Aprile 30, 2020
La tutela della salute in azienda si attua secondo precise regole – 29.4.2020
La tutela della salute in azienda si attua secondo precise regole. – 29.4.2020
Con il decreto del Pres. Conte del 26 aprile 2020, l’imprenditore è tenuto ad attuare il Protocollo (allegato 7 del DPCM) per la salute dei propri dipendenti, dei terzi che hanno accesso in azienda e per la salute collettiva ponendo massima attenzione alle ipotesi di potenziale contagio: prevenire è la regola per la sicurezza di ognuno.
E’ indispensabile che l’imprenditore ogniqualvolta si avvalga di medici e di preposti ai controlli, all’ingresso e durante la permanenza, ponga massima attenzione alle modalità di incarico e alla tutela del trattamento dei dati personali.
Al medico l’incarico va affidato nel pieno rispetto del GDPR: un contratto scritto che disciplini la durata, la natura, la finalità, gli obblighi e i diritti del titolare e dell’interessato del trattamento dei dati relativi alla salute.
Il contratto, inoltre, dovrà essere redatto in applicazione del D.Lgs. n. 81/2008 – art. 2, co. 1, lett. m) e cioè precisando l’ambito della “«sorveglianza sanitaria» in quanto, secondo il Protocollo, è l’imprenditore che deve valutare le situazioni di possibile pericolo e nell’immediato interagire con l’autorità sanitaria e detti
obblighi, se delegati, vanno correttamente regolamentati.
La scelta assunta ha, a seconda dei casi, dei corollari ben precisi. L’applicazione del Protocollo va parametrata ai dettati del citato D.Lgs. n. 81/2008: ad es. a partire dall’accesso ai dati circa l’idoneità “sanitaria” del dipendente così come allo svolgimento da parte del medico dei propri compiti nella sua garantita autonomia
(art. 39, co. 4). Il dovere per il medico di “segnalare all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” comporta anche il trattamento di
informazioni relative a patologie attuali o pregresse del lavoratore. Egli assume il ruolo di contitolare del trattamento insieme all’imprenditore nel pieno rispetto e
con ogni necessario adeguamento al GDRP; obblighi informativi e di formazione da fornire ai lavoratori per la salute del singolo e anche di ognuno stante la necessaria
attività di prevenzione alla diffusione del contagio. Al medico è demandato anche il compito propositivo di suggerire l’adozione di eventuali mezzi diagnostici utili sia al contenimento e sia alla diffusione del virus.
Il GDPR prevede che una volta predisposta la nuova informativa andrà di conseguenza aggiornato anche il Registro dei trattamenti (art. 30); vanno descritte
tutte le nuove scelte dell’imprenditore quale Titolare del trattamento (o chi per lui) concernenti le ulteriori nomine che egli abbia inteso contrattualizzare così come la descrizione dei mezzi diagnostici adottati e la relativa valutazione d’impatto (art. 35), tenuto conto della natura particolare dei dati personali trattati.
L’imprenditore è tenuto a precisi obblighi anche nei confronti delle terze persone il cui accesso in azienda è attuato per svolgervi un servizio espressamente
commissionato. L’imprenditore è, infatti, tenuto a dare all’impresa appaltatrice completa informativa dell’adottato Protocollo aziendale, con precisi suoi doveri anche di vigilanza diretta.
Ricorre, pertanto, un’espressa estensione dei soggetti che beneficiano di tutele sanitarie a carico dell’imprenditore e del medico (incaricato), i cui dati personali di salute devono essere trattati nella puntuale applicazione della normativa.
Aprile 17, 2020
Circolare – NUOVI OBBLIGHI per la protezione dei dati personali – COVID 19
Il rispetto del “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14.3.2020 per ogni attività produttiva non sospesa (DPCM 10.4.2020, all.3 e per gli accessi disciplinati dal comma 11 dell’art.2 ) e per tutte quelle che progressivamente verranno consentite nelle fasi post emergenza, deve necessariamente attuarsi anche a mezzo di opportuni interventi di adeguamento delle misure di protezione dei dati personali.
Nei preliminari audit aziendali per una corretta attuazione degli obblighi di adeguamento al Regolamento UE 2016/679 – GDPR, una iniziale distinzione è tra gli interventi a tutela dei dati delle persone interne all’aziende rispetto ai consulenti esterni contrattualmente abilitati alla gestione di dati.
Gli obblighi a carico dell’imprenditore di cui al citato Protocollo hanno ampliato le predette due categorie ponendo particolare attenzione a tutte le persone esterne all’azienda che hanno fisico accesso in azienda e vi permangono per periodi temporali variabili a seconda dei motivi di ingresso: commerciali, manutentivi ecc.. Persone in precedenza estranee alle prescrizioni del GDPR perché prive di interazione e di accesso a dati personali gestiti in azienda e che nel nuovo contesto hanno in pieno diritto, come interessati, che i lori dati personali di natura sanitaria vengano legittimamente trattati, con complementare ulteriore ampliamento anche della gestione dei dati personali dei dipendenti/collaboratori per la connessa salvaguardia della salute collettiva.
I nuovi obblighi di adeguamento della tutela dei dati personali
1-INFORMAZIONE – il Protocollo prevede a carico dell’azienda obblighi di informazione a tutti i lavoratori e a chiunque entri in azienda.
In via preliminare è consigliabile la designazione all’interno dell’organizzazione di una persona preposta dall’azienda a mezzo di dettagliato contratto anche con nomina di Responsabile del trattamento dei dati personali.
In considerazione del dovere della persona esterna di comunicare al datore di lavoro la presenza di qualsiasi sintomo influenzale, occorre che i detti dati sanitari vengano gestiti nel pieno rispetto del GDPR. Medesimo consenso al trattamento dei dati personali andrà richiesto ai dipendenti con relativa informativa.
2-MODALITA’ DI INGRESSO IN AZIENDA- lavoratori e esterni
Uno degli obblighi preliminari a carico dell’azienda è la rilevazione della temperatura, ciò comporta la registrazione del dato acquisto solo nell’ipotesi di superamento della soglia: in tal caso ricorre l’informativa sul trattamento dei dati personali.
Occorre la corretta predisposizione dell’informativa integrativa nel caso dei lavoratori e di apposita modulistica per gli esterni.
La finalità del trattamento può essere la prevenzione dal contagio da COVID-19; la base giuridica può essere l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020; la durata dell’eventuale conservazione dei dati può far riferimento al termine dello stato d’emergenza; si esclude la diffusione e comunicazione a terzi al di fuori delle specifiche previsioni normative, es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali contatti stretti di un lavoratore risultato positivo al COVID-19.
In considerazione degli obblighi a carico dell’azienda di recepire le comunicazioni da parte del lavoratore dei contatti avuti, al di fuori del contesto aziendale, con soggetti risultati positivi al COVID-19, è opportuna ogni possibile attenzione alla corretta acquisizione di dati, senza quindi, che ricorra l’individuabilità di altre persone interessate.
Le dovute cautele ricorrono in sede di acquisizione da parte dell’azienda di dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19; anche in tal caso occorre rispettare la disciplina sul trattamento dei dati personali, poiché l’acquisizione stessa della dichiarazione costituisce un trattamento. Si raccolgono solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19 (ad es. se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi – vedi nota 1 del Protocollo).
Le dovute cautele ai fini di un corretto trattamento dei dati personali sono oltremodo indispensabili nel caso di allontanamento del lavoratore che durante l’attività lavorativa abbia sviluppato febbre o altri sintomi di infezione, rispetto ai suoi colleghi e a tutti coloro che vi abbiano avuto contatto.
Ricorre il dovere/diritto per l’imprenditore alla piena consapevolezza del ruolo da lui assunto per il delicato legittimo bilanciamento tra il diritto alla tutela collettiva della salute e alla tutela dei dati personali. Egli è strumento per l’attuazione concreta dell’esistente disciplina in particolare ogni qualvolta gli è richiesta una valutazione sullo stato di salute delle persone di cui è responsabile e sulle connesse conseguenze, in particolare nella tempestività delle segnalazioni alle Autorità competenti ed alle persone interne ed esterne dell’azienda potenzialmente coinvolte.
Studi e Consulenza Srl – Avv. Giuseppe Sparano – p. Avv. Lorenzo Sparano
