Privacy e GDPR dei lavoratori nell’ambito dell’emergenza sanitaria

Nelle ultime settimane abbiamo assistito ad un’incessante pubblicazione di norme, regolamenti e protocolli sulla sicurezza sanitaria, che hanno un impatto sulle modalità di trattamento dei dati personali di dipendenti e non solo.

Chi deve gestire tali dati? Come si devono comportare i datori di lavoro e con chi devono collaborare per occuparsi correttamente della privacy dei propri dipendenti?

Covid-19 e protezione dati personali FAQ

Quasi sempre, le nuove disposizioni richiedono una attività da parte del Datore di lavoro, in collaborazione con il Responsabile Servizio Prevenzione e Protezione (RSPP) e con il Medico del Lavoro, per la predisposizione del protocollo di regolamentazione delle misure di contrasto e contenimento del contagio e per l’eventuale adeguamento del Documento Valutazione Rischi (DVR).

Tali misure, prevedono l’acquisizione e gestione di informazioni personali su lavoratori, collaboratori, fornitori e utenti; di conseguenza richiedono un adeguamento della documentazione privacy per la conformità al GDPR, con la relativa comunicazione ai soggetti interessati, la formazione e autorizzazione delle persone incaricate del trattamento.

Per maggiori dettagli, consigliamo di leggere la precedente news sul sito: Protezione dei dati in caso di coronavirus sul luogo di lavoro.

Vi è dunque l’esigenza di redigere una nuova informativa – rivolta a dipendenti, collaboratori, fornitori, clienti, utenti, visitatori, ecc. – per il trattamento dei dati in emergenza Covid-19, tra cui quelli sanitari (es. relativi alla rilevazione della temperatura). Conseguentemente, serve l’autorizzazione ai soggetti delegati a tale rilevazione e al trattamento dei dati.

Vi è anche la necessità di aggiornare il Registro delle attività di trattamento dati, inserendo un nuovo trattamento di dati personali denominati “Fine crisi sanitaria”.

Le attività da svolgere dunque sembrano tante e non sempre le idee sono chiare.
Per questa ragione riportiamo, in sintesi, le risposte del Garante per la protezione dei dati personali alle domande più frequenti sul corretto trattamento dei dati personali, durante l’emergenza coronavirus.

Domande frequenti


Il datore di lavoro deve necessariamente rilevare la temperatura corporea del personale dipendente e di utenti, fornitori, visitatori e clienti, all’ingresso della propria sede? La deve anche registrare?

No, il protocollo di regolamentazione per contenere la diffusione del virus Covid-19 negli ambienti di lavoro, prevede la possibilità (e non l’obbligo) di rilevare la temperatura corporea prima di accedere ai locali delle sedi aziendali. Tale disposizione più essere applicata nei confronti del personale dipendente, ma anche di utenti, visitatori, clienti e fornitori.

La rilevazione in tempo reale della temperatura corporea, associata all’identità dell’interessato, costituisce un trattamento di dati personali. Per questa ragione, il Garante fa presente che non è ammessa la registrazione del dato relativo alla temperatura corporea, a meno che questa non superi la soglia stabilita dalla legge (37,5°C).

Il dato è da registrare solo nei confronti del lavoratore, per documentare le ragioni che hanno impedito l’ingresso al luogo di lavoro. Nei confronti di clienti o visitatori occasionali, invece, non è necessario registrare il dato relativo al motivo del diniego di accesso.


L’impresa può richiedere ai propri dipendenti di dare informazioni – anche con autodichiarazione – in merito ad eventuali esposizioni al contagio da coronavirus, quale condizione per accedere alla sede di lavoro?

Sì, il datore di lavoro può invitare i propri dipendenti a fornire una dichiarazione che attesti il loro stato di salute. Nello specifico, è richiesto che, negli ultimi 14 giorni, non abbiano avuto contatti con soggetti risultati positivi al Covid-19 e che non provengano da zone a rischio, secondo le indicazioni dell’OMS. Tale richiesta può avvenire in virtù del fatto che il dipendente ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

Infatti, tra le misure di prevenzione e contenimento del contagio, rientra la possibilità di precludere l’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio. Secondo questo criterio, il datore di lavoro può richiedere una dichiarazione che attesti tali circostanze anche a soggetti terzi, come visitatori e utenti.
In alternativa, è possibile responsabilizzare lavoratori, fornitori e clienti, invitandoli a prendere visione dell’informativa che riporta le condizioni che non consentono l’ingresso nella struttura.

Nota sul trattamento dei dati
In caso si richieda una dichiarazione al lavoratore, devono essere raccolti solo i dati necessari, adeguati e pertinenti alla prevenzione del contagio da coronavirus. Non sono necessarie informazioni aggiuntive, legate alla sfera privata della persona risultata positiva (es. specifiche località visitate). La raccolta e conservazione di tali dichiarazioni, contenenti dati personali, deve avvenire nel rispetto delle prescrizioni del Regolamento UE 2016/679. Ad esempio: fornendo un’adeguata informativa; definendo misure organizzative/di sicurezza adeguate a proteggere i dati; individuando i soggetti adatti al trattamento o nominando un Responsabile per la protezione dei dati (DPO).


Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

Nell’ambito dell’emergenza, per svolgere i propri compiti di sorveglianza sanitaria, il medico competente deve collaborare con il datore di lavoro, segnalando situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti, per fare in modo che questi soggetti vengano impiegati in ambiti meno esposti al rischio di infezione.
Tuttavia, nel fornire queste informazioni al datore di lavoro, il medico competente ha il divieto di comunicare le specifiche patologie eventualmente sofferte dei lavoratori.

Il datore di lavoro può trattare i dati personali dei dipendenti – sempre nel rispetto dei principi di protezione dei dati – solo se previsto dalla normativa o disposto dagli organi competenti (cioè su specifica segnalazione del medico competente, quando svolge i propri compiti di sorveglianza sanitaria).


Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza, l’identità dei dipendenti contagiati?

No, il datore di lavoro non è tenuto a comunicare al Rappresentante dei lavoratori per la sicurezza i nominativi del personale contagiato. Ha invece l’obbligo di comunicare tali nominativi alle autorità sanitarie competenti e di collaborare con esse per individuare i “contatti stretti”, consentendo così la tempestiva attivazione delle contromisure necessarie.


Il datore di lavoro può comunicare agli altri lavoratori l’identità dei dipendenti contagiati?

No, il datore di lavoro non può rendere nota agli altri lavoratori, l’identità del lavoratore affetto da Covid-19. Spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, per attivare le misure di profilassi previste.
In alcuni casi, può accadere che le autorità competenti dispongano che sia il datore di lavoro a comunicare informazioni relative alla salute di dipendenti e/o collaboratori.

Hai bisogno di una consulenza o di essere affiancato nella gestione dei documenti di privacy e sicurezza sul lavoro, in questo periodo di emergenza sanitaria?

Affidati ai professionisti di Spaziottantotto per un’assistenza personalizzata

Chiama il numero 011 012 2331 o scrivi a info@spazio88.com