Nel contesto lavorativo il datore di lavoro si trova frequentemente ad assumere la veste di titolare del trattamento dei dati personali dei propri dipendenti e collaboratori, posizione da cui discendono oneri e responsabilità ai sensi della normativa privacy dettata dal Regolamento UE 2016/679 (GDPR). Tra le varie informazioni, quelle relative allo stato di salute dei lavoratori si qualificano come dati particolari.
Il Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, adottato dal Garante per la protezione dei dati personali il 5 giugno 2019, contiene le prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro. In via generale, ai sensi dell’articolo 9, par. 2 del GDPR, il trattamento dei dati particolari può essere effettuato solo se necessario:
- per adempiere o esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione Europea, statale o contratti collettivi anche aziendali;
- per scopi determinati e legittimi in conformità alla legge, ai fini della tenuta della contabilità o della corresponsione di retribuzioni, liberalità o benefici;
- per salvaguardare la vita o l’incolumità fisica del lavoratore o di un terzo;
- per far valere un diritto in sede giudiziaria, amministrativa, di arbitrato o conciliazione, nei casi previsti dalla normativa nazionale ed europea;
- per l’adempimento di obblighi derivanti da contratti di assicurazione per la responsabilità del datore in materia di sicurezza, salute e malattie professionali o danni causati a terzi nell’esercizio dell’attività;
- per garantire le pari opportunità;
- per perseguire altri scopi determinati e legittimi individuati da statuti o contratti collettivi.
In questi casi, il datore è legittimato a trattare i dati particolari dei lavoratori, compresi quelli relativi allo stato di salute. Tuttavia, per quanto riguarda i dati idonei a rivelare lo stato di salute dei candidati all’instaurazione di un rapporto di lavoro, nella fase precedente all’assunzione, la raccolta degli stessi può essere effettuata solo se giustificata da scopi determinati e legittimi e sia necessaria per l’assunzione.
Gli obblighi del medico competente
L’articolo 25 del d.lgs 81/2008 prevede l’obbligo per il medico competente di istituire, aggiornare e custodire, sotto la propria responsabilità, una cartella sanitaria e di rischio per ogni lavoratore sottoposto a sorveglianza sanitaria. Ai sensi dell’articolo 53 del medesimo decreto, è consentito conservare tale documentazione in un database aziendale; tuttavia, tale attività va effettuata nel rispetto della privacy dei soggetti interessati e tenendo in considerazione il fatto che il contenuto della cartella sanitaria è sottoposto a segreto professionale. Per questi motivi, il Ministero del Lavoro ha risposto all’interpello numero 4 del 28 maggio 2019 affermando che il datore di lavoro non può accedere alle cartelle sanitarie e di rischio presenti sul database aziendale, facoltà che spetta unicamente al medico competente.
Covid-19: il protocollo del 24 aprile 2020
Il 24 aprile 2020 è stato adottato il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione da Covid-19 negli ambienti di lavoro tra Governo e parti sociali, nel quale sono previsti alcuni obblighi per il datore di lavoro nell’ambito dell’applicazione delle procedure emergenziali. Per quanto riguarda i dati relativi alla salute dei dipendenti, restano fermi i principi generali, per cui il trattamento è possibile per osservare gli obblighi di legge ma tutelando al massimo la riservatezza dei lavoratori. È previsto quindi che, nel caso in cui venga rilevata la temperatura dei dipendenti per verificare che sia sotto la soglia critica dei 37,5 °, non debba essere registrato il dato acquisito se non supera tale soglia, deve comunque essere fornita l’informativa al lavoratore sulle finalità del trattamento (prevenzione del contagio da Covid-19), la base giuridica (implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020), la durata della conservazione dei dati (fino al termine dello stato di emergenza). Devono essere inoltre definite misure di sicurezza e organizzative adeguate per la protezione dei dati, tenendo in considerazione la loro natura sensibile e i tempi di conservazione previsti. Nel caso in cui un lavoratore dovesse essere isolato per via del superamento della soglia critica di temperatura, questa attività dovrebbe comunque essere effettuata garantendo per quanto possibile la dignità e la riservatezza del dipendente.
Il Garante privacy ha chiarito che il datore di lavoro può chiedere al dipendente di effettuare test sierologici solo se disposti da un professionista sanitario in base alle regole emergenziali; allo stesso modo, la partecipazione a screening sierologici predisposti dai Dipartimenti di prevenzione regionali per i lavoratori a rischio può avvenire solo su base volontaria del lavoratore. Il datore può trattare i dati relativi all’idoneità lavorativa del soggetto secondo quanto disposto dal medico competente, mentre non può accedere a risultati di test o esami.
Simpledo è la soluzione web-based progettata da Wolters Kluwer per la gestione della salute, della sicurezza e dell'ambiente in Azienda. Scegliere SIMPLEDO significa scegliere la “gestione sicura” della Salute e Sicurezza dei Lavoratori e dei luoghi di lavoro. SIMPLEDO garantisce massimi livelli di performance, sicurezza e protezione dati, attraverso l’infrastruttura tecnologica Microsoft Azure, la più innovativa e sicura infrastruttura tecnologica cloud. La gestione delle password, delle informazioni e dei dati relativi ai protocolli sanitari è compliant al GDPR e crittografata attraverso un sistema avanzato di cifrature. SIMPLEDO consente una vista capillare dell’incidenza di particolari fattori a cui sono soggetti i lavoratori, producendo statistiche anonime conformi con i requisiti di privacy.