catena dei contagi (il dibattito su sul contact tracing sembra ormai passato, ma è possibile torni attuale); gestione del solo dato aggregato del numero di persone intenzionate a vaccinarsi in caso di piano di vaccinazione aziendale. Il datore, ad oggi, non può raccogliere altre informazioni, e come per esempio non può chiedere lo stato vaccinale ai dipendenti. Ciò non significa che la salute sul luogo di lavoro non sia garantita; è infatti il medico competente a potere e dovere trattare informazioni come lo stato vaccinale dei dipendenti nell’ambito delle valutazioni sul rischio per la salute sul luogo di lavoro. Il Garante è stato molto chiaro sul punto ribadendo il fatto che il medico competente è un soggetto estraneo all’organizzazione aziendale e che tratta i dati per proprio conto (e non per conto del datore di lavoro). Quando non sia presente un medico competente in azienda sarà l’Inail a dover svolgere il ruolo di collettore dei dati nel contesto del piano vaccinale o direttamente l’azienda terza convenzionata. Rimane tuttavia difficile che una piccola azienda che non abbia nemmeno nominato il medico competente proceda a predisporre piani di vaccinazione aziendali.

Nel caso in cui per partecipare a taluni eventi o viaggi, anche organizzati a livello aziendale, sarà necessario un apposito “green pass”, il datore di lavoro non potrà automaticamente verificare i requisiti in capo ai dipendenti, ma solo soggetti specificamente individuati dal Dpcm del 17 giugno 2021 potranno compiere le necessarie verifiche. In particolare potranno effettuare i controlli soltanto i pubblici ufficiali nell’esercizio delle loro funzioni oppure i soggetti incaricati dai titolarigestori di quelle attività per l’accesso alle quali (anche in occasione di specifici eventi) sia necessario il possesso del certificato verde Covid – 19. È importante sottolineare che il certificato verde non dà il via libera al controllo incondizionato sullo status vaccinale o medico in generale di una persona. Al contrario il Dpcm individua nel dettaglio i casi e i modi di utilizzo dei dati per cui i dati possono essere raccolti sulla piattaforma nazionale tramite il sistema sanitario nazionale e possono essere visionati tramite l’ app Immuni, l’app IO, il fascicolo sanitario elettronico o il sistema TS (del SSN) dalle persone sopra indicate, ma in nessun caso "l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma". Questa previsione sta ad indicare che anche qualora si venga a conoscenza dello status vaccinale di una persona, questa informazione non deve essere ulteriormente utilizzata ad esempio tramite la creazione di registri o elenchi ad uso del datore di lavoro. Infine, non bisogna dimenticare che violazioni della privacy possono derivare anche dal mero chiacchiericcio. È corretto che il datore disincentivi simili comportamenti, ma ognuno è libero, nella propria sfera privata fatta anche di relazioni con i colleghi, di informare gli altri sulla propria condizione. Rimane fermo che simili informazioni non dovranno essere utilizzate per finalità connesse al rapporto di lavoro.

* partner BonelliErede – ** associata BonelliErede