Dati sanitari dei dipendenti: come gestirli durante il COVID-19?

Dati sanitari dei dipendenti: come gestirli durante il COVID-19? Tra le sfide che le nostre società si trovano ad affrontare nel contesto della crisi sanitaria, quella che i datori di lavoro si trovano ad affrontare non è certo la meno importante.

Oltre alle condizioni di lavoro che devono essere adattate, c'è la questione dei dati che possono o addirittura devono essere raccolti ed elaborati nell'ambito del rapporto di lavoro.

Il datore di lavoro si trova, da un lato, soggetto a l'obbligo legale di preservare la salute dei suoi dipendenti, mentre d'altro canto i dati sanitari sono considerati dalla legge come dati sensibili, le cui condizioni di lavorazione sono rigorosamente regolamentate.

È quindi gradito il recente richiamo della CNIL sul quadro da rispettare e sulle misure concrete che possono essere attuate nei luoghi di lavoro.

Vengono mantenuti i seguenti elementi:

Sebbene il trattamento dei dati sanitari sia in linea di principio vietato, esso resta possibile a determinate condizioni, a seconda delle finalità perseguite.

Pertanto, nel contesto della pandemia, il datore di lavoro può validamente:

• Informare i dipendenti sulle misure di barriera, fornire loro tutti i dispositivi di protezione necessari e ricordare loro l'obbligo di informarli o di informare le autorità sanitarie competenti in caso di contaminazione o sospetto di contaminazione, al solo scopo di consentire loro di adattare le condizioni di lavoro (ad esempio, telelavoro).

• Facilitare la trasmissione delle informazioni predisponendo, ove necessario, canali dedicati e sicuri

• Promuovere metodi di lavoro a distanza e incoraggiare l'uso della medicina del lavoro.

• Nell'ambito dell'implementazione di un Piano di Continuità Operativa per tutelare la sicurezza dei dipendenti e identificare le attività essenziali che devono essere mantenute, creare un file nominativo per lo sviluppo e la manutenzione del piano, limitato ai dati necessari per raggiungere tale obiettivo.

Il datore di lavoro può accedere solo a determinate informazioni riservate per adottare le misure organizzative richieste, mentre i dati più direttamente inerenti alla salute devono essere trattati da un professionista sanitario.

(Ad esempio, per estendere la quarantena e giustificare il telelavoro) e nell'ambito dei servizi di medicina del lavoro:

Il datore di lavoro non è autorizzato a effettuare una diagnosi dello stato di salute di ciascuno dei suoi dipendenti né a gestire autonomamente un sistema di valutazione della loro vulnerabilità (ad esempio tramite un codice colore).

Ai sensi della normativa vigente, la rilevazione della temperatura tramite telecamera termica o elettronica con conservazione dei dati, i test sierologici e i questionari sanitari non possono essere implementati dal datore di lavoro. La situazione sarebbe diversa rispetto alla rilevazione manuale della temperatura senza conservazione dei dati: tale pratica non rientra nell'ambito di applicazione del GDPR, ma può sollevare ulteriori dubbi di efficacia.

Infine, sempre in ragione della natura sensibile dei dati trattati, occorre prestare la massima attenzione alle misure di sicurezza che garantiscano la riservatezza dei dati trattati.

In sintesi, le principali misure che il datore di lavoro è autorizzato ad adottare riguardano l'organizzazione del lavoro, sulla base di dati limitati ai rischi di esposizione dei dipendenti, mentre la gestione dei dati più direttamente inerenti la malattia è di diretta competenza degli operatori sanitari. Eventuali altre richieste ai datori di lavoro di segnalare informazioni alle autorità sanitarie, o di adottare misure specifiche, sono consultabili sul sito web del Ministero del Lavoro.

• E anche

Francia:

• Il 1° ottobre la CNIL ha pubblicato la versione definitiva delle sue linee guida relative all'uso dei cookie e di altri tracker.

Si specifica in particolare che la prosecuzione della navigazione su un sito web non può essere considerata un valido consenso all'utilizzo dei traccianti.

Si raccomanda inoltre che i titolari del trattamento dei dati includano nell'interfaccia di raccolta del consenso non solo un pulsante "accetta tutto", ma anche un pulsante "rifiuta tutto".

• Ottobre è il mese della sicurezza informatica.

In questo contesto, la CNIL e l'ANNSSI pubblicano una serie di raccomandazioni.

Gli attacchi informatici degli ultimi mesi hanno colpito in particolar modo il settore sanitario, quello industriale e le autorità locali.

Gli individui sono particolarmente presi di mira dal ricatto tramite webcam e la CNIL fornisce consigli su come proteggersi sul suo sito web.

Europa:

• Il Consiglio d'Europa ha pubblicato un rapporto sulla resilienza dei principi di protezione dei dati nei 57 Paesi che hanno ratificato la Convenzione 108, alla luce delle misure adottate per contenere la pandemia.

• Il 1° ottobre l'autorità di vigilanza di Amburgo ha inflitto a H&M una multa di 35 milioni di euro per aver violato la privacy dei suoi dipendenti.

L'azienda ha raccolto informazioni sulle ferie, sullo stato di salute e sulla religione dei suoi dipendenti.

Attualmente l'azienda sta implementando numerose misure per garantire che il trattamento sia conforme alla legge.

• Due bozze di linee guida sono disponibili per la consultazione pubblica sul sito web del Comitato europeo per la protezione dei dati (EDPB).

Tali documenti riguardano, da un lato, i concetti di titolare del trattamento e di subappaltatore e, dall'altro, la targetizzazione degli utenti dei social network.

• In seguito alla sentenza Schrems II della Corte di giustizia europea, che frena i trasferimenti transatlantici di dati (vedere l'editoriale di settembre sull'argomento), la Commissione europea ha annunciato nuove clausole contrattuali standard per la fine dell'anno.

Internazionale:

• Lo sviluppo del riconoscimento facciale sta suscitando dibattiti in diverse parti del mondo.

A Singapore, l'uso del riconoscimento facciale per accedere ai servizi pubblici è considerato dall'organizzazione "Privacy International" un'intrusione senza precedenti nella privacy dei cittadini, mentre in Russia è il suo utilizzo negli spazi pubblici e negli androni degli edifici privati a destare preoccupazione.

• Etica e intelligenza artificiale sono oggetto di un articolo nell'ultima newsletter della Global Privacy Assembly, che riunisce le CNIL a livello internazionale.

Affronta in modo specifico le problematiche relative agli strumenti digitali utilizzati nel settore sanitario, tra cui le app di tracciamento del COVID-19.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.