COVID-19: QUALI GLI ASPETTI PIU’ RILEVANTI DEL TRATTAMENTO DEI DATI SANITARI NELL’AMBIENTE DI LAVORO?

1. Quando si ritiene lecito il trattamento dei dati personali nell’emergenza del COVID-19?

L’EDPB (European Data Protection Board), nella sua dichiarazione del 19/03/2020, chiarisce che è consentito il trattamento dei dati personali trattamento di particolari categorie di dati personali, come i dati sanitari, ai sensi dell’art. 6 GDPR e dell’art. 9 GDPR senza il consenso della persona interessata e per motivi di interesse pubblico nel settore della sanità pubblica quali la protezione da gravi minacce per la salute a carattere transfrontaliero. La dichiarazione dell’EDBP in relazione al trattamento dei dati nel contesto lavorativo nell’ipotesi di casi di emergenza fa espresso richiamo al Considerando (46) del GDPR e quindi alla liceità del trattamento qualora venga svolto per controllare “l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”, richiamando anche l’art. 9.2 lett. i) e lett. c) del GDPR, che già prevede il trattamento in situazioni in emergenza sanitaria.

2. Qual è l’obbligo del datore di lavoro nei confronti del lavoratore?

Occorre informare in modo chiaro e semplice i soggetti interessati su modalità, finalità e tempo di conservazione, evitando la divulgazione a soggetti non autorizzati attraverso la predisposizione delle misure di sicurezza e prediligendo una raccolta di dati anonima.

3. E’ consentito al datore di lavoro raccogliere i dati sanitari nella propria azienda?

Sì, ma solo nei limiti consentiti dalla legge nazionale e in relazione all’attuale emergenza, tenendo sempre a riferimento il principio di proporzionalità e minimizzazione dei dati per cui, nel rispetto della normativa in materia di sicurezza e salute sui luoghi di lavoro, secondo l’EDPB i datori di lavoro dovranno ottenere dati personali relativi al contagio al solo scopo di adempiere ai propri doveri e di conseguenza organizzare il lavoro.

4. Come deve comportarsi il datore di lavoro qualora fosse a conoscenza di un caso infetto nella propria attività?

Il datore di lavoro dovrà informare le proposte autorità circa la presenza di un caso di infezione dal COVID-19 nonché, evitando di comunicare informazioni non rilevanti a tale scopo, anche gli altri lavoratori per la tutela della loro salute e sempre con l’adozione delle opportune misure di sicurezza. Nel caso in cui fosse necessario divulgare il nome, e qualora fosse concesso dal diritto nazionale, occorrerà informare preventivamente il soggetto interessato nel rispetto della sua dignità ed integrità.

5. Ci sono stati altri interventi, oltre all’EDPB, su come affrontare l’emergenza sanitaria in materia di trattamento dei dati personali?

Il Garante privacy italiano con un comunicato del 02/03/2020, rivolgendosi ai titolari del trattamento dati, sottolinea il divieto di iniziative autonome di raccolta di dati sanitari di utenti e lavoratori che non siano state normativamente previste o disposte dagli organi competenti.

Inoltre il 20/03/2020 è intervenuto l’EDPS (European Data Protection Supervisor) affermando che il COVID-19 viene indicato quale “game changer” nel contesto del trattamento dei dati ed ha annunciato una nuova strategia per i prossimi cinque anni che comprenderà una revisione dell’attuale EDPS Strategy.

Anche l’EDRI (European Digital Right) in un recente comunicato datato 20/03/2020 invita gli Stati UE ad adottare le misure necessarie per il contenimento del COVID-19 tra cui alcune quali il rispetto dei diritti fondamentali tale per cui qualsiasi misura di emergenza che possa violare tali diritti deve essere temporanea, limitata e controllata, la temporaneità delle misure tecniche e la trasparenza nell’adozione delle misure tecniche nei confronti degli interessati, nessuna monetizzazione o guadagno derivante dalla raccolta di dati personali ricavati nell’ambito di tali misure di contrasto all’emergenza sanitaria da parte delle aziende.