COVID – 19 e dati personali dei lavoratori. Si esprimono anche i Garanti di Francia, Irlanda, Danimarca e Spagna

Nei giorni scorsi anche le autorità competenti per la protezione dei dati personali in Francia, Irlanda e Danimarca si sono espresse in merito al trattamento dei dati personali e sanitari dei lavoratori nell’ambito della contingente emergenza sanitaria.

Qui in sintesi gli orientamenti nei vari Paesi.

Francia

Il CNIL precisa in linea generale che il trattamento dei dati sanitari è presidiato da disposizioni e garanzie specifiche e che quello effettuato in questa circostanza non può in ogni caso eccedere rispetto alla specifica esigenza. I datori di lavoro devono astenersi, ad esempio, dalla raccolta sistematica e generalizzata, o mediante indagini individuali, di  informazioni relative alla salute per individuare possibili sintomi presentati da un dipendente / soggetto che ha avuto accesso ai locali aziendali e dai loro parenti.

Non sono ammesse quindi misure come la rilevazione della temperatura corporea da inviare quotidianamente al superiore gerarchico e la raccolta di certificati medici o questionari.

Il datore di lavoro è tuttavia tenuto a garantire la salute e sicurezza dei lavoratori e dei luoghi di lavoro. In virtù di questa obbligazione, può impartire istruire e invitare i propri dipendenti a fornire informazioni relative al proprio stato di salute alle autorità pubbliche competenti; favorire la trasmissione di tali informazioni se necessario istituendo canali dedicati; promuovere metodi di lavoro a distanza e incoraggiare l’uso della medicina del lavoro.

Nel caso in cui un dipendente procedesse alla segnalazione, il datore di lavoro può registrare la data e l’identità della persona sospettata di essere stata esposta al contagio e le misure organizzative adottate (es. telelavoro).

Sarà così in grado di comunicare alle autorità sanitarie che lo richiedono gli elementi relativi alla natura dell’esposizione, necessari per una possibile salute o assistenza medica della persona esposta.

Il dipendente deve invece informare il proprio datore di lavoro nel caso in cui sospetti il proprio contagio .

Infine, le autorità sanitarie pubbliche deputate all’adozione delle misure necessarie alla gestione dell’emergenza possono raccogliere i dati sanitari. La valutazione e la raccolta d’informazioni concernenti i sintomi di coronavirus e le informazioni sui recenti movimenti delle persone sono di competenza di tali autorità pubbliche.

La CNIL invita individui e professionisti a seguire le raccomandazioni delle autorità sanitarie e a raccogliere solo dati sulla salute delle persone che sono stati richiesti dalle autorità competenti.

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles

 

Irlanda

Da un punto di vista generale, sul datore di lavoro grava l’obbligo legale di tutelare la salute dei propri dipendenti e garantire la sicurezza del luogo di lavoro. Pertanto, il datore di lavoro può in simili circostanze chiedere ai lavoratori e ai visitatori dei locali aziendali informazioni relative ai loro spostamenti (se abbiano o meno visitato le aree geografiche interessate dall’evento) e al loro stato di salute (se presentino la sintomatologie tipica). Sembrerebbe trattarsi di una apertura rispetto alla informativa verbale dal momento che viene poi specificato che nel caso in cui si decidesse adottare misure più stringenti come ad esempio questionari, sarebbe necessaria una giustificazione significativa basata sulla necessità e sulla proporzionalità delle misura nonché su una valutazione del rischio; prendendo in considerazione specifici fattori come i viaggi effettuati dal lavoratore nell’adempimento delle proprie mansioni, la presenza di soggetti vulnerabili e ogni altra direttiva o indicazione delle autorità preposte alla tutela della salute pubblica.

La registrazione di ogni informazione deve essere giustificata su basi fattuali e limitata a quanto  necessario  per l’implementazione delle misure di sicurezza da parte del datore di lavoro.

Inoltre si precisa che i datori di lavoro nell’attenersi alle disposizioni dettate dalla pubblica autorità potrebbero dover comunicare e rivelare informazioni rilevanti per l’interesse pubblico ed evitare l’esposizione della comunità a rischi per la salute.

Andando invece ad esaminare casi specifici, l’Autorità precisa che il datore non può rivelare ai colleghi l’identità di chi è affetto, o sospetta di esserlo, dal coronavirus. L’informazione può essere comunicata esclusivamente alle autorità di sanità pubblica per l’adempimento delle loro funzioni.

https://www.dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19

 

Danimarca

L’Agenzia danese per la protezione dei dati ritiene che, fermo il rispetto delle normative giuslavoristiche e di quelle in tema di salute pubblica e nel quadro delle norme sulla protezione dei dati, un datore di lavoro possa in larga misura registrare e divulgare informazioni che abbiano natura sanitaria nel caso in cui la situazione lo richieda, ad esempio nel caso in cui un dipendente sia tornato da una cosiddetta “area a rischio”, o sia in quarantena domestica (senza indicarne il motivo), o ancora, sia malato (senza indicarne il motivo).

Sembra possibile anche rivelare lo specifico stato di salute ai colleghi perché possano essere prese le opportune cautele e misure sanitarie. Tuttavia, è importante tenere presente che, in questo caso, la registrazione o la divulgazione dovranno essere limitate a quanto necessario per lo scopo, nel senso che non dovranno essere praticabili misure alternative. Il datore di lavoro dovrebbe, pertanto, considerare la sussistenza di una indefettibile ragione di divulgazione, la necessità di comunicare specifiche informazioni (cioè se lo stesso risultato possa essere ottenuto non divulgandole), la necessità di rivelare l’identità del lavoratore infetto o sottoposto a quarantena.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/hvordan-er-det-med-gdpr-og-coronavirus/

 

Spagna

Come accaduto uniformemente nei giorni scorsi in Europa, anche l’Autorità garante per la protezione dei dati personali spagnola (Agencia Espagñola Proteccìon Datos – AEPD), si esprime a proposito del trattamento dei dati personali e sanitari raccolti per fronteggiare all’emergenza sanitaria in atto.

Il provvedimento non si concentra su specifiche casistiche, né fornisce direttive puntuali ai datori circa le modalità di esercizio dei loro poteri, ma ricostruisce piuttosto il quadro dei limiti, sia con riferimento alla normativa comunitaria che nazionale.

In sintesi, il trattamento dei dati personali di natura sanitaria o che siano idonei a rivelare informazioni sullo stato di salute del soggetto, è ammesso in questa circostanza da parte delle autorità pubbliche e trova il suo fondamento nella necessità di garantire la salute della collettività. Analogamente è ammesso nell’ambito del rapporto di lavoro in ottemperanza alle disposizioni in materia di salute e sicurezza (con particolare riferimento all’obbligazione di garanzia gravante sul datore di lavoro). Un’indicazione più specifica con riferimento a questo contesto è riferita al dovere del lavoratore di informare il proprio datore di lavoro laddove avesse il sospetto di aver contratto il virus.

In ogni caso, sia le autorità pubbliche sia i datori di lavoro devono attenersi ai limiti dettati dal Regolamento (UE) 2016/679 (GDPR), con particolare riferimento ai principi di limitazione della finalità, minimizzazione, necessità, circolazione dei dati.

In conclusione, l’Autorità ammette il trattamento dei dati sanitari dei dipendenti per finalità di garanzia della salute sul lavoro e di contenimento e controllo dei contagi da COVID – 19, richiamando i limiti imposti dalla legislazione europea senza non esaminando casistiche specifiche come avvenuto invece nel caso italiano.

https://www.aepd.es/es/documento/2020-0017.pdf