Il 2020 sarà ricordato come l’anno dell’esplosione della pandemia da covid-19.
Ancora non siamo in grado di valutare le conseguenze e i cambiamenti che potrebbero esserci nella società e nel modo di relazionarsi tra le persone. Ciò nonostante, nel nuovo quotidiano di mascherine, distanza sociale e tamponi, ognuno di noi ha avuto la necessità di adeguare comportamenti al fine di difendere la salute propria e altrui.
Ovviamente l’adeguamento ha coinvolto anche tutte le organizzazioni, che si sono prodigate nel mettere in piedi sistemi che tutelassero le loro attività e tutto il personale coinvolto.
A volte, tuttavia, il desiderio di tutela della salute ha fatto adottare protocolli, nel primo momento emergenziale, che eccedevano rispetto alle regole in vigore.
Favorito da una giovane norma di riferimento (il GDPR) e da una poca diffusione di cultura sull’argomento, il “nostro mondo” della protezione dei dati personali è stato protagonista in tal senso, tanto che l’Autorità Garante per la protezione dei dati personali è dovuta intervenire con una specifica nota per ricordare che il “fai da te”, anche se dettato da buone intenzioni, poteva rivelarsi pericoloso rispetto a una corretta conformità normativa.
La figura del DPO dopo il GDPR
Sappiamo che il Regolamento ha introdotto, in Italia e in altri stati dell’UE, la figura del Responsabile della Protezione dei Dati (RPD o DPO). In un nostro precedente articolo abbiamo parlato delle sue caratteristiche.
In questo ambito è opportuno ricordare che tra i suoi compiti rientrano, tra gli altri, la consulenza al Titolare del trattamento e al Responsabile del trattamentoin merito agli obblighi derivanti dalla normativa sulla protezione dei dati e la sorveglianza all’osservanza della normativa e delle politiche del Titolare o del Responsabile in materia di protezione dei dati personali.
Qualora ce ne fosse ancora la necessità, questo consente di affermare che il DPO rappresenta la figura che, anche per i trattamenti derivanti dall’emergenza sanitaria, può e deve supportare il Titolare o il Responsabile per verificare la conformità delle loro organizzazioni alla normativa. Ovviamente spettano al Titolare e al Responsabile del trattamento le decisioni riguardanti l’indirizzo e la gestione dell’organizzazione (comprese le azioni riguardanti la conformità aziendale, nel nostro caso al GDPR) ma il DPO deve fornirgli consapevolezza e supportarli nelle loro scelte riguardanti la protezione dei dati personali segnalandogli tempestivamente situazioni di non conformità.
Perché ciò avvenga nel migliore dei modi, il DPO deve conoscere e costantemente aggiornarsi e formarsi su tutto ciò che riguarda il suo campo di azione: la protezione dei dati personali e la libera circolazione dei dati stessi.
Per questo riteniamo utile e opportuno tentare di fornire la nostra opinione alle principali sollecitazioni che, testimoniando dubbi e problematiche a seguito dell’emergenza covid-19, sono arrivate negli ultimi mesi alla segreteria di ASSODPO.
Privacy e data protection nel contenimento dell’emergenza sanitaria
Nel presente whitepaper vi presentiamo alcune utili FAQ per l’attività del DPO nel contesto dell’emergenza sanitaria:
I trattamenti derivanti dalle misure di contrasto, ad esempio i controlli della temperatura corporea, possono intendersi come trattamenti necessari per motivi di interesse pubblico rilevante (art. 9, punto 2, lettera g) del GDPR?
Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro fra il Governo e le parti sociali chiarisce, al paragrafo 2 che la condizione di deroga per il trattamento di categorie particolari dai dati personali è rappresentata proprio dai Protocolli di sicurezza anti-contagio ai sensi del DPCM 26/04/2020 – allegato 6 (ex. Art. 1 n 7 lett. d) del DPCM 11 marzo 2020). Ne consegue, quindi, che per il contrasto e il contenimento della diffusione del virus la base giuridica per i trattamenti di dati personali può essere individuata nell’ l’art. 6.1.c (obbligo di legge), mentre la deroga per il trattamento di categorie particolari di dati è NELL’ARTICOLO l’art. 9.2.b così come può essere legittimante quanto previsto dalla lettera i) dello stesso articolo 9.
In ogni caso, in questa emergenza, la base giuridica viene già indicata dalla stessa autorità governativa come “l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lettera d) come sopra già evidenziato.
Questa condizione che rende lecito il trattamento deve essere ben conosciuta in particolare dalle persone autorizzate alle attività connesse per poter dare risposte precise ed esaustive alle eventuali, comprensibili domande delle persone sottoposte alla rilevazione della temperatura corporea nei vari luoghi di ingresso ai posti di lavoro data l’eccezionalità dell’emergenza in atto con la compressione o quanto meno con una diversa possibilità di espressione dei nostri diritti.
È obbligatorio rilevare la temperatura di chi accede ai locali aziendali (dipendenti, visitatori o fornitori)?
Anche se il protocollo del 24 aprile scorso (non quello condiviso con l’associazione nazionale costruttori edili che prevede l’obbligatorietà della misurazione della temperatura corporea) con la parola “potrà” non stabilisce la perentorietà di questo trattamento, per l’esperienza sul campo e come misura prudenziale, si ritiene che sia altamente consigliabile che il datore di lavoro (per il GDPR il Titolare del trattamento) adotti tale misura prudenziale nell’interesse dei dipendenti, della azienda e dei terzi.
Nel vademecum realizzato dal Ministero della Salute in collaborazione con l’Istituto Superiore di Sanità e il Centro europeo di prevenzione e controllo delle malattie, si sottolinea il dovere di tutti in caso di sintomi potenzialmente riconducibili al virus covid-19 di non recarsi al lavoro ma di restare in casa, avvisare il proprio medico di base e attenersi alle sue indicazioni. Si ricorda che il Titolare deve comunque informare gli interessati circa le disposizioni delle Autorità.
Si evidenzia, inoltre, che non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, mentre è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
Si precisa, infine, che la rilevazione della temperatura dopo l’identificazione del personale (ad esempio dopo un tornello di accesso) diventa un trattamento di soggetto identificato e, secondo i termini del Protocollo Condiviso, impone, in caso di superamento della temperatura soglia, il trattamento del soggetto come “sintomatico in azienda”.
È possibile richiedere autodichiarazioni a dipendenti, visitatori e fornitori che accedono ai locali dell’organizzazione?
Sì, è possibile.
Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni (fatte salve disposizioni nazionali o regionali che mutano la durata della conservazione), abbia avuto contatti con soggetti risultati positivi al covid-19 o provenga da zone a rischio secondo le indicazioni dell’OMS o delle Autorità Sanitarie Locali nazionali. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio, è possibile, quindi, richiedere a dipendenti e anche a terzi (es. visitatori e fornitori) una dichiarazione che attesti tali circostanze.
In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da covid-19, astenendosi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.
Infine, è opportuno ricordare che la raccolta di dati (anche nel caso delle autocertificazioni) deve essere sempre preceduta dall’informativa. Le dichiarazioni, inoltre, potranno essere trattate solo da soggetti autorizzati dal Titolare del trattamento. Questi dovrà provvedere preventivamente a fornire loro le specifiche istruzioni circa il corretto trattamento.
Tale dichiarazione, costituendo anch’essa un trattamento di dati personali, si fonda sulla stessa base giuridica della rilevazione della temperatura corporea.
In caso di rilevazione di temperatura e di raccolta di autodichiarazione di interessati che hanno accesso ai locali dell’azienda è necessario effettuare un’apposita DPIA?
Non è previsto alcun obbligo normativo o in base a specifici provvedimenti del garante privacy nazionale di effettuare una valutazione d’impatto per i trattamenti indicati. Si precisa che il Titolare del trattamento può decidere comunque di effettuare una DPIA su trattamenti da lui effettuati anche quando non obbligatoria.
Si ricorda che periodicamente o in caso di nuovi trattamenti (come nel caso dei trattamenti in oggetto) è comunque necessario aggiornare la valutazione dei rischi privacy. Ciò ci offre l’occasione per rammentare che la valutazione dei rischi circa la protezione dei dati personali – al di là della valutazione d’impatto così come indicata nel GDPR e nel provvedimento dell’Autorità Garante dell’ottobre 2018 – deve far parte delle azioni basiche di accountability del Titolare (o del responsabile) del trattamento. Solo con questa valutazione i due soggetti potranno costruire modelli organizzativi adeguati ai trattamenti che vorranno attuare, il Titolare sulla scorta delle finalità decise, il Responsabile in base alle sue attività da svolgere in relazione ai compiti assegnati dal Titolare stesso e per conto di esso.
Come ci si deve comportare con i visitatori e i fornitori che accedono alle sedi aziendali?
Oltre a quanto indicato ai precedenti punti 2 e 3, come previsto dal paragrafo 3 del Protocollo condiviso e qualora non già presente sarebbe opportuno suggerire ai titolari e responsabili del trattamento di prevedere una procedura di accesso e di permanenza nei luoghi di lavoro che disciplini: modalità di ingresso alle aree aziendali, modalità di carico e scarico delle merci, percorsi e locali dedicati per il personale che deve permanere in sede, modalità di comportamento.
Si sottolinea che qualsiasi scelta organizzativa spetta all’organizzazione, in particolare al datore di lavoro che potrà farsi assistere da un comitato di crisi appositamente costituito, e non al DPO.
Quali sono i protocolli di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro attualmente vigenti? Esistono delle linee guida? Protocolli e Linee guida si applicano anche alla Pubblica Amministrazione?
I diversi protocolli e linee guida sull’argomento sono stati inseriti come allegati nei vari DPCM emanati dal Consiglio dei ministri a partire da quello del 26 aprile 2020 che fa seguito a quello dell’11 marzo 2020. Il DPCM del 18 ottobre 2020 contiene, tra l’altro:
- Allegato 8: Linee guida per la gestione in sicurezza di opportunità organizzate di socialità e gioco per bambini e adolescenti nella fase 2 dell’emergenza covid-19;
- Allegato 9: Linee guida per la riapertura delle Attività Economiche, Produttive e Ricreative;
- Allegato 11: Misure per gli esercizi commerciali;
- Allegato 12: Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro fra il Governo e le parti sociali;
- Allegato 13: Protocollo condiviso di regolamentazione per il contenimento della diffusione di covid-19 nei cantieri;
- Allegato 14: Protocollo condiviso di regolamentazione per il contenimento della diffusione del covid-19 nel settore del trasporto e della logistica;
- Allegato 15: Linee guida per l’informazione agli utenti e le modalità organizzative per il contenimento della diffusione del covid-19 in materia di trasporto pubblico;
- Allegato 16: Linee guida per il trasporto scolastico dedicato;
- Allegato 17: misure di prevenzione anticovid-19 a bordo delle navi da crociera;
- Allegato 18: linee guida per la ripresa delle attività nelle istituzioni della formazione superiore;
- Allegato 20: spostamenti da e per l’estero;
- Allegato 21: Indicazioni operative per la gestione di casi e focolai di SARS-CoV-2 nelle scuole e nei servizi educativi dell’infanzia;
- Allegato 22: Protocollo per la gestione di casi confermati e sospetti di covid-19 nelle aule universitarie.
Si precisa che il contenuto del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro fra il Governo e le parti sociali è rimasto invariato nel testo e nei contenuti rispetto a quello inserito nel DPCM del 26 aprile 2020.
Per la Pubblica Amministrazioni sono in vigore il Protocollo quadro per la prevenzione e la sicurezza dei dipendenti pubblici sui luoghi di lavoro in ordine all’emergenza sanitaria da “covid-19” del 24 luglio 2020 e la Circolare n. 3 del 24 luglio 2020 del Ministro per la Pubblica amministrazione avente per oggetto Indicazioni per il rientro in sicurezza sui luoghi di lavoro dei dipendenti delle pubbliche amministrazioni.
Si suggerisce di approfondire la conoscenza dei vari allegati in relazione alle attività svolte ricordando che i protocolli rappresentano una prima base su cui i vari datori di lavoro dovranno poi elaborare e adottare le proprie procedure, adeguandole alle specifiche realtà lavorative, posto che, in ogni caso, sono e saranno i soli responsabili della salute e sicurezza sui luoghi di lavoro, civilmente, amministrativamente e penalmente.
Dal lato “privacy” sono e saranno titolari del trattamento e i dati in oggetto sono quelli sulla salute delle persone (gli interessati) e per questo tutelati in maniera particolare dal regolamento europeo e dai garanti.
Naturalmente, sarà necessario curare il costante aggiornamento seguendo i vari provvedimenti adottati sia a livello del Governo sia a quelli delle varie Regioni.
L’Inail nel suo sito web pubblica continui aggiornamenti sui Provvedimenti emanati dalle Pubbliche Autorità così come nei siti web delle Regioni sono consultabili le rispettive ordinanze adottate nel tempo.
Naturalmente, il sito web del Garante Privacy sarà costantemente monitorato per seguire ad horas i Provvedimenti e i Pareri dati dalla stessa Autorità.
Il datore di lavoro può o deve rendere nota l’identità di un lavoratore risultato positivo al covid-19 agli altri lavoratori? L’appaltatore può o deve comunicare al committente il nominativo di un suo lavoratore coinvolto nelle attività appaltate risultato positivo al virus?
La risposta è NO per entrambe le casistiche delle due domande. Se del caso, solo le autorità sanitarie competenti possono informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi.
Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla situazione emergenziale.
La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti.
Si evidenzia che il datore di lavoro può venire a conoscenza dell’eventuale positività (eventualmente pregressa) di un dipendente solo nei seguenti casi:
- Quando ne venga informato direttamente dal lavoratore;
- Nei limiti in cui sia necessario al fine di prestare la collaborazione all’autorità sanitaria;
- Ai fini della riammissione sul luogo di lavoro del lavoratore già risultato positivo all’infezione da covid-19.
Da sottolineare che proprio nei protocolli viene suggerito di non registrare il dato acquisito rinviando la identificazione dell’interessato e la rispettiva trascrizione della temperatura (quando sia superiore a 37,5°) solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali dell’azienda. Ciò, quindi, significa che è possibile registrare temperature e identità delle persone. Altro spunto per ricordare che i soggetti deputati a tale servizio devono essere adeguatamente istruiti e nominati in base all’art. 29 del GDPR.
Ma non solo: da sottolineare che tale trattamento dovrà essere inserito nel registro dei trattamenti del Titolare (e del Responsabile ma in questo caso non come Responsabile ma sempre in qualità di Titolare per i dati trattati dei suoi dipendenti).
A chi e come vengono comunicati i risultati dei tamponi dei lavoratori?
L’esito dei tamponi, indipendentemente dalla motivazione che ne ha causato l’effettuazione, deve essere comunicato solo al diretto interessato e alle autorità sanitarie. Il datore di lavoro non può venirne a conoscenza se non tramite il medico competente tenuto conto (anche) di quanto disposto nel Testo Unico (TU) 81 del 2008 in relazione proprio ai rapporti tra datore di lavoro con il medico competente, con il responsabile del servizio di prevenzione e protezione, con il rappresentante dei lavoratori per la sicurezza.
A tal fine si segnalano, tra gli altri, gli articoli del suddetto TU 81: 25, 38, 39, 40, 41 e 42; 31 e seguenti; 36 e seguenti; 47 e seguenti.
A proposito del medico competente si evidenzia come nel protocollo del 24 aprile i suoi compiti, come medico del lavoro, siano stati esaltati ponendolo a supporto concreto del datore di lavoro per la sua specifica professionalità in relazione alla emergenza sanitaria. Dal lato della protezione dei dati personali si ricorda il parere del Garante nazionale del 2019 con il quale i medici cd competenti sono stati riconosciuti come titolari autonomi del trattamento (anche in relazione al combinato disposto del tu 81 del 2008).
È il caso, a tal proposito, magari con l’aiuto di un consulente, di approfondire i casi per i quali la nomina del Medico Competente, ai sensi del Testo Unico 81 del 2008, sia obbligatoria o no. Recenti sentenze della Corte di Cassazione hanno riguardato proprio vicende nelle quali il Datore di lavoro, pur obbligato, non aveva provveduto a tale nomina. Questa omissione, che già di per sé costituisce illecito penale, avrebbe conseguenze ancor più gravi dato il periodo di emergenza sanitaria in atto.
Le prestazioni straordinarie rese dal DPO in occasione dell’emergenza covid-19, possono essere motivo per chiedere integrazione contrattuale e compenso aggiuntivo?
I compiti del DPO sono riportati nell’art. 39 del GDPR. Il Regolamento non differenzia le attività in funzione dell’impegno temporale, degli strumenti utilizzati, dell’energia profusa, degli imprevisti sopraggiunti. Il DPO, quindi, deve svolgere i suoi compiti in riferimento alla globalità dei dati personali del “proprio” Titolare del trattamento. Ne deriva che la sola introduzione di nuovi trattamenti non dovrebbe essere utilizzata come motivazione per ottenere una integrazione contrattuale o un compenso aggiuntivo (anche perché creerebbe un principio che potrebbe essere evocato dal Titolare in maniera inversa nel caso di riduzione dei trattamenti).
Ciò premesso, il rapporto tra Titolare e DPO nominato è regolato da un contratto di lavoro subordinato (nei casi in cui l’incarico sia affidato ad un dipendente del Titolare) o da un accordo tra due parti (negli altri casi). Qualora il contratto o l’accordo lo preveda o qualora si abbia la possibilità di ridefinire i loro termini, eventuali integrazioni contrattuali o compensi aggiuntivi potranno essere rinegoziati indipendentemente dall’emergenza covid-19.
È il caso di sottolineare qui che le prestazioni professionali del RPD/DPO non sono obbligazioni di risultato bensì di mezzi (distinzione che nel tempo, però, è andata sempre più sfumando e, quindi, si suggerisce di fare molta attenzione alle prestazioni rese).
Certo è che, in caso di sanzioni disposte dal Garante privacy in esito ad una attività ispettiva, il Titolare (o il Responsabile) del trattamento potrebbe, ove ritenesse che la causa delle infrazioni accertate dalla Autorità sia da rinvenire nella negligenza e/o nella imperizia del Responsabile della protezione dei dati, rivalersi nei suoi confronti a mezzo di una chiamata civilistica per risarcimento del danno (in questo caso la sanzione pecuniaria inflitta dal Garante e altri danni subiti, per esempio quello reputazionale) invocando la responsabilità professionale.
Soccorrono qui gli articoli 1176, 1218 e 2236 del Codice civile che i DPO faranno bene a non dimenticare.
Come non potranno dimenticare la stipula di una adeguata polizza assicurativa per le attività svolte nel loro incarico a protezione dei dati personali. Il possesso di questa polizza dovrebbe essere valutato, assieme agli requisiti, dai Titolari e Responsabili del trattamento al momento della selezione e scelta del loro DPO.
Se il DPO non è stato informato dei nuovi trattamenti derivanti dall’emergenza sanitaria, quali possono essere le responsabilità? Se il Titolare del trattamento non ha coinvolto il DPO nel Comitato di crisi, esistono strumenti per obbligarlo in tal senso?
La responsabilità della corretta applicazione del GDPR, anche in riferimento a nuovi trattamenti, è in capo al Titolare del trattamento (e al Responsabile del trattamento per quanto di sua competenza). Il DPO, quindi, non ha responsabilità dirette nel caso l’organizzazione non risulti conforme alla normativa, né può obbligare il Titolare in alcun modo.
Anche al fine di minimizzare il rischio di non coinvolgimento, il DPO (che è tenuto, tra l’altro, non solo a sorvegliare l’osservanza del Regolamento e di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati ma anche a informare il Titolare degli obblighi previsti dalla citata normativa, compresa quella derivante dall’emergenza sanitaria da covid-19), dovrebbe attuare una serie di azioni come, ad esempio:
- Raccomandare di predisporre e far diffondere una procedura che indichi le regole (come, cosa, chi e quando) per il suo coinvolgimento (che sia armonizzata con il regolamento del DPO);
- Pretendere la regolazione di idonei flussi informativi a lui diretti;
- Effettuare specifica attività informativa nei confronti del personale dell’organizzazione;
- Prevedere piani di controllo/audit;
- Intervenire proattivamente qualora sia a conoscenza di situazioni (come, ad esempio, nel caso dell’attuale emergenza sanitaria da covid-19) che possano introdurre nuovi trattamenti di dati personali (in questo caso, tra l’altro, di dati particolari di cui all’art. 9 del GDPR).
- Quale è il ruolo del medico competente nei trattamenti derivanti dall’emergenza sanitaria?
Il medico competente, all’interno di un contesto lavorativo/aziendale, non è una novità (lo ritroviamo infatti ben descritto e definito all’interno del D.lgs. 81/08 e successive modificazioni).
Tuttavia, in un contesto così inasprito dall’emergenza sanitaria in corso, sono state introdotte importanti novità da svariati protocolli e decreti ministeriali. Qui di seguito alcune di queste.
Il medico competente deve supportare il datore di lavoro nel processo di valutazione del rischio e deve operare la sorveglianza sanitaria anche in un contesto di rientro (si veda Protocollo condiviso tra il Governo e le Parti sociali), che introduce l’obbligo di sottoporsi a visita medica, al rientro sul posto di lavoro, per tutti coloro che sono stati affetti dal covid-19).
Ancora, con il Protocollo siglato tra OO.DD. e OO.SS, nel corso della sua attività di sorveglianza sanitaria, dovrà considerare anche i soggetti con particolari fragilità (si veda la successiva domanda 12).
Inoltre, nel valutare i rischi collaborando con il datore di lavoro, lo supportano altresì nell’individuare misure volte ad evitare l’isolamento sociale dei lavoratori in modalità “telelavoro”.
Infine, le più importanti:
- Solo il medico competente, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso);
- Il medico competente è l’unico che può realizzare visite e accertamenti anche finalizzati al rientro del lavoratore in azienda.
Si ricorda, infine, che il medico competente – come sopra già ricordato – ai sensi della normativa sulla protezione dei dati personali è identificato come autonomo Titolare del trattamento.
Chi identifica i soggetti fragili?
La Circolare congiunta del Ministero del Lavoro e delle Politiche Sociali e del Ministero della Salute sulla sorveglianza sanitaria nei luoghi di lavoro, in relazione al contenimento del rischio di contagio da SARS-CoV-2 con particolare riguardo alle lavoratrici e ai lavoratori fragili ha chiarito che il concetto di fragilità deve essere individuato “in quelle condizioni dello stato di salute del lavoratore rispetto alle patologie preesistenti che potrebbero determinare, in caso di infezione, un esito più grave o infausto”, precisando che il parametro dell’età da solo non costituisce elemento sufficiente per definire uno stato di fragilità nelle fasce di età lavorative.
La stessa Circolare indica che ai lavoratori e alle lavoratrici deve essere assicurata la possibilità di richiedere al datore di lavoro l’attivazione di adeguate misure di sorveglianza sanitaria, in ragione dell’esposizione al rischio da SARS-Co V-2, in presenza di patologie con scarso compenso clinico come malattie cardiovascolari, respiratorie e metaboliche, con documentazione medica attestante la relativa patologia.
La sorveglianza sanitaria è effettuata dal medico competente appositamente nominato dal datore di lavoro in ottemperanza a quanto stabilito dal D.lgs. 81/08. Sarà, quindi, il medico competente che identificherà, anche su richiesta del lavoratore e sulla base delle opportune valutazioni, i soggetti fragili dandone tempestiva informazione al datore di lavoro.
Nei casi in cui i datori di lavoro non siano tenuti alla nomina del medico competente (Art. 18.1.a del D.lgs. 81/08), su richiesta del lavoratore, il datore di lavoro potrà inviare il lavoratore a visita presso enti pubblici e istituti specializzati di diritto pubblico.
Il medico competente deve ricevere il consenso del lavoratore per verificare lo stato di fragilità di un dipendente?
Il medico competente non necessita di consenso da parte del lavoratore per il trattamento in oggetto.
Infatti, se l’art. 9 del Regolamento vieta, comma 1, di trattare, tra gli altri, dati personali relativi alla salute, il comma 2 del medesimo articolo riporta i casi in cui tale divieto non si applica e, nello specifico, la lettera h) riporta “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”.
Si precisa che la casistica della lettera h) si applica se i dati personali “sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.
Ma anche la lettera g) del secondo paragrafo del medesimo articolo può essere presa a base del trattamento così come la lettera i) con i rispettivi considerando.
Anche il considerando 46, seppur non proprio riferito all’art. 9 ma alla liceità dei trattamenti di dati personali in genere, può essere tenuto in considerazione laddove fa riferimento proprio al controllo delle evoluzioni epidemiologiche.
Il medico competente deve ricevere il consenso del lavoratore per informare il datore di lavoro sull’eventuale fragilità riscontrata?
La sorveglianza sanitaria è effettuata dal medico competente nei casi previsti dalla normativa vigente (Art. 41.1 del D.lgs. 81/08) o su richiesta del lavoratore e la stessa sia ritenuta dal medico competente correlata ai rischi lavorativi. Sulla base delle risultanze delle visite mediche, il medico competente esprime un giudizio di idoneità che deve essere comunicato per iscritto al lavoratore e al datore di lavoro (Art. 41.6-bis del D.lgs. 81/08).
Ne consegue che il medico competente è obbligato ad informare il datore di lavoro sull’eventuale fragilità di un lavoratore e non necessita del consenso di quest’ultimo per tale trattamento.
Si precisa che il medico competente non deve fornire al datore di lavoro informazioni sulle patologie del lavoratore (comprese quelle derivanti da covid-19). Se del caso, saranno le autorità sanitarie ad attivarsi in tal senso con il datore di lavoro. Il medico competente, invece, dovrà dare riscontro al datore di lavoro di riammissione alla mansione a seguito di avvenuta “negativizzazione” di un lavoratore risultato positivo al covid-19. A tal proposito, si segnala che il datore di lavoro deve informare tutti i lavoratori che, in caso di positività al covid-19 e prima della riammissione, è necessario contattare il medico competente affinché possa procedere alla emissione di un certificato di idoneità alla mansione anche se la malattia ha avuto una durata inferiore ai 60 giorni previsti.
Whitepaper a cura del Gruppo Privato del Comitato Scientifico di ASSO DPO.