Coronavirus, come rispettare la privacy dei dipendenti

445 Views

La necessità di contenere la diffusione della pandemia da Coronavirus ha portato in molti casi all’adozione di misure emergenziali che hanno limitato la sfera di libertà personale e d’impresa.

Il Comitato europeo per la protezione dei dati (EDPB) nelle indicazioni fornite lo scorso 19 marzo relativamente al trattamento dei dati personali in ambito lavorativo a seguito del Covid-19 ha chiarito che i datori di lavoro possono anzi devono informare il personale sui casi positivi e adottare misure a protezione ma non devono comunicare più informazioni del necessario (minimizzazione).

Il nome, ad esempio, di un eventuale lavoratore positivo può essere comunicato solo se necessario e previsto dal diritto nazionale ed inoltre tale dipendente deve esserne anticipatamente informato.

Sul tema della privacy ai tempi del Coronavirus ritorna anche il Garante della privacy italiano secondo cui la privacy non è e non deve essere un ostacolo alle azioni di prevenzione e contenimento del contagio. Inoltre lo stesso Garante sottolinea che il diritto alla privacy rimane un diritto di libertà, e come tale costituzionalmente garantito, che deve essere tutelato e non può in alcun modo essere messo in disparte, anche in situazioni di emergenza come quella che stiamo vivendo.

Anche e soprattutto in questi particolari momenti titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati garantendo la liceità dei trattamenti ed il rispetto dei principi generali del diritto nell’applicazione di ogni misura adottata.

Secondo il GDPR autorità sanitarie e datori di lavoro possono trattare dati personali in un contesto emergenziale in conformità a quanto previsto dal diritto nazionale. Inoltre il Comitato Europeo ricorda che laddove il trattamento sia necessario per motivi di interesse pubblico non è necessario richiedere il preventivo consenso degli interessati.

In ambito lavorativo il trattamento dati può essere effettuato per adempiere ad obblighi di legge che il datore di lavoro deve rispettare (es. in materia si salute e sicurezza sul lavoro) o ad esempio nel caso via sia la necessità di perseguire un interesse pubblico come appunto il controllo delle malattie.

L’EDPB ricorda che il GDPR prevede alcune deroghe al divieto di trattamento dei dati sanitari e che tali deroghe sono rappresentate proprio da motivi di interesse pubblico nel settore della sanità pubblica o laddove sia necessario proteggere gli interessi vitali dell’interessato (art.9 comma 2).

Si ricorda, a tal proposito, che con particolare riferimento ai dati sanitari, i soggetti legittimati all’esecuzione di tali trattamenti sono principalmente le autorità sanitare ed eventuali sue ramificazioni, pertanto in un contesto aziendale deve ritenersi che tale trattamento possa essere svolto unicamente dal medico competente o da altro personale sanitario o di pubblica autorità a ciò autorizzato e debitamente incaricato.