Il 2 marzo 2020 il Garante Privacy ha pubblicato un comunicato stampa volto a far chiarezza in tema di trattamento di dati personali e attività di prevenzione della diffusione del Coronavirus, fornendo maggiori dettagli sulla posizione che è tenuto ad assumere il titolare del trattamento in questa fase delicata.

Il comunicato del Garante è rivolto a soggetti pubblici e privati e mira a fornire indicazioni riguardo la possibilità di porre in essere due specifiche attività di trattamento, ovvero: i) la raccolta di informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio, all’atto della registrazione di visitatori e utenti presso sedi ed uffici e ii) la raccolta di informazioni da parte dei datori di lavoro circa l’assenza di sintomi influenzali nei propri dipendenti e vicende relative alla propria sfera personale (anche tramite semplici autodichiarazioni).

Il Garante è infatti stato molto chiaro nell’indicare che tutti i titolari del trattamento devono attenersi scrupolosamente alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati, anche sulla salute, ove non siano normativamente previste e/o disposte dagli organi competenti.

In particolare, i datori di lavoro devono astenersi dal raccogliere, a priori e in modo “sistematico e generalizzato”, informazioni su eventuali sintomi influenzali dei propri dipendenti e dei loro contatti personali più stretti o comunque rientranti nella propria sfera extra-lavorativa.

La posizione adottata dal Garante si basa su due presupposti:

1) la prevenzione dalla diffusione del Coronavirus (e più in genere la tutela della salute pubblica) resta una prerogativa dei soggetti che svolgono istituzionalmente tale compito, che sono gli unici organi deputati a verificare il rispetto delle regole di sanità pubblica. Prerogativa che quindi non sorge in capo ai privati, nemmeno in relazione a casi particolari e di emergenza come quello di specie;

2) non è possibile effettuare attività di raccolta di dati sulla salute (sia di utenti o visitatori che di lavoratori) che non siano normativamente previste o disposte dagli organi competenti. A tal riguardo, i provvedimenti di emergenza adottati dal Governo per il Coronavirus non legittimano i privati a svolgere controlli indiscriminati che potrebbero essere invasivi della privacy degli individui. In altre parole, il trattamento di cui in oggetto non può essere effettuato invocando genericamente il pubblico interesse, mentre è invece richiesta una norma di legge che espressamente autorizzi la raccolta e il trattamento dei dati. Norma che, ad oggi, non è prevista dal nostro sistema.

Tuttavia, la comunicazione del Garante non esclude a priori la possibilità per il titolare di porre in essere determinate azioni di verifica e controllo, che però dovranno risultare legittime e non invasive. A tal fine, è raccomandabile: 

  • evitare la raccolta di dati tramite questionari e/o indagini inerenti alla salute dei soggetti interessati;
  • predisporre comunicazioni generiche indirizzate a dipendenti, clienti, fornitori, utenti e visitatori che potranno essere trasmesse sia via e-mail, sia tramite l’esposizione di cartelli all’ingresso dei locali del titolare, che informino dell’impossibilità ad accedere alla sede ed agli uffici per i soggetti provenienti da zone a rischio e/o a contatto con soggetti a rischio e/o che presentino sintomi influenzali (febbre e tosse);
  • incentivare le attività di smart-working;
  • mettere a disposizione all’ingresso dei locali del titolare dei termometri, in modo tale che dipendenti, clienti, fornitori, utenti e visitatori possano procedere alla misurazione della febbre in autonomia ed indicare l’impossibilità di accedere ai locali per coloro che rilevino la presenza di febbre e sintomi affini.

Ove ragioni di necessità ed urgenza impediscano di aderire alle raccomandazioni di cui ai punti precedenti e risulti assolutamente necessario procedere nella raccolta di dati inerenti alla salute dei soggetti interessati, tale operazione, benché sconsigliabile, potrà avere luogo esclusivamente previa presentazione di apposita informativa privacy, nel rispetto dell’art. 13 del GDPR. Tale documento dovrebbe pertanto illustrare in dettaglio (tra l’altro) le modalità e finalità del trattamento, i mezzi utilizzati, i tempi di conservazione dei dati e i soggetti a cui le informazioni saranno comunicate; il titolare deve inoltre assicurarsi non solo di disporre di una legittima base giuridica ma anche di procedere alla raccolta dei soli dati strettamente necessari per lo svolgimento delle attività di trattamento.

Resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

Il testo del comunicato è reperibile integralmente al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117.

Laura Mastrocicco – Studio Legale DGRS