Premessa
La recente integrazione apportata al Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro, pone in capo al datore di lavoro tutti gli adempimenti in materia di trattamento dei dati, un ruolo centrale è riconosciuto al medico competente, nell’attuazione delle misure previste, attraverso la segnalazione al datore di lavoro di situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti.
Adempimenti del Datore di lavoro
Il primo obbligo del datore di lavoro è quello di informare tutti i lavoratori e chiunque entri in azienda, circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, dei cartelli che devono specificare:
- l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;
- l’obbligo di dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano condizioni di potenziale pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc). In tali casi, infatti, i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio;
- l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene);
- l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti;
- l’ingresso in azienda di lavoratori già risultati positivi all’infezione da COVID 19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti di essersi sottoposto al tampone e di aver avuto esito negativo, secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza.
Dunque, il datore di lavoro si trova a dover venire a conoscenza dei seguenti dati sanitari:
– temperatura corporea dei propri dipendenti,
– sopravvenuta positività o sospetta tale da COVID-19.
È fatto obbligo del dipendente, dal canto suo, comunicare al datore di lavoro:
-di aver avuto contatti, al di fuori del contesto aziendale, con soggetti positivi al COVID-19
– della sua negatività attraverso una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico
– l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19.
Per quanto concerne la rilevazione della temperatura corporea– che potrà essere effettuata all’entrata del luogo di lavoro- il dato relativo alla temperatura corporea dovrà essere registrato, soltanto se superiore dei 37,5 °, seguita dall’identificazione dell’interessato, fattispecie che determina anche allo scopo di documentare le ragioni l’impossibilità di accedere ai locali aziendali.
L’Azienda, prima di procedere con la rilevazione della temperatura corporea, dovrà fornire l’informativa sul trattamento de dati personali, ai sensi dell’art. 13 GDPR. L’informativa dovrà contenere gli elementi essenziali, indicati nel testo del Protocollo:
la finalità del trattamento, individuata nella prevenzione dal contagio da COVID-19;
base giuridica sarà l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020;
termine di conservazione dei dati per il quale occorrerà fare riferimento al termine dello stato d’emergenza, fatta salva la tutela dei diritti in sede giudiziaria, per obblighi normativi o per espressa richiesta dell’interessato.
Nel rispetto del principio cd. di limitazione della finalità (art. 5, par. 1, lett. b), GDPR), il Protocollo ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi, ,al di fuori delle specifiche previsioni normative.
Tali nuovi adempimenti posti in essere dal Titolare del Trattamento, determinano un conseguente aggiornamento del Registro dei trattamenti (art. 30gdpr) e la valutazione d’impatto (art. 35 gdpr).
Ruolo e adempimenti in materia di trattamento dei dati del medico competente
Il medico competente in azienda, assume il duplice ruolo di Titolare del trattamento dei dati personali di natura sanitaria, nonché di responsabile esterno del trattamento ex art. 28 GDPR.
Nel caso in cui il medico presti la propria opera in regime di libero professionale, il datore di lavoro dovrà nominarlo, positivizzando all’interno contratto o altro atto scritto: la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, ai sensi dell’art. 28 GDPR.
La normativa in materia di igiene e sicurezza sul luogo di lavoro, D.lgs. n. 81/2008, infatti, stabilisce i compiti che gravano sul datore di lavoro e sul medico competente, definendo ambiti e competenze. L’art. 39, comma 4, D.lgs. 81/2008, stabilisce che “il datore di lavoro assicuri al medico competente le condizioni necessarie per lo svolgimento di tutti i suoi compiti, garantendone l’autonomia” e l’art. 2, comma 1, lett. m), definisce la “sorveglianza sanitaria”: insieme degli atti medici, finalizzati alla tutela dello stato di salute e sicurezza dei lavoratori, in relazione all’ambiente di lavoro, ai fattori di rischio professionali e alle modalità di svolgimento dell’attività lavorativa”.
Seppur il D.Lgs n. 81/2008 stabilisce che il datore di lavoro non sia legittimato a conoscere le eventuali patologie del lavoratore ma soltanto la sua “idoneità sanitaria”, tuttavia, il protocollo si pone in deroga alla normativa in materia di igiene e sicurezza, là dove pone quale dovere del medico competente “segnalare all’azienda situazioni di particolare fragilità e patologie attuali o pregresse del dipendente”.
Dunque, il ruolo del medico competente sarà fondamentale non soltanto nella identificazione di un dipendente sospetto COVID19, ma anche reinserimento lavorativo di soggetti con pregressa infezione da COVID 19.
Il medico competente dovrà necessariamente coinvolgere il datore di lavoro per ragioni di sorveglianza sanitaria e prevenzione del contagio, nel trattare il caso di un dipendente positivo o sospetto tale. Così facendo il medico competente non rimarrebbe più il solo Titolare del trattamento dei dati sanitari ma assumerebbe il ruolo di contitolare del trattamento insieme al datore di lavoro. Ai sensi dell’art. 26 GDPR, infatti, i contitolari “determinano congiuntamente le finalità ed i mezzi del trattamento, (…). Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento”.
Il Protocollo stabilisce, inoltre, che la sorveglianza sanitaria deve proseguire rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute privilegiando, in questo periodo, le visite preventive, le visite a richiesta e le visite da rientro da malattia, questo al fine di intercettare possibili casi e sintomi sospetti.
Conclusioni
Il rispetto del protocollo, rappresenta l’unico strumento che consente una ripresa economica delle attività lavorative, senza che questo possa, in primo luogo, rappresentare un rischio per il diffondersi del virus e, in secondo luogo, scongiurare la dignità e la tutela dei dati personali dei lavoratori.
Avv. Costanza Brandimarte