CORONAVIRUS: tra sicurezza sul lavoro e privacy 2/2

Parte seconda
INDICAZIONI OPERATIVE

Dopo la prima parte introduttiva vediamo adesso insieme alcuni accorgimenti che imprenditori, commercianti e liberi professionisti devono adottare per garantire la sicurezza sul lavoro e assicurare la tutela dei dati personali.

INFORMAZIONE

L’azienda deve fornire non solo a tutti i lavoratori ma a chiunque acceda ai locali aziendali con apposite e idonee informative le indicazioni relative alle disposizioni dettate dalle Autorità.

In particolare l’informativa dovrà indicare:

• l’obbligo di restare presso il proprio domicilio in presenza di febbre oltre 37.5° o altri sintomi influenzali e di comunicarli all’autorità sanitaria;

• l’impegno a informare il datore di lavoro della presenza di un qualsiasi sintomo influenzale durante l’attività lavorativa

• impegno a rispettare le disposizioni delle Autorità e le disposizioni adottare dall’azienda per l’accesso ai locali: quali ad esempio mantenere la distanza di sicurezza, indossare i dispositivi di protezione individuale (es. mascherina e guanti) e osservare le misure di igiene per le mani

• l’accettazione del fatto di non poter fare ingresso o permanere nei locali aziendali per chi, ad esempio, presenta uno stato febbrile, sintomi influenzali, o negli ultimi 14 giorni sia stato in contatto con persone positive al virus.

NB: le indicazioni riportate sono contenute nei Protocolli adottati nella fase emergenziale, tuttavia non tutte le prescrizioni ivi contenute appaiono essere state allineate con le fonti normative, anche di rango sovraordinato, esistenti, ad esempio in ambito giuslavoristico o privacy. Dunque, anche in questo caso, una corretta adozione di questi accorgimenti dovrebbe passare attraverso il filtro di una consulenza legale.

MODALITÀ DI INGRESSO IN AZIENDA PER DIPENDENTI E FORNITORI ESTERNI

L’imprenditore/datore di lavoro, anche con l’ausilio di collaboratori, in alcuni casi può in altri deve procedere con alcune verifiche sulle persone che intendono accedere in azienda. In particolare:

può controllare la temperatura corporea del personale dipendente prima dell’accesso al luogo di lavoro e in caso di temperatura superiore ai 37.5° deve inibirne l’accesso

• deve vietare l’accesso al dipendente che negli ultimi 14 giorni abbia avuto contatti con soggetti positivi al Covid-19 o provenga da zone a rischio

• prima dell’ingresso in azienda deve ricevere dal personale già risultato positivo al Covid-19 la certificazione di “avvenuta negativizzazione
• deve favorire orari di ingresso/uscita dei dipendenti scaglionati in modo da evitare il più possibile contatti nelle zone comuni, se possibile dedicando una porta di entrata e una di uscita

• deve collocare dispenser contenenti prodotti igienizzanti per le mani in corrispondenza dei punti di accesso e uscita dai locali aziendali

• per i fornitori esterni deve individuare procedure di ingresso, transito e uscita che riducano le occasioni di contatto con il personale

• deve vietare l’accesso agli uffici degli autisti dei mezzi di trasporto

• deve vietare ai fornitori esterni l’utilizzo dei servizi igienici del personale e installarne/destinarne appositi e garantirne adeguata pulizia quotidiana

• deve ridurre l’accesso ai visitatori e in caso di accesso necessario i visitatori dovranno rispettare le regole aziendali

• qualora presente un servizio di trasporto aziendale deve essere garantita e rispettata la sicurezza dei lavoratori lungo ogni spostamento

• in caso di dipendenti di aziende terze positivi al Covid-19 presenti in azienda, l’appaltatore deve immediatamente informarne il committente

• il committente deve dare all’appaltatore completa informativa del protocollo aziendale

NB: anche in questo caso, è corretto avvertire che le prescrizioni sopra indicate fanno parte di quelle emanate in via d’urgenza, ma non sempre si collocano in armonia con la normativa applicabile, di rango superiore. Può ad esempio essere controverso ritenere che il datore di lavoro sia tenuto a conoscere l’esatta patologia Covid-19 del dipendente malato.

TUTELA DEI DATI PERSONALI E DELLA PRIVACY

Anche a prescindere dalle frizioni con il generale quadro normativo applicabile cui si è fatto cenno nei “nota bene”, il rispetto delle disposizioni contenute nei protocolli e nelle linee guida sopra richiamate impone di essere accompagnato dagli adempimenti richiesti dalla normativa sulla tutela dei dati personali.

Ad esempio, tutte le attività di “triage” sopra indicate comportano trattamento di dati personali sulla salute, ossia una delle categorie di informazioni maggiormente tutelate (un tempo si sarebbero parlato di dati “supersensibili”). Inoltre comportano il trattamento di dati personali idonei a rivelare relazioni interpersonali, spostamenti, preferenze e di altre informazioni.

Ne deriva l’adozione un processo e di garanzie che assicurino la liceità dei trattamenti e l’osservanza dei diritti dell’interessato (ossia del soggetto persona fisica cui le informazioni si riferiscono) nel rispetto delle disposizioni dettate dal GDPR (Reg. UE 2016/679) e dal Codice privacy.

Allo stesso modo, la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato (dipendente, fornitore o qualunque altro soggetto terzo), costituisce un trattamento di dati personali (art. 4, par. 1, 2 GDPR) che deve essere preceduto da adeguata informativa ed effettuato nel rispetto del principio di “minimizzazione” (art. 5, par. 1 GDPR).

Le FAQ del Garante per la protezione dei dati personali chiariscono per esempio che il Titolare del trattamento:

• deve fornire adeguata informativa privacy agli interessati (dipendenti, fornitori, trasportatori, visitatori, dipendenti di aziende terze e a tutti gli altri soggetti) che fanno accesso nei locali del titolare

non deve registrare il dato relativo alla temperatura ma il solo superamento della soglia di 37.5° e comunque nei soli casi in cui è necessario per documentare il diniego dell’accesso. Questi casi, aggiungiamo tuttavia, possono essere significativi a fini probatori

• nel ricevere le dichiarazioni di interessati che attestino di aver avuto nei 14 giorni precedenti contattati con soggetti positivi al Covid-19 o provenienti da zone a rischio deve raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio. Notiamo tuttavia che la raccolta di tali informazioni va coordinata con le fonti normative soprastanti, ossia da un lato con la necessità di garantire salute e sicurezza nel luogo di lavoro e fotografare il rischio da agente biologico, dall’altra con quella di osservare la dignità del lavoratore, lo Statuto dei lavoratori, la riservatezza. Dunque, occorre evitare automatismi applicativi e adattare il precetto al caso concreto

• deve collaborare in qualità di datore di lavoro con il medico competente e le RLS/RLST al fine di produrre tutte le misure di regolamentazione legate al Covid-19;sempre nel rispetto dei principi di protezione dei dati, può trattare, in qualità di datore di lavoro, i dati personali dei dipendenti solo se sia previsto da disposizioni normative e disposto da organi competenti o su segnalazione del medico competente

• deve comunicare il nome del dipendente positivo al Covid-19 alle autorità sanitarie competenti

• non deve comunicare il nome del dipendente positivo al Covid-19 al Rappresentante dei lavoratori o agli altri dipendenti o a terzi soggetti

• non può richiedere l’effettuazione di test sierologici ai dipendenti salvo che il test non sia disposto dal medico competente

• può offrire ai propri dipendenti, in tutto o in parte, l’effettuazione di test sierologici presso strutture sanitarie senza conoscerne l’esito

• deve individuare i soggetti autorizzati al trattamento dei dati

• deve redigere precise istruzioni per gli autorizzati

• deve effettuare analisi del rischio e prevedere misure adeguate per la conservazione e consultazione in sicurezza dei dati e la tutela della dignità e della riservatezza del lavoratore (es. in occasione della rilevazione febbre tramite termoscanner, della richiesta della dichiarazione di contatto con soggetti positivi o provenienti da zone a rischio, nella predisposizione delle modalità di conservazione dei dati)

• deve valutare eventuale necessità di DPIA nei casi previsti dall’art. 35 GDPR

• deve individuare le corrette modalità di ricezione del certificato di negativizzazione

• deve valutare la opportunità/necessità dell’adozione del cd. “registro delle prenotazioni”, individuato dalle Linee guida per la riapertura delle Attività Economiche e Produttive e coordinarlo con i registri di trattamento già adottati

CORONAVIRUS: tra sicurezza sul lavoro e privacy 1/2

Parte prima
Dal 25 maggio 2020 una significativa parte delle realtà produttive ha finalmente riaperto i battenti e con la riapertura sono arrivate purtroppo le prime, non gradite, sanzioni.

Vediamo allora insieme quale sia in questa fase il rischio giuridico per l’imprenditore e come identificarlo, e dunque contenerlo, in modo da proseguire con serenità l’attività economica e garantire sicurezza sui luoghi di lavoro, tutelando la privacy di dipendenti e terzi e prevenendo la diffusione del contagio.

Il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 24 aprile 2020, che ha aggiornato la versione del 14 marzo 2020, e le “Linee guida per la riapertura delle Attività Economiche e Produttive” del 16 maggio 2020 della Conferenza delle Regioni e delle Province Autonome forniscono indicazioni operative per il contrasto e la diffusione del virus negli ambienti di lavoro non sanitari.

Le misure riportate nei citati documenti, di cui appresso vediamo solamente i principali, devono essere integrate dall’imprenditore con procedure e istruzioni operative specifiche, a seguito di un’attenta valutazione del rischio che coinvolga figure chiave come l’RSPP, il Medico Competente e l’RLS.

Fare ordine nell’incertezza normativa
Va innanzitutto notato che per l’imprenditore un elemento di incertezza nella situazione attuale è costituito dal sovrapporsi di fonti precettive, o in alcuni casi soltanto ritenute tali, di livello e provenienza diversa: DPCM collegati, ma non sempre in maniera eccellente, con soprastanti decreti legge, protocolli sottoscritti da parti sociali richiamati a loro volta da DPCM, ordinanze regionali, ordinanze comunali, linee guida della Conferenza delle Regioni e delle Province Autonome, FAQ amministrative, risposte a quesiti di privati, dichiarazioni istituzionali su social network, misure decise da associazioni di categoria, ecc.

In questa situazione, rischia di venire penalizzata la certezza del diritto. Per questo è importante farsi assistere da un professionista giuridico, che potrà, se necessario, individuare anche linee efficaci per contestare misure sanzionatorie in un contesto di regole non sempre scolpite con precisione.
Qui di seguito comunque ci soffermeremo su alcuni punti soltanto con un approccio semplificato e per macrotemi.

COVID-19 E SICUREZZA SUL LAVORO

Il contagio da coronavirus (SARS-Cov-2) in occasione di lavoro è qualificato come “infortunio sul lavoro” con conseguente attivazione della tutela assicurativa INAIL.

Sebbene nei casi di accertata infezione da coronavirus in occasione di lavoro gli oneri degli eventuali eventi infortunistici, ex art. 42, co. 2, D.L. n. 18 del 17/03/2020, convertito con L. n. 27 del 24/04/2020, gravano sulla gestione assicurativa e non incidono sul premio pagato dal singolo datore di lavoro, come precisato anche nelle circolari INAIL n. 13 del 3/4/2020 e n. 22 del 20/5/2020, di non poco momento sono i rischi che gravano sul datore di lavoro in caso di contagio.

Quando il contagio si ritiene avvenuto in occasione della prestazione lavorativa?

Come indicato nelle sopra indicate circolari dell’INAIL, non può desumersi alcun automatismo ai fini dell’ammissione a tutela dei casi denunciati. Occorre verificare che l’azione di fattori microbici o virali, come appunto nel caso di specie, sia in rapporto con lo svolgimento dell’attività lavorativa, attraverso un accertamento rigoroso dei fatti e delle circostanze che facciano desumere che il contagio sia avvenuto in occasione di lavoro.

Sulla base dunque di un giudizio di ragionevole probabilità viene riconosciuta l’origine professionale del contagio. Il riconoscimento è, precisa l’INAIL, totalmente avulso da ogni valutazione sull’imputabilità di eventuali comportamenti omissivi del datore di lavoro che possano essere stati causa del contagio.

L’INAIL ha azione di regresso nei confronti dell’imprenditore?
L’INAIL sul punto chiarisce espressamente che l’attivazione dell’azione di regresso non può basarsi sull’intervenuto riconoscimento dell’infezione da coronavirus. E’ richiesta una violazione da parte del datore di lavoro delle misure di contenimento del rischio di contagio contenute nei protocolli regionali e nazionali e nelle linee guida di cui all’art. 1, co., 14 D.L. n. 33 del 16/5/2020. Il regresso non può dunque considerarsi un automatismo.
Quali implicazioni sulla responsabilità civile e penale?
Il contagio in occasione della prestazione lavorativa, specie (ma non esclusivamente) ove sia collegabile all’inosservanza delle disposizioni contenute nelle linee guida e nei protocolli governativi e regionali e in altre fonti (anche preesistenti rispetto alla normativa emergenziale emanata per contrastare l’emergenza epidemiologica da Covid-19) dalle quali sorgano obbligazioni di porre in essere determinate condotte, può esporre l’imprenditore/datore di lavoro a:
• responsabilità civile
• responsabilità penale
• responsabilità amministrativa dell’ente con elevatissime sanzioni pecuniarie, e gravi misure interdittive (si pensi ad esempio a quelle emanate in applicazione del GDPR e del Codice privacy).
Come incide la denuncia di infortunio sul lavoro da contagio con tali responsabilità?
Se da un lato L’INAIL chiarisce, correttamente, che l’attivazione dell’assicurazione da infortunio sul lavoro non determina automaticamente responsabilità anche civile o penale, sussistendo presupposti diversi, tuttavia corre l’obbligo di segnalare che le implicazioni reciproche tra i diversi ambiti di responsabilità costituiscono comunque materia complessa, sulla quale il nostro consiglio è di procedere con assistenza legale.

COVID-19 E TUTELA DEI DATI PERSONALI

Le misure da adottare per contrastare la diffusione del contagio richiedono in alcuni casi il trattamento dei dati personali di dipendente, clienti, fornitori, utenti e visitatori. È questo ad esempio il caso in cui sia presa la temperatura corporea e siano effettuate domande di “triage” (provenienza, sussistenza di relazioni con soggetti a rischio, stato di salute, ecc.).

Alcune di queste domande, ancorché raccomandate da soggetti istituzionali, vanno coordinate con la normativa giuslavoristica e privacyistica, prima di essere adottate.

In particolare, invitiamo a fare attenzione a un punto chiave: attenersi scrupolosamente alle disposizioni contenute nelle linee guida e nei protocolli non autorizza a “dimenticare” le norme in materia di protezione dei dati personali, e il mancato rispetto della privacy e della riservatezza espone l’imprenditore/datore di lavoro al rischio di:
procedimenti di reclamo/segnalazione davanti all’Autorità Garante
– irrogazione di ordinanza-ingiunzione e di misure correttive con conseguenti elevatissime sanzioni, individuabili anche nella fascia che arriva, nel massimo edittale, fino a venti milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore
– responsabilità risarcitoria in sede civile per danno da violazione dei dati personali.

Si pensi alla diffusione di dati sanitari che può inavvertitamente derivare dall’avere misurato la temperatura di un soggetto in uno spazio pubblico o le implicazioni privacy che derivano dalla scelta di conservare le informazioni sulla temperatura o altri dati di triage e di farlo per una certa durata temporale.

 

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Oltre 7.000 linee telefoniche abusivamente intestate a persone ignare. Almeno 644 interessati colpiti, cifra tuttavia destinata a «un significativo incremento». Un illecito cominciato addirittura nel 2003 o nel 2001, e tuttora in essere.

Queste sono le prime, e già imponenti, coordinate numeriche della gravissima violazione di dati personali (data breach), ancora in fase di perimetrazione, accertata con il provvedimento n. 176/2017 del 6 aprile scorso dal Garante per la protezione dei dati personali.

L’atto amministrativo, finalmente pubblicato anche sul sito dell’Autorità di controllo, è stato adottato nei confronti della società Telecom Italia s.p.a. ad esito di una complessa procedura di reclamo patrocinata dallo studio legale Grieco Pelino Avvocati, che ha assistito un proprio cliente rimasto vittima dell’illecito. Leggi tutto

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

DPIA: pubblicate le linee guida europee

Il 4 aprile 2017 sono state finalmente rese disponibili, in una prima versione, le linee guida sul data protection impact assessment (DPIA), ossia la “valutazione d’impatto sulla protezione dei dati” prevista dal Regolamento UE n. 2016/679.

Il documento era particolarmente atteso, vista la centralità del tema e la complessa attività organizzativa e d’investimento che la valutazione d’impatto richiede.

Qui di seguito si propone una breve sintesi per punti delle indicazioni di maggior interesse, secondo l’apprezzamento dello scrivente. Leggi tutto

DPIA: pubblicate le linee guida europee

DPO: le linee guida in 10 punti

Ad esito della riunione plenaria del 16 dicembre 2016, il “Gruppo di lavoro ex art. 29”, ossia l’organismo consultivo che riunisce (tra l’altro) i Garanti europei, ha reso pubblico  un primo e assai atteso pacchetto di linee guida e FAQ sul cd. Regolamento Generale sulla Protezione dei Dati (“RGPD”), comunemente noto come regolamento privacy europeo.

Qui di seguito si analizzeranno in particolare le linee guida sul data protection officer o DPO, ossia il “responsabile della protezione dei dati”. Leggi tutto

DPO: le linee guida in 10 punti