Coronavirus: un ostacolo alla privacy dei lavoratori

Il virus covid-19 che ormai da tempo preoccupa l’intera popolazione non poteva che riversarsi sul mondo del lavoro attraverso l’adozione di misure volte al contenimento della pandemia che non hanno neanche il tempo di porsi il quesito della propria legittimità. Nonostante il rispetto delle linee guida varate dal governo, le aziende, soprattutto le più articolate, hanno cominciato ad adottare misure discutibili. Nonostante queste fossero strettamente legate alla suprema necessità di preservare lo stato di salute dei dipendenti, non mancano difetti di legalità che toccano il tema relativo alla tutela della privacy.

Al di là dell’accertamento delle condizioni di salute, come la misurazione della temperatura prima di accedere nel posto di lavoro, ovviamente esteso persino ad eventuali visitatori esterni, non mancano tentativi di monitoraggio degli spostamenti del dipendente e, nei casi più estremi, dei suoi familiari. A volte, purtroppo, tali proposte provengono persino dalle RSU; indice di una mancanza di lucidità generale creata da una paura, purtroppo, più che legittima.

L’apparente banalità che sottende a tali misure, figlie di un meccanismo di un fisiologico di difesa dominato dal senso comune, calpestano in realtà una stratificazione giuridica che, nel tempo, giunge a focalizzare l’attenzione sulla tutela del lavoratore e, nel caso specifico, delle informazioni che lo riguardano.

Non si è fatta attendere a lungo, di fatto, la risposta del garante della privacy, pubblicata il 2 marzo 2020 attraverso un comunicato stampa in risposta alle numerose richieste di chiarimenti sul tema in discussione:

“L’Ufficio sta ricevendo numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio. Analogamente, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata. 

Al riguardo, si segnala che la normativa d’urgenza adottata nelle ultime settimane prevede che chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.

I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.

La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.

Pertanto, sebbene sia previsto dal D.lgs. 81/2008 (Testo unico sulla salute e sicurezza sul lavoro) un obbligo del datore di lavoro di adottare una serie di misure tese a garantire la sicurezza sul posto di lavoro e la salute dei propri dipendenti, tali misure non possono scavalcare i marcati confini della legalità, nel pieno rispetto, per il caso specifico, del Regolamento 2016/679/UE sulla privacy, tra le finalità del quale compare al paragrafo 2, art.1, la protezione dei diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Solo in determinati casi, così come specificamente indicato dal Regolamento 2016/679/UE, art. 9, paragrafo 2, è consentito al datore di lavoro il trattamento dei dati menzionati dal paragrafo precedente, fra i quali sono compresi quelli inerenti alle condizioni di salute del lavoratore. La lett. a), paragrafo secondo, art. 9 del regolamento in questione, apre di fatto una scappatoia nel caso l'interessato presti il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispongano che il suddetto interessato non possa revocare il divieto di cui al paragrafo 1.

Tuttavia, non deve trarre in inganno la lett. h) dello stesso articolo, nella misura in cui si fa riferimento a finalità di medicina preventiva o di medicina del lavoro,  in termini di valutazione della capacità lavorativa del dipendente. Ciò che la norma in discussione richiama altro non è che l’idoneità psico-fisica legata ad una determinata mansione che, come immediatamente chiarito dal paragrafo terzo del suddetto art. 9, debbono inequivocabilmente essere trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri.

Tornando invece al tema del c.d. consenso prestato dal lavoratore, in merito al trattamento dei dati personali e, nel caso di specie, di quelli relativi alle condizioni di salute, emergerebbe senz’altro la natura tutt’altro che paritaria che intercorre tra il datore di lavoro ed i suoi dipendenti. Ciò potrebbe generare senz’altro un ostacolo a quel consenso, che si presterebbe senz’altro ad un innegabile condizionamento. Si auspica un intervento chiarificatore della giurisprudenza sul tema.

D'altra parte però, come affermato da Antonello Soro - Presidente del Garante per la protezione dei dati personali -  durante un intervista, tutte le libertà necessitano una più o meno brutale compressione durante un'emergenza. Queste, infatti, sono inevitabilmente soggette al bilanciamento con altri diritti ed esigenze di carattere collettivo. Ciò non significa ambire al modello cinese, definito dal presidente Soro come ciò al quale ogni stato democratico non dovrebbe ambire. Le limitazioni alle libertà personali si giustificano soltanto se rispondenti ai principi di proporzionalità, adeguatezza ed utilità. Il commissario Borrelli, direttore della Protezione civile, fa riferimento ad un certo confine invalicabile tra diritto alla privacy e diritto alla salute, sottolineando come il diritto alla salute costituisca il presupposto essenziale all'esistenza della privacy; "senza salute non ci può essere privacy".

E se il tema si sposta quindi sul bilanciamento delle esigenze e delle libertà, lo stesso presidente Soro dichiara l'importanza attuale di sorvegliare per trovare la giusta misura ed evitare pericolose deleghe in bianco in merito alle suddette compressioni. Di fatto, bisogna ammettere che, nonostante l'impatto sulle libertà individuali, l'analisi dei big data in tempo reale costituisce un pilastro di non poco conto, necessario a sostenere l'emergenza attuale.

Infatti, in seguito al DPCM del 9 marzo 2020, nr. 14, decreto volto a rendere l'intero territorio italiano zona rossa, ha notevoli impatti anche sul trattamento dei dati personali particolari per finalità di emergenza sanitaria. L'art. 14 richiama la precedente Ordinanza del Capo del Dipartimento della Protezione Civile del 3 febbraio 2020, nr. 630, che sancisce l'opportunità di realizzare trattamenti dei dati personali, "ivi compresa la comunicazione tra loro, dei dati personali, dei dati particolari ed anche giudiziari necessari per l’espletamento della funzione di Protezione Civile, connessa all’insorgenza delle patologie derivanti da agenti virali trasmissibili". Ciò che prima era regolato da una fonte secondaria, è stato poi rimarcato dal decreto in oggetto, fonte primaria del diritto. 

La norma in esame, ovviamente, oltre a circoscrivere la propria durata nel periodo emergenziale, richiama il già citato Regolamento 2016/679/UE, art. 9, paragrafo 2 e, specificamente le lettere h), g) ed i) che, rispettivamente, evocano ragioni di interesse pubblico, finalità di diagnosi, terapia e cura, ed infine la protezione da gravi minacce per la salute. È il comma secondo dello stesso art. 14 ad introdurre una più o meno discutibile novità, volta ad attribuire la possibilità di inserire nel flusso di informazioni anche soggetti privati, tra i quali, primi tra tutti, i datori di lavoro. Seppur sottolineando l'indispensabilità connessa al trattamento di tali dati ed il rispetto dei principi che animano le norme europee, appare senz'altro compromessa la tutela della privacy individuale.

Tanto è vero che dai commi a seguire si evince la rimarcata preminenza del diritto fondamentale della salute dell’intera collettività e della proporzionalità di tali misure  in una società democratica posta a salvaguardia di rilevanti interessi pubblici, tra i quali, per l'appunto, quello della salute.

Alla luce delle novità legislative diviene lecito domandarsi quale sarà lo scenario successivo all'emergenza. Se, effettivamente, si tende a definire la compressione delle libertà personali nei limiti temporali del contesto, non è da escludere il risveglio di una coscienza nuova da parte degli individui, capaci di rinunciare a parte dei diritti acquisiti all'indubbio beneficio della comunità.