Coronavirus: può il datore di lavoro raccogliere dati sulla salute dei dipendenti?

In questi giorni molte aziende pubbliche e private hanno messo in atto modalità di raccolta d’informazioni dai propri dipendenti, utenti, visitatori e fornitori, circa la presenza di sintomi del Coronavirus.

Tra le domande più frequenti figurano:

– Hai avuto in questi ultimi 15 giorni uno dei seguenti sintomi: febbre superiore ai 37 gradi, tosse, mal di gola, raffreddore?

– Negli ultimi 15 giorni hai soggiornato in Cina, in uno dei comuni italiani della Zona Rossa, sei entrato in contatto con qualcuno che presentava sintomi influenzali?

Sebbene l’intento preventivo di tale attività sia chiaro, deve essere altrettanto chiaro che la natura di tali dati rientra nella previsione dell’art. 9 Reg. UE 2016/679 che impone il divieto al loro trattamento a meno di rientrare nei casi di esenzione esplicitamente previsti.

L’art. 9 par. 2 lett. i) consente infatti “il trattamento del dato sanitario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero (…) sulla base del diritto dell’Unione Europea o degli Stati Membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato e in particolare il segreto professionale”. Questo significa che in caso di gravi minacce per la salute il dato sanitario può essere trattato ma solo a determinate condizioni (nella tutela dei diritti e delle libertà dell’interessato) e da determinati soggetti (chi esercita professioni sanitarie tenuti al segreto professionale).

Il datore di lavoro, a meno che non si parli di una struttura sanitaria pubblica o privata, non rispetta questi parametri e quindi non può raccogliere e trattare tali dati.

Si ricorda che la normativa d’urgenza sanitaria adottata in queste settimane dal Ministero della Salute prevede l’obbligo in capo a chiunque si consideri soggetto a rischio infezione di comunicarlo all’azienda sanitaria territorialmente competente. Inoltre, il Ministro per la Pubblica Amministrazione ha sottolineato l’obbligo a carico del dipendente pubblico di segnalare alla P.A. di provenire da aree a rischio, mentre il datore di lavoro deve astenersi dal raccogliere informazioni sulla presenza di eventuali sintomi influenzali del lavoratore o dei suoi contatti stretti rientranti nella sfera extra lavorativa.

In sostanza, viene ribadito il concetto indicato proprio nell’art. 9 par. 2 lett i): il trattamento del dato a fini preventivi può e deve essere svolto solo dai soggetti che svolgono istituzionalmente questa funzione in modo qualificato o autorizzato (operatori sanitari e sistema attivato dalla protezione civile).

Infine, residua in capo al datore di lavoro l’obbligo (derivante dal d.lgs 81/2008) di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” del luogo di lavoro e la possibilità di sottoporre a visita straordinaria i lavoratori più esposti (URP, sportelli pubblici, ecc.) tramite il medico competente.

Con provvedimento del 2 marzo 2020, lo stesso Garante della Privacy invita i datori di lavoro pubblici e privati ad astenersi dall’intraprendere iniziative autonome che prevedano la raccolta di dati sanitari non normativamente previste o disposte dagli organi competenti.

Scarica qui il pdf del provvedimento del Garante della Privacy: GarantePrivacy-9282117-1.0