Tratto dallo speciale:

Fase 2: come trattare dati sanitari in azienda

di Redazione PMI.it

scritto il

Consigli operativi sulla gestione a norma dei dati sanitari di dipendenti e visitatori durante e dopo l'emergenza Coronavirus: l'analisi dell'avvocato Emiliano Vitelli.

Nel mese di marzo, oltre ai decreti legge sulla corretta gestione della patologia virale  in ambito pubblico e privato, sono stati redatte linee guida (in particolare il Protocollo di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti lavoro) ed emanate comunicazioni da Garante Italiano (in primo luogo quella del 2 marzo) ed Europeo, volti a disciplinare la corretta gestione del rapporto di lavoro e, conseguentemente, dei dati personali (con riferimento soprattutto a quelli sanitari) dei dipendenti e di coloro che visitano le sedi.

Questo breve articolo, sulla base delle indicazioni su menzionate, intende proporre alcune soluzioni operative che possano essere di supporto alle aziende che stanno continuando ad operare e quelle di prossima apertura nella fase 2 e 3 dell’emergenza Coronavirus. Il presupposto comune è che oggi più che mai emerge la forza delle norme previste dal Regolamento 679/16.

  • Adeguata e corretta analisi del rischio.
  • Predisposizione accurata delle misure tecniche ed organizzative di trattamento.

Appare evidente, infatti, che le scelte operative del datore devono essere guidate da una valutazione dei rischi (in termini di diritti fondamentali e privacy) che una gestione malaccorta dei dati sanitari possa comportare sui dipendenti.

Le indicazioni che seguono hanno ovviamente una cifra generale, adattata alla situazione contingente.Basti pensare alla fondamentale differenza tra un’azienda chimica ed una metalmeccanica o ad una struttura che abbia adottato sistemi di qualità e sicurezza sul lavoro.

Verifica temperatura per chi accede in azienda

Predisporre una informativa (preferibilmente esposta all’ingresso, anche se potrebbe essere fornita oralmente) semplice con indicazione: del Protocollo e della normativa emergenziale, come base giuridica; della finalità di prevenzione dal contagio da COVID-19; l’obbligatorietà; tempi di conservazione; il riferimento ai diritti dell’interessato. Ma soprattutto indicare che il soggetto preposto alla verifica della temperatura sia stato adeguatamente istruito e formato. Consiglierei di affiancare all’informativa anche una copia del Protocollo.

Autodichiarazione provenienza zone / contatti a rischio

Avvertire tutto il personale che l’accesso in azienda è precluso a coloro che nei quattordici giorni precedenti siano stati a contatto con persone che hanno contratto il virus o che provengano da zone a rischio. Successivamente richiedere al dipendente una dichiarazione in tal senso. Questa attività è un trattamento dati personali e pertanto ne segue tutti i criteri. Il suggerimento è di inserire nella iniziale comunicazione anche un primo livello di informativa semplificata in relazione a tale trattamento.

Trattamento dati

I dati acquisiti tramite verifica della temperatura non vanno registrati (eventualmente indicarlo nell’informativa) ed in caso di riscontro positivo invitare il dipendente all’isolamento ed a contattare il medico di famiglia e/o l’autorità sanitaria competente. Soltanto nell’eventualità in cui sia necessario documentare le ragioni che hanno impedito l’accesso ai locali aziendali sarà possibile identificare l’interessato e registrare il superamento della soglia di temperatura.

Per le autodichiarazioni vanno predisposte le opportune misure di conservazione a tutela della riservatezza dei singoli dipendenti. Si fa anche presente che il Protocollo invita il dipendente che riscontri sintomi a farlo presente ed in ogni caso impone al datore di procedere al suo isolamento in base alle disposizioni dell’autorità sanitaria e a quello degli altri presenti dai locali. L’azienda dovrà procedere poi immediatamente ad avvertire le autorità sanitarie competenti.

=> Lavoratori PA: protocollo anti contagio Covid-19

Le misure di sicurezza

Va applicato il principio di accountability, quindi, quelle indicate sono operazioni che devono essere attentamente ponderate e comprovate con nomine, procedure ed istruzioni. Tutte le attività indicate devono essere poste in essere salvaguardando la massima riservatezza e a tutelare la dignità del lavoratore.

Vanno predisposti opportuni settori (digitali e/o analogici) dove verranno trattati i dati personali acquisiti, predisponendo pertanto le necessarie misure a tutela di indebiti accessi o violazioni. Tale scelta permetterà anche una migliore gestione dei dati a conclusione della fase di emergenza.

A tal proposito si evidenzia come il Garante abbia sottolineato che le basi giuridiche che permettono i su indicati trattamenti sono valide sino al permanere dell’emergenza, successivamente tutti i dati raccolti dovranno essere eliminati (salva la previa comunicazione dei dati alle Autorità indicate).

=> Coronavirus in azienda: la procedura da seguire

Con riferimento alle modalità di conservazione si suggerisce il ricorso anche a tecniche di pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione. Allo stesso tempo vanno redatte le necessarie specifiche istruzioni per i soggetti che, all’interno dell’azienda, saranno nominato a svolgere attività inerente alle verifiche e sopra descritte.

A conclusione di questi brevi suggerimenti va sottolineato che le aziende dovranno apprestare particolare attenzione anche alle fasi successive dell’emergenza in quanto l’allentamento dei controlli sui dati personali trattati potrebbe comportare rilevanti ripercussioni sia nell’ambito dei rapporti di lavoro che sotto il profilo dell’organizzazione aziendali (pensiamo, per esempio, alle verifiche di idoneità in ottica D.Lgs 81/08).

Avv. Emiliano Vitelli

I Video di PMI

GDPR: Guida al nuovo Regolamento Privacy