Per rilevare la temperatura a dipendenti, fornitori e visitatori o avere notizie su spostamenti e contatti le imprese devono seguire procedure a tutela dei destinatari
Niente iniziative “fai da te” nella raccolta dei dati personali: come ribadito dal Garante Privacy nella comunicazione pubblicata oggi 2 marzo sul proprio sito Internet, i datori di lavoro devono astenersi dal raccogliere, a priori e in modo “sistematico e generalizzato”, informazioni su eventuali sintomi influenzali dei propri dipendenti e dei suoi contatti personali extralavorativi.
La prevenzione della salute resta una prerogativa dei soggetti che svolgono istituzionalmente questo compito, unici organi deputati a verificare il rispetto delle regole di sanità pubblica.
Questo intervento è una risposta concreta alla corsa, partita durante l’ultima settimana, da parte delle aziende a svolgere controlli sui possibili contagi da Covid-19 dei propri dipendenti, fornitori, clienti e in generale dei visitatori delle loro sedi. In alcuni casi, i controlli hanno portato alla richiesta di informazioni su tutti gli spostamenti e i contatti e alla rilevazione della temperatura corporea di chiunque visiti uffici o sedi dell’impresa.
Sembra quasi che il management ritenga che l’attuale situazione di emergenza e i provvedimenti adottati dal Governo possano legittimare non solo le autorità pubbliche, ma qualsiasi privato a fare tutto il possibile per individuare i soggetti contagiati. Ma attenzione: come conferma la decisione del Garante, non è così. E le aziende stesse – pur sottoposte a forti pressioni, come in questi giorni – devono tutelarsi per non compiere atti inutili e per non incorrere in sanzioni anche pesanti.
I limiti all’azione
I provvedimenti di emergenza adottati dal Governo per il coronavirus non legittimano i privati a svolgere controlli indiscriminati che potrebbero essere invasivi della privacy degli individui.
L’interesse pubblico che viene invocato non basta, ma richiede una norma di legge che espressamente autorizzi la raccolta e il trattamento dei dati, norma che è improbabile (e forse non auspicabile) venga mai adottata anche al di fuori dell’attuale situazione.
Il Regolamento privacy europeo (679/2016) ha introdotto sanzioni fino al 4% del fatturato aziendale mondiale o a 20 milioni di euro, a seconda di quale importo sia maggiore, per le violazioni del Gdpr. E non si deve pensare che in casi di emergenza (come l’attuale) una sanzione del Garante sia improbabile mentre è più importante tutelare la salute dei dipendenti. Non c’è dubbio che la salute sia un interesse primario e che il Garante non si è ancora pronunciato, ma – una volta che la situazione si sarà normalizzata –, potrebbe svolgere ispezioni ed emettere sanzioni. Quindi bisogna evitare rischi inutili. Niente “caccia al malato” tramite controlli effettuati spesso da persone senza alcuna qualifica medica. E attenzione ai controlli svolti all’ingresso delle sedi in modo che qualsiasi visitatore ne possa venire a conoscenza e senza dare indicazioni su cosa avvenga delle informazioni raccolte. Si tratta di dati personali e la semplice rilevazione della temperatura è un trattamento di dati personali, anche se non vengono annotati. Sono attività che devono conformarsi alla normativa sul trattamento dei dati personali che in primis prevede il principio di minimizzazione: solo i dati strettamente necessari possono essere trattati.
Le comunicazioni non “invasive”
Ma che cosa può fare allora un’azienda? Potrebbe evitare la raccolta dati con una comunicazione ai dipendenti, clienti e fornitori e un cartello all’ingresso dello stabile che vieti l’accesso a chi è stato nelle zone a rischio, a contatto con persone a rischio o abbia sintomi influenzali, febbre o tosse. E vero però che gli intervistati potrebbero mentire alle domande, così come la temperatura rilevata da persone non qualificate potrebbe non essere affidabile. Si potrebbero allora posizionare termometri all’ingresso dello stabile per consentire a coloro che entrano di rilevare da soli e in una zona non visibile da terzi la propria temperatura, con l’indicazione che se eccede un certo limite non potranno accedere all’edificio.
Se però il management delle imprese non si fida dell’autovalutazione degli individui, la normativa sul trattamento dei dati personali fornisce – in casi precisi e con limitazioni – gli strumenti che legittimano i controlli. Prima di raccogliere qualsiasi informazione e di svolgere controlli sullo stato di salute, gli individui devono ricevere un’informativa privacy che contenga tutte le informazioni richieste dal Regolamento privacy e che, quindi, illustri in dettaglio (tra l’altro) le modalità e finalità del trattamento, i tempi di conservazione dei dati e i soggetti a cui le informazioni saranno comunicate.
Inoltre le persone devono fornire il loro consenso esplicito che dovrà specificatamente far riferimento alle finalità e modalità del trattamento che dovranno essere comunque conformi al principio di minimizzazione. Ma anche con il consenso non sarà possibile creare schedari che ricostruiscano gli spostamenti di dipendenti, fornitori e clienti e le variazioni della loro temperatura corporea.
Il rispetto dei diritti sui dati personali – soprattutto dopo i chiarimenti del Garante – deve essere una priorità anche in questa situazione di emergenza.
