CORONAVIRUS: TRA SICUREZZA, PRIVACY E TUTELA DEI DATI INDUSTRIALI

In questi giorni abbiamo sentiamo ripetere spesso, come un mantra, la parola “riapertura”.

La riapertura delle attività è certamente l’alba di un nuovo inizio che necessita tuttavia di una serie di accortezze in materie tra loro trasversali.

Il primo aspetto, imprescindibile, è sicuramente garantire la sicurezza sui luoghi di lavoro; ma vi è altresì la necessità di garantire la tutela di diritti costituzionalmente garantiti degli interessati, come la libertà individuale e la riservatezza; anche questi ultimi aspetti l’imprenditore non può non considerarli, senza il rischio di incorrere in sanzioni, anche “pesanti”.

Spesso ci si chiede “perché preoccuparsi tanto?”

La risposta sembra ovvia: “per ridurre al minimo il rischio di contagio e debellare questo nemico subdolo e impalpabile”. Ma al di là dell’ovvietà, ci sono ulteriori ragioni che dovrebbero essere seriamente considerate dall’azienda. Infatti il rispetto delle norme che governano la tutela dei dati personali e quelle poste a presidio della sicurezza dei luoghi di lavoro rilevano sotto un triplice aspetto:

1. “perché il contagio in occasione dell’attività lavorativa o nel tragitto casa-lavoro è qualificato ‹‹infortunio sul lavoro››, e potrebbe dar luogo a:

  • garanzia previdenziale e/o responsabilità civile e penale del datore di lavoro[1];
  • responsabilità amministrativa dell’ente con elevatissime sanzioni pecuniarie, e gravi sanzioni interdittive”. Si segnala che la violazione dei reati presupposto contemplati dall’art. 25 septiesLgs. 231/2001 può essere sanzionata con una pena pecuniaria fino ad euro 1.549.000,00 e rilevanti sanzioni interdittive (interdizione dall’esercizio dell’attività; sospensione/revoca di autorizzazioni, concessioni, licenze; divieto di contrarre con la Pubblica Amministrazione; esclusione da agevolazione, finanziamenti, contributi, sussidi o la revoca di quelli già concessi; divieto di pubblicizzare beni o servizi).

 

2. “perché il mancato rispetto delle norme in materia di protezione dei dati personali non può essere invocato come causa di giustificazione e può concretizzare i seguenti rischi:

  • reclamo/segnalazione al Garante e conseguenti procedimenti;
  • responsabilità amministrativa con elevate sanzioni”. Le sanzioni pecuniarie, a seconda del tipo di violazione riscontrata, potrebbero raggiungere importi elevati (il massimo edittale arriva ad euro 20.000.000,00 o al 4% del fatturato mondiale annuo dell’esercizio precedente se superiore, senza contare le possibili sanzioni interdittive);

 

3. “perché l’avere omesso l’adozione di opportune cautele e garanzie sia nei rapporti contrattuali con i fornitori, sia con compagnie assicurative ovvero la mancata adozione di idonee misure di sicurezza tecniche ed organizzative per la gestione dei sistemi informatici, può determinare:

  • la perdita di asset strategici (know how, diritti di proprietà intellettuale);
  • perdite sotto il profilo economico e reputazionale;
  • sopportazione dell’intero rischio nell’ipotesi di mancata copertura assicurativa”.

 

Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 24 aprile 2020 e le Linee guida per la riapertura delle Attività Economiche e Produttive del 16 maggio 2020 hanno inteso fornire indicazioni operative finalizzate a incrementare, negli ambienti di lavoro non sanitari, l’efficacia delle misure precauzionali di contenimento dell’epidemia di Covid-19[2]. Le misure riportate nei citati documenti possono, anzi devono, essere integrate dall’imprenditore con procedure e/o istruzioni operative specifiche, a seguito di una oculata valutazione del rischio che coinvolga figure chiave come l’RSPP, il Medico Competente e l’RLS. Si rammenta infatti che il Datore di Lavoro ha sempre il dovere di compiere una adeguata valutazione dei rischi, adottando “le più opportune misure di sicurezza tecnologicamente fattibili”. Anche l’adozione di tutte le misure previste dal Protocollo Condiviso, nonostante la circolare INAIL n. 22 del 20.05.2020, lo escluda, potrebbe infatti non essere sufficiente a superare un profilo di colpa dell’azienda nel caso di contagio sul luogo di lavoro.

Il presente elaborato, privo del carattere di esaustività, ha come obiettivo quello di lanciare degli spunti di riflessione ai titolari d’azienda, liberi professionisti, commercianti… -che stanno riaprendo le loro attività- su alcuni adempimenti e/o accortezze che potrebbero essere sottovalutate.

Per una più facile comprensione si è deciso di seguire i punti del Protocollo condiviso suggerendo al lettore di verificare alcuni aspetti connessi alla tutela della privacy che non possono essere dimenticati.

Questo primo elaborato ha ad oggetto:

LE INFORMAZIONI DA FORNIRE E L’ACCESSO IN AZIENDA

A) In primis l’azienda deve informare, con modalità efficaci, tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi dépliants

 In particolare, nel volantino informativo, l’azienda dovrà indicare:

  • il divieto di ingresso a persone con febbre oltre 37.5° o altri sintomi influenzali;
  • l’obbligo di dichiarare tempestivamente uno stato febbrile o influenzale;
  • l’identificazione del soggetto di riferimento da informare;
  • l’obbligo di informativa alle autorità mediche competenti;
  • l’obbligo di mantenere la distanza di sicurezza, di indossare i dispositivi di protezione individuale (es. mascherine e guanti) e di tenere comportamenti corretti sul piano dell’igiene personale;
  • il divieto di accesso a coloro che, negli ultimi 14 giorni, abbiano avuto contatti con soggetti positivi al Covid-19 o provengano da “zone a rischio”.

Appare evidente che le attività di “triage”, sopra indicate, costituiscono trattamento di dati personali sulla salute, ossia una delle categorie di informazioni maggiormente tutelate, di dati personali idonei a rivelare relazioni interpersonali, spostamenti, preferenze. Ciò richiede una corretta e consapevole applicazione della normativa privacy (Reg. UE 2016/679) e dal Codice privacy) e l’adozione di un processo che assicuri la liceità dei trattamenti.

Poniamo alcuni interrogativi su cui riflettere:

può essere vietato l’accesso in azienda o all’interno di esercizi pubblici? 

Soltanto se vi è un motivo legittimo. Quindi il diniego dovrà essere documentato e argomentato per evitare esclusioni immotivate o addirittura discriminatorie.

– se viene misurata la temperatura corporea deve essere fornita una informativa privacy ad hoc a coloro che accedono ai locali aziendali?

Certamente e ciò dovrà essere effettuato prima della rilevazione della temperatura.

L’azienda può registrare il dato relativo alla temperatura?

Solo se supera la soglia dei 37,5°C e comunque nei soli casi in cui è necessario documentare il divieto di accesso, con la corretta gestione dei dati raccolti (modalità, tempi di conservazione, accessibilità agli stessi, nomina di autorizzati al trattamento e istruzioni fornite).

L’azienda può ricevere la dichiarazione dell’interessato che attesta di aver avuto nei 14 giorni precedenti contatti con un soggetto positivo o che è tornato da una “zona a rischio”?

Si, avendo cura di raccogliere i dati strettamente necessari (principio della minimizzazione).

L’azienda può comunicare il nome del dipendente positivo al Covid-19 all’Autorità Sanitaria?

Si. La particolarità dei dati richiede la massima attenzione per garantire effettivamente la riservatezza del trattamento. Pertanto andranno individuate le persone che dovranno trattare e conoscere l’identità del soggetto interessato in ossequi al principio need to know, ovvero al principio della minimizzazione anche in fase di comunicazione.

– Il Datore di Lavoro può richiedere i test sierologici ai dipendenti?

No, a meno che il test non sia disposto dal Medico Competente. Può tuttavia offrire ai propri dipendenti test sierologici presso strutture sanitaria senza conoscerne l’esito.

– Chiunque in azienda può trattare i dati personali raccolti?

No. Devono essere individuati soggetti autorizzati con precise istruzioni con l’adozione di adeguate misure e procedure per garantire la riservatezza dei dati personali.

 

B) L’azienda deve prevedere delle idonee modalità di ingresso per chiunque intenda accedere ai locali.

Prima di accedere ai locali aziendali:

I) devono essere effettuate alcune verifiche alle persone che intendono farvi ingresso; in particolare:

–  si può misurare la temperatura corporea;

– si deve verificare che tutti rispettino le procedure/istruzioni operative previste dall’azienda (es. obbligo di indossare guanti e mascherina per accedere ai locali);

II) devono essere previste idonee procedure/protocolli:

– per i dipendenti si deve favorire orari di ingresso e di uscita scaglionati, con porte dedicate e security point con detergenti per le mani;

– deve essere consentito l’accesso ai lavoratori già positivi al Covid-19 solo dopo aver ottenuto un certificato medico da cui risulti la “avvenuta negativizzazione”;

E così pure per i visitatori o soggetti esterni all’azienda:

– l’accesso ai visitatori deve essere limitato allo stretto necessario, con l’obbligo di sottostare alle regole aziendali;

– devono essere individuate delle procedure ad hoc (ingresso, entrata, uscita) per l’accesso di fornitori esterni;

– deve essere riposta particolare attenzione ai comportamenti consentiti e vietati agli autisti dei mezzi di trasporto (es. divieto di accedere agli uffici e obbligo di mantenere la distanza minima di un metro per l’attività di carico e scarico);

– devono essere individuati o installati servizi igienici dedicati ai soggetti esterni all’azienda (es. fornitori, trasportatori, ecc.) con una adeguata pulizia giornaliera di tutti i servizi igienici;

Le presenti norme si applicano anche alle aziende appaltatrici nel caso in cui vi sia un contratto di appalto endo-aziendale, cioè all’interno dei siti produttivi dell’azienda, con obblighi informativi e collaborativi tra Committente e Appaltatore.

*** *** ***

Detto quanto sopra riteniamo opportuno indicare alcuni SUGGERIMENTI:

ambito sicurezza

– conservare prova della consegna delle informative in materia di sicurezza ai dipendenti;

– fornire ai dipendenti copia integrale delle procedure e/o istruzioni operative adottate dall’azienda e un’informativa sintetica degli obblighi loro imposti;

– affiggere depliants informativi (chiari, semplici ed intellegibili) su ogni ingresso e nei luoghi di maggior transito;

– prevedere, ove possibile, un “cordone di sicurezza” prima di accedere ai locali aziendali. In tale luogo effettuare la misurazione della temperatura di chiunque voglia accedere ai locali aziendali e mettere a disposizione: guanti, mascherine e gel disinfettante.

ambito privacy

– disegnare e verificare l’intero processo di trattamento dati personali con l’aiuto di un privacyista, soprattutto per quanto riguarda i tempi di conservazione dei dati stessi;

– redigere una idonea informativa privacy per dipendenti e tutti i soggetti che accedono ai locali aziendali;

– incaricare e formare i soggetti autorizzati al trattamento dei dati;

– redigere istruzioni per gli autorizzati;

– effettuare analisi del rischio e prevedere misure adeguate per la conservazione e consultazione in sicurezza dei dati (es. rilevazione febbre tramite termo-scanner, dichiarazione di contatto con soggetti positivi o proveniente da zone a rischio, modalità di conservazione dei dati;

– adozione di un eventuale registro presenze collegato e coerente con i registri di trattamento già adottati;

– eventuale DPIA, laddove la situazione lo richiede (impiego di nuove tecnologie);

– adottare corrette modalità di ricezione del “certificato di negativizzazione”.

 

Presta attenzione: Le disposizioni previste dal Protocollo Condiviso e la tutela della privacy sono due linee che si intersecano e si sostengono vicendevolmente, rappresentabili come un filamento di DNA!

 

Per necessità o approfondimenti contattate lo studio GFG Avvocati o la rete di professionisti ProForB

 

 

[1] Con nota 15.05.2020 e successivamente con nota 20.5.2020, l’INAIL è intervenuta sui profili di responsabilità civile e penale per le infezione da Covid-19 nei casi in cui sia ragionevolmente probabile l’origine professionale, distinguendo tra l’obbligazione previdenziale e la responsabilità civile e penale del datore di lavoro, che non è esclusa ma deve essere rigorosamente accertata attraverso la prova del dolo o della colpa. Il tema ha evidentemente una connessione diretta con l’assolvimento degli obblighi di compliance, la cui effettuazione ha conseguenze evidenti.

[2] Le misure di sicurezza previste dal Protocollo del 24.04.2020 si riferiscono ad ambienti di lavoro non sanitari. Per ambienti di lavoro sanitari, ristorazione, attività turistiche, strutture ricettive, servizi alla persona, commercio al dettaglio, uffici pubblici, piscine, palestre, musei. si rimanda alle disposizioni governative e/o regionali regolatrici delle misure di sicurezza per le riaperture.