Un difficile bilanciamento.
All'indomani dell'esplosione della emergenza sanitaria connessa alla diffusione del Coronavirus, uno dei nodi giuridico-interpretativi di maggior momento è risultato essere quello relativo al bilanciamento tra tutela della salute e tutela della riservatezza delle persone. Si tratta di un tema che oltrepassa grandemente i limiti disciplinari del diritto del lavoro ed i confini del mondo del lavoro e delle attività produttive, interessando e interrogando decisori politici e società rispetto agli strumenti per contrastare la diffusione del virus e ai limiti di invasività che occorre porre nella loro adozione: si pensi al dibattito sorto sui giornali e all'interno dell'opinione pubblica sulla opportunità di adottare sistemi di tracciamento digitale dei soggetti infetti secondo l'esempio della Corea del Sud. Al di là di questi profili di carattere generale, il tema si pone in maniera paradigmatica e fondamentale – nonché con una rilevante complessità – anche all'interno dei luoghi di lavoro, dove ad essere presi in considerazione sono la tutela della riservatezza e della dignità dei lavoratori e al contempo la tutela della loro salute sul lavoro, con i relativi obblighi ricadenti sui datori di lavoro.
Con il diffondersi del contagio e, al contempo, di alcune prassi datoriali relative alla acquisizione preventiva di informazioni sullo stato di salute dei lavoratori o sui loro contatti al fine di evitare il rischio di diffusione del virus nell'ambiente di lavoro, è diventato sempre più pressante interrogarsi sui limiti e sulla legittimità di tali azioni. Si tratta, all'evidenza, non soltanto di dati che sono sottoposti ad una particolare tutela tanto in una prospettiva di data protection quanto in quella strettamente giuslavoristica.
È così, che in Italia come negli altri Paesi interessati dal contagio del COVID-19, sono state le Autorità Garanti per la privacy a provare a portare un po' di chiarezza sul punto. Per quanto riguarda gli Stati membri dell'Unione Europea, pur a fronte di un framework comune, rappresentato dal Regolamento (UE) 2016/679, le posizioni espresse dai Garanti ad oggi – per una raccolta e sintesi degli stessi si veda il sito Salus The Future of EOSH (http://salus.adapt.it/covid-19-e-dati-personali-dei-lavoratori-si-esprimono-anche-i-garanti-di-francia-irlanda-e-danimarca/) – differiscono in parte rispetto alla valutazione di legittimità di tali pratiche datoriali, con posizioni altamente restrittive (come quella espressa dai garanti italiano e francese) e altre di maggiore apertura (come, ad esempio, quella sostenuta dall'Autorità irlandese).
Nell'analizzare la situazione nel contesto interno di particolare interesse risulta essere, oltre alla già citata posizione del Garante Privacy, anche la stipulazione in sede concertativa del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, che si segnala per l'aver adottato una direzione che entra in tensione con quella fatta propria dal Garante.
L'acquisizione di informazioni sulla pericolosità da COVID-19 tra Garante e Protocollo.
Rispetto alla tematica che qui interessa la posizione del Garante – espressa con comunicazione del 2 marzo 2020 reperibile al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117 - era molto chiara nel ricondurre le attività di acquisizione di informazioni rilevanti ai fini della prevenzione della diffusione del Coronavirus all'ambito operativo dei soggetti istituzionali, in ragione del chiaro sistema di comunicazione di tali informazioni che pone specifici obblighi in capo agli individui e definisce i relativi canali e modalità di gestione delle informazioni. Da ciò, il Garante fa derivare che i «datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa», ricordando al contempo che ai fini di tutela sul luogo di lavoro, oltre ai canali istituzionali, resta in capo ai lavoratori (ai sensi dell'art. 20 del TU di salute e sicurezza sul lavoro) l'obbligo di «segnalare immediatamente […] qualsiasi eventuale condizione di pericolo di cui vengano a conoscenza».
A fronte di tale posizione del Garante, le attività di accertamento che qui si commentano, risulterebbero, quindi, da escludere. Contro tale interpretazione si è, invece, posto il citato Protocollo, laddove (§ 2, relativo alle Modalità di ingresso in azienda), sancisce la possibilità di sottoporre i lavoratori a controllo della temperatura corporea e prevede, altresì, la possibilità di richiedere dichiarazioni riguardanti la non provenienza da zone a rischio o il mancato contatto con soggetti affetti dalla malattia.
Si tratta di una scelta di campo di non poca rilevanza, dato che è destinata ad orientare verso comportamenti su cui il Garante si era espresso chiaramente in termini di divieto. Tale decisione, trova però una parziale spiegazione – ancorché in nota – proprio rispetto ai profili di data protection e con richiamo a fonti del diritto sopravvenute rispetto alla comunicazione del Garante: si prevedono, infatti, non soltanto delle modalità restrittive rispetto al trattamento dei dati, ma si prefigurano finalità e basi giuridiche che si ritengono supportare tale scostamento. Quanto alle finalità si suggerisce di ricondurle alla prevenzione del contagio, mentre riguardo alla base giuridica si fa espresso riferimento alla implementazione dei protocolli di sicurezza anti-contagio ai sensi dell'art. art. 1, n. 7, lett. d), d.P.C.M. 11 marzo 2020».
Le previsioni del Protocollo: un assetto legittimo de iure condito?
Pur non individuando una specifica base giuridica del trattamento ai sensi dell'art. 6, comma 1, o dell'art. 9, comma 2, del Regolamento, nell'individuare la stessa nell'obbligo di adempiere alla implementazione dei protocolli di sicurezza previsti dalla legge, il Protocollo sembrerebbe riferirsi alla previsione di cui alla lett. b dell'art. 9, ovvero quella relativa all'assolvimento di un obbligo posto in capo al titolare del trattamento in materia di «diritto del lavoro e della sicurezza sociale e protezione sociale», e, per i dati non riferibili alle categorie particolari, all'art. 6, comma 1, lett. c), relativo all'adempimento di un obbligo legale. Altre basi giuridiche sarebbero ipotizzabili, come sottolinea lo Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak laddove riconosce la legittimità di «processing of personal data […] necessary for the employers for reasons of public interest in the area of public health or to protect vital interests».
Probabilmente il Garante si troverà ad esprimersi sull'assetto predisposto dalle parti sociali, ma vale comunque sottolineare come con riferimento alle categorie particolari di dati – cui sono riconducibili le informazioni ottenute tramite tali forme di accertamento relative a sintomatologia – l'art. 9 (nelle sue diverse voci), anche in raccordo con l'articolo 88 del Regolamento che prevede le possibilità di intervento degli Stati membri per meglio specificare la disciplina del trattamento nell'ambito dei rapporti di lavoro, richiede che il trattamento sia espressamente autorizzato da una fonte valida all'interno degli Stati membri (eventualmente anche un contratto collettivo), fonte che dovrà necessariamente rispettare i principi della disciplina euro-unitaria oltre che i diritti fondamentali e gli interessi legittimi dell'interessato. E simili previsioni sono contenute anche nell'art. 6, comma 3, con riferimento al trattamento dei dati personali non rientranti nella categoria maggiormente protetta, anche in questo caso letto in raccordo, per quanto qui interessa, con l'art. 88.
Dinnanzi a tale quadro normativo di riferimento, si ritiene che il mero riferimento alla implementazione dei protocolli di sicurezza, data la genericità della previsione che nulla dispone con riferimento al trattamento dei dati, potrebbe non essere ritenuta una legittima base giuridica del trattamento. Stante il ruolo espressamente riconosciuto alla contrattazione collettiva da parte del Regolamento (art. 9, comma 2, e art. 88, comma 1), il Protocollo dovrebbe essere considerato la fonte giuridica che autorizza espressamente al trattamento a quei determinati fini – essendo, peraltro, stato sottoscritto ai sensi dell'art. 1, comma 1, n. 9, d.P.M.C. 11 marzo 2020 – e che fissa le specifiche tutele dei diritti degli interessati come richiesto dal Regolamento. La tecnica redazionale utilizzata dalle Parti, però, non parrebbe pienamente rispettosa dei requisiti posti dalla disciplina euro-unitaria difettando in alcuni passaggi – ricorre l'espressione «si suggerisce» - di una adeguata cogenza in termini di tutele ed essendo l'autorizzazione al trattamento relativo alla dichiarazione, espresso non in termini espliciti, ma implicitamente e in nota. Più in generale, dubbi potrebbero sorgere con riferimento al principio di minimizzazione dei dati, che deve portare a preferire l'adozione delle «misure meno limitative del diritto alla protezione dei dati», come ha avuto modo di ricordare il Garante con riferimento alle vicende del Decreto Concretezza. Ci si potrebbe allora chiedere se sia necessario sollecitare delle dichiarazioni laddove già si è specificato, secondo quanto previsto dal Protocollo stesso, che vi è una preclusione di accesso per chi si trova nelle condizioni la cui assenza dovrebbe essere dichiarata?
Ai fini di garantire chiarezza in materia, nel rispetto delle previsioni europee, qualora si decidesse di avvallare l'opzione prescelta dalle parti stipulanti – come peraltro affermato all'interno del Protocollo – si ritiene preferibile un intervento del legislatore atto a definire quali attività siano effettivamente legittime ed entro quali limiti nel rispetto dei vincoli euro-unitari, anche in considerazione della fase emergenziale.
Riferimenti bibliografici.
Sul trattamento dei dati relativi alla salute dei lavoratori nell'ambito del rapporto di lavoro si veda, su tutti, A. TROJSI, Il diritto del lavoratore alla protezione dei dati personali, Torino, 2013, 169 ss., cui adde E. BARRACO-A. SITZIA, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, Milano, 2016, 257 ss.
Sul trattamento delle particolari categorie di dati ai sensi del Regolamento (UE) 2016/679 si vedano, ex multiis, F. BRAVO, Il consenso e le altre condizioni di liceità del trattamento di dati personali, in G. FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 127 ss. e M. DELL'UTRI, Principi generali e condizioni di liceità del trattamento dei dati personali, in V. CUFFARO ET AL. (a cura di), I dati personali nel diritto europeo, Torino, 2019, 231 ss.
Sul trattamento dei dati nell'ambito del rapporto di lavoro a seguito del Regolamento (Ue) 2016/679 si v., tra gli altri, A. INGRAO, Il controllo a distanza sui lavoratori e la nuova disciplina privacy: una lettura integrata, Bari, 2018, 83 ss.; C. DEL FEDERICO, Il trattamento dei dati personali dei lavoratori e il Regolamento 2016/679/UE. Implicazioni e prospettive, in P. TULLINI (a cura di), Web e lavoro. Profili evolutivi e di tutela, Torino,2017, 61 ss.; F. COSTANTINI, Il Regolamento (UE) 679/2016 sulla protezione dei dati personali, in Lav. Giur., 2018, n. 6, 545 ss.; A. PIZZOFERRATO, Gli effetti del GDPR sulla disciplina del trattamento aziendale dei dati del lavoratore, in Arg. dir. lav., 2018, 4-5, 1034 ss.
Sugli obblighi in materia di salute e sicurezza posti in capo ai lavoratori, tra gli altri, E. Balletti, Articolo 20. Obblighi dei lavoratori, in C. ZOLI (a cura di), La nuova sicurezza sul lavoro d.lgs. 9 aprile 2008, n. 81 e successive modifiche, Bologna, 2011, 197 ss. e M. CORRIAS, I lavoratori, in M. PERSIANI (a cura di), Il nuovo diritto della sicurezza sul lavoro, Torino, 2012, 213 ss.
