Decalogo Covid-19

 In Editoriale, Puntate SIG 2020, SIG
Print Friendly, PDF & Email

Questa fase emergenziale e le numerose richieste di delucidazioni ricevute riguardo a comportamenti e modalità da adottare per rispondere adeguatamente alla tutela della salute pubblica da parte delle aziende, ci inducono a ritornare su questo tema per dare un contributo di chiarezza; allo scopo modifichamo l’abituale alternanza Alert / Editoriale.

In occasione del Covid-19, spesso le aziende non hanno chiaro cosa sia giusto e cosa no nei comportamenti da seguire ma soprattutto nelle prescrizioni che esse possono impartire sia nei riguardi del proprio personale sia verso i terzi con i quali le strutture aziendali vengono in contatto. In questa puntata facciamo una carrellata su una serie di profili che potrebbero essere di interesse. 

Avvertenza: questo Editoriale è aggiornato al 24/5/2020 (per assicurare la lettura della versione aggiornata, digitare il tasto ctrl + F5; il testo in parentesi quadra è stato superato dai successivi provvedimenti o dichiarazioni delle autorità preposte).

 

Sommario

Disposizioni normative

Le libertà in gioco

Dichiarazioni e linee guida da “autorità privacy”

Raccolta di dati

Comunicazione di dati personali

Doveri del datore di lavoro

Doveri del lavoratore

Autodichiarazioni

Comportamenti aziendali

Formazione

Ferie

Smart working

Sicurezza delle informazioni

Sanzioni

Disposizioni normative

Quali sono le attuali norme da considerare?

Le principali norme sul tema del Coronavirus, sotto i profili qui esaminati, sono le seguenti:

  • Legge 5/3/2020, n. 13 di conversione in legge del Dl. 23/2/2020, n.6 con cui si conferisce alle autorita’ competenti il potere di adottare  ogni misura di contenimento e gestione adeguata e proporzionata all’evolversi della situazione epidemiologica
  • DPCM 8/3/2020 con cui vengono adottate le misure per il contenimento dell’epidemia (abrogato dal DPCM 10/4/2020)
  • DPCM 9/3/2020 con cui si estendono le misure a tutto il territorio nazionale (abrogato dal DPCM 10/4/2020)
  • DPCM 11/3/2020 che adotta ulteriori restrizioni per locali pubblici ed attività operative, con effetto dalla data del 12 marzo 2020 e fino al 25 marzo 2020 (termine successivamente prorogato al 3/4/2020 dal DPCM 22/3/2020) (abrogato dal DPCM 10/4/2020)
  • Ord. Dip. Protez. Civile n. 640 con cui si dispone il flusso informativo di dati personali tra le istituzioni competenti, per la quale il Garante ha espresso parere preliminare (doc. web n. 9265883)
  • Ord. Dip. Protez. Civile n. 646 in cui si precisa che le merci non sono sottoposte a restrizioni
  • Ord. Min. Salute 30/1/2020 con cui si interdice il traffico aereo con la Cina
  • Ord. Min. Salute 21/2/2020 in cui si prescrive la misura della quarantena con sorveglianza attiva e che i dati personali sono raccolti per motivi di  interesse pubblico nel settore della sanita’ pubblica, ai sensi dell’art. 9(2), del GDPR, venendo distrutti trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto
  • Circ. Mininterno 8/3/2020 con cui si impartiscono disposizioni per l’applicazione delle norme sul territorio
  • Dl 9/3/2020, n. 14 Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19, abrogato dalla l. n. 27/2020.
  • Circ. 1/2020 Ministero PA in tema di misure incentivanti per il ricorso a modalità flessibili di svolgimento della prestazione lavorativa
  • Protocollo condiviso di regolamentazione del 14 marzo 2020 quindi aggiornato dal Protocollo del 24 aprile 2020.
  • Decreto legge 17/3/2020, n. 18 Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da COVID-19, convertito in legge, con modificazioni, dalla l. n. 27/2020.
  • Ord. Min. Salute 20/3/2020 Ulteriori misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale
  • DPCM 22/3/2020 maggiori restrizioni in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale (abrogato dal DPCM 10/4/2020)
  • Dl 25 marzo 2020, n. 19 Misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19, convertito con modificazioni dalla l. 22 maggio 2020, n. 35.
  • Ordinanza 28 marzo 2020 Ministero della Salute
  • DPCM 1 aprile 2020 proroga dei termini emergenziali (abrogato dal DPCM 10/4/2020)
  • Dl 8 aprile 2020, n. 23 Misure urgenti in materia di accesso al credito e di adempimenti fiscali per le imprese, di poteri speciali nei settori strategici, nonche’ interventi in materia di salute e lavoro, di proroga di termini amministrativi e processuali
  • DPCM 10/4/2020 Ulteriori disposizioni attuative del decreto-legge 25 marzo 2020, n. 19, recante misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale
  • DPCM 26/4/2020 Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale
  • Legge 24 aprile 2020, n. 27 di conversione in legge, con modificazioni, del Dl 17/3/2020, n. 18
  • Dl 30 aprile 2020, n. 28, Misure urgenti per la funzionalita’ dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonche’ disposizioni integrative e di
    coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19
  • FAQ Garante – COVID-19 e protezione dei dati personali
  • DL 16 maggio 2020, n. 33, Ulteriori misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 (le norme si applicano dal 18 maggio 2020 al 31 luglio 2020)
  • DPCM 17 maggio 2020 Disposizioni attuative del decreto-legge 25 marzo 2020, n. 19, recante misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19, e del decreto-legge 16 maggio 2020, n. 33, recante ulteriori misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19.
  • DPCM 18 maggio 2020 Modifiche all’articolo 1, comma 1, lettera cc), del decreto del Presidente del Consiglio dei ministri 17 maggio 2020, concernente: «Disposizioni attuative del decreto-legge 25 marzo 2020, n. 19, recante misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19, e del decreto-legge 16 maggio 2020, n. 33, recante ulteriori misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19».
  • Dl 19 maggio 2020, n. 34 Misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonche’ di politiche sociali connesse all’emergenza epidemiologica da COVID-19. (modifiche alla disciplina sul Fascicolo Sanitario Elettronico).
  • L. 22 maggio 2020, n. 35 Conversione in legge, con modificazioni, del decreto-legge 25 marzo 2020, n. 19, recante misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19.

Le prescrizioni sono vincolanti?

Si registrano divieti assoluti che hanno progressivamente sostituito le raccomandazioni al senso di responsabilità dei cittadini e degli altri soggetti destinatari.

Sempre più le violazioni delle prescrizioni, come indicato in seguito, possono comportare sanzioni e costituire anche ipotesi di reato.

Il Protocollo condiviso di regolamentazione (“Protocollo”) indica regole comportamentali di dettaglio, spesso vincolanti.

Tra decreti del potere centrale e ordinanze regionali, come occorre districarsi?

Il decreto legge 25/3/2020, n. 19 offre copertura normativa alle prescrizioni già adottate con precedenti atti di natura amministrativa (DPCM e, in casi eccezionali, decreti del ministero della salute) prevedendo che le misure restrittive e di contenimento del contagio «possono essere adottate, secondo principi di adeguatezza e proporzionalita’ al rischio effettivamente presente» (art. 1.2). Le misure possono essere adottate «per periodi predeterminati, ciascuno di durata non superiore a trenta giorni, reiterabili e modificabili anche piu’ volte fino al 31 luglio 2020 (…) con possibilita’ di modularne l’applicazione in aumento ovvero in diminuzione secondo l’andamento epidemiologico del predetto virus» (art. 1.1). In aggiunta, «puo’ essere imposto lo svolgimento delle attivita’ non oggetto di sospensione in conseguenza dell’applicazione di misure di cui al presente articolo, ove cio’ sia assolutamente necessario per assicurarne l’effettivita’ e la pubblica utilita’, con provvedimento del prefetto assunto dopo avere sentito, senza formalita’, le parti sociali interessate» (art. 1.3).

I poteri per le misure di igiene e sanità sono ripartiti tra Stato, Regioni ed enti locali ed il Dl. 6/2020 opera un migliore raccordo in tal senso, mentre viene fatto salvo il potere di ordinanza delle Regioni (v. Ord. Dip. Prot. Civ. n. 646) specie per dare attuazione alle disposizioni relative al contenimento degli spostamenti. Il Dl 25/3/2020 n. 19 prevede che «in relazione a specifiche situazioni sopravvenute di aggravamento del rischio sanitario verificatesi nel loro territorio o in una parte di esso, possono introdurre misure ulteriormente restrittive» (art. 3.1).

[Il DPCM 11/3/2020 prevede che il presidente della Regione può disporre con ordinanza «la programmazione del servizio erogato dalle Aziende del Trasporto pubblico locale (…) finalizzata alIa riduzione e alIa soppressione dei servizi in relazione agli interventi sanitari necessari per contenere I’ emergenza coronavirus sulla base delle effettive esigenze e al solo fine di assicurare i servizi minimi essenziali». In aggiunta, ministro dei trasporti di concerto con ministro della salute «può disporre, al fine di contenere I’ emergenza sanitaria da coronavirus, la programmazione con riduzione e soppressione dei servizi automobilistici interregionali e di trasporto ferroviario, aereo e marittimo, sulla base delle effettive esigenze e al solo fine di assicurare i servizi minimi essenziali». abrogato dal DPCM 10/4/2020)]

Il Protocollo, inoltre, prevede che le imprese, previa consultazione delle rappresentanze sindacali aziendali, possono integrare le misure di precauzione ivi contenute, con ulteriori integrative «equivalenti o più incisive secondo le peculiarità della propria organizzazione (…) per tutelare la salute delle persone presenti all’interno dell’azienda e garantire la salubrità dell’ambiente di lavoro».

Le materie di ordine e sicurezza pubblica sono di competenza del potere centrale dello Stato. Eventuali conflitti sono risolti dal Presidente del Consiglio.

Le libertà in gioco

Le libertà in gioco sono prevalentemente di natura costituzionale (libertà di circolazione, di associazione, libertà d’impresa, tutela dei dati personali) e recedono nei confronti di quella sovraordinata della salute pubblica ed individuale. Il diritto alla salute individuale costituisce anche una delle deroghe alle limitazioni agli spostamenti individuali: cioè quando l’interessato deve spostarsi per sottoporsi a terapie o cure mediche. Il diritto alla salute (v. Doveri del datore di lavoro) deve essere garantito anche nell’ambiente di lavoro.

Dichiarazioni e linee guida da “autorità privacy”

Alcune autorità nazionali di supervisione in materia di dati personali hanno pubblicato dichiarazioni o linee guida su come le aziende devono comportarsi in materia di raccolta ed utilizzo di dati personali finalizzati al contrasto del Coronavirus.

Alla dichiarazione del Garante del 2 marzo 2020, hanno fatto seguito:

A questi documenti si sono aggiunti anche quelli delle autorità polacca, islandese, lussemburghese, ceca, inglese.

Non sempre le valutazioni contenute in questi documenti appaiono tra loro coerenti, per cui il Comitato europeo (EDPB) ha emesso:

  • in data 16 marzo una propria dichiarazione  al riguardo (comunicato stampa e dichiarazione)
  • in data 14 aprile una lettera parere in merito al progetto di linee guida della Commissione
  • in data 21 aprile le linee guida 03/2020 sul trattamento di dati personali a fini di ricerca scientifica nel contesto dell’epidemia COVID-19
  • in data 21 aprile le linee guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 (originale e versione italiana).

La Commissione UE ha emesso la comunicazione “Guida alle app a sostegno della lotta contro la pandemia di COVID 19 in relazione alla protezione dei dati”, di cui al citato parere dell’EDPB.

Informazione

Oltre all’informativa privacy in caso di raccolta di dati personali nei limiti e secondo le modalità indicate appresso per i rispettivi contesti, il Protocollo del 24/4 prevede che “L’azienda, attraverso le modalità più idonee ed efficaci, informa tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi depliants informativi.

In particolare, le informazioni riguardano

  • l’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria
  • la consapevolezza e l’accettazione del fatto di non poter fare ingresso o di poter permanere in azienda e di doverlo dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc) in cui i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio
  • l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti
    corretti sul piano dell’igiene)
  • l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti L’azienda fornisce una informazione adeguata sulla base delle mansioni e dei contesti lavorativi, con particolare riferimento al complesso delle misure adottate cui il personale deve attenersi in particolare sul corretto utilizzo dei DPI per contribuire a prevenire ogni possibile forma di diffusione di contagio.” (par. 1).

Raccolta di dati

Molte aziende al fine di mitigare la diffusione del virus prevedono la raccolta di informazioni di viaggio o informazioni sanitarie da dipendenti e visitatori. Le pertinenti considerazioni sulla privacy e sul diritto del lavoro variano a seconda della giurisdizione, ma una domanda chiave è se la raccolta di informazioni abbia una base giuridica, sia una risposta proporzionata e ragionevole e, di conseguenza, legittima.

L’EDPB ricorda che:

  • Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus
  • Nel contesto lavorativo, il trattamento dei dati personali può essere legittimo perchè necessario per ottemperare a obblighi in materia di salute e sicurezza sul luogo di lavoro o di interesse pubblico
  • I datori di lavoro possono ottenere informazioni personali per adempiere ai loro doveri e organizzare il lavoro in linea con la legislazione nazionale.

Il Protocollo prevede le modalità di accesso in azienda sia per i lavoratori (con possibilità di essere sottoposti al controllo della temperatura corporea, v. §2) sia per fornitori (v. §3). Il Protocollo ha ricevuto copertura normativa tramite il DPCM 26/4/2020 (art. 2(6)) nonchè con l’articolo 17-bis della legge n. 27/2020.

Rilevazione della temperatura corporea in tempo reale (v. nota 1 del Protocollo):

  1.  vi possono provvedere anche non operatori sanitari e personale interno dell’azienda purchè specificamente autorizzati con impartizione di istruzioni (art. 29, GDPR)
  2. fornire l’informativa “privacy” anche oralmente, indicando come base giuridica la necessità di ottemperare al DPCM 11/3/2020 ed ai protocolli anti-contagio, durata di conservazione delle informazioni fino a cessazione dello stato di emergenza (il riferimento al DPCM 11/3, abrogato dal DPCM 10/4/2020, va sostituito con quest’ultimo)
  3. registrare il dato (identificativo del soggetto e temperatura) solo in caso di superamento della soglia (37,5°C.) e necessità di documentare l’impedito accesso ai locali aziendali
  4. definire le misure di sicurezza e organizzative adeguate a proteggere i dati
  5. divieto di diffusione e comunicazione delle informazioni al di fuori delle prescrizioni normative

Secondo le FAQ del Garante, “analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020”. “In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.”.

Garanzie e salvaguardie:

  • garanzia di riservatezza e dignità del lavoratore specie se posto in stato di isolamento o a seguito di attestazione di contatti con soggetti risultati positivi o nel caso di allontamento del lavoratore che presenta sintomi durante l’attività lavorativa (e dei suoi colleghi)

Attestazioni circa provenienza da luoghi di contagio e contatti con contagiati:

  • in caso di richiesta di attestazione circa la provenienza da zone a rischio epidemiologico e l’assenza di contatti con soggetti positivi, negli ultimi 14 giorni, astenersi dal richiedere informazioni aggiuntive sulla persona risultata positiva ed in merito alle specificità dei luoghi di permanenza (v. nota 2 del Protocollo).

Secondo le FAQ del Garante:

  • In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati.
  • Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
  • In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

Posso condizionare l’accesso dei visitatori alla compilazione di un questionario?

Il protocollo prevede la riduzione al minimo dell’accesso ai visitatori e se l’ingresso di visitatori è necessario, gli stessi sono soggetti alle medesime regole previste per i lavoratori (v. §2).

La risposta va anche inquadrata alla luce delle disposizioni del DPCM 10/4/2020, articolo 2  [DPCM del 22/3/2020 che sospendono “tutte le attivita’ produttive industriali e commerciali, ad eccezione di quelle indicate nell’allegato 1” (art. 1.1, lett.a)), abrogato dal DPCM 10/4/2020].

Quali alternative posso mettere in campo? [Superato]

Piuttosto che raccogliere dati, la cui competenza spetta alle autorità preposte, l’imprenditore dovrebbe collaborare, facendo rispettare i provvedimenti delle istituzioni competenti, ad esempio diffondendo all’interno della propria organizzazione le informazioni e raccomandazioni emesse dai soggetti istituzionali. Si può ipotizzare, ad esempio, che alla reception – anzichè chiedere la compilazione del questionario – vi sia un documento che ribadisca le prescrizioni dell’autorità, eventualmente richiedendo al visitatore di firmarlo per presa visione ed assunzione di responsabilità.

Posso sottoporre il personale in entrata a questionari?

Il personale è informato dal datore sugli obblighi previsti dalla normativa d’emergenza oltre a quanto già riportato sopra alla sezione “Raccolta dati“.

L’EDPB nella sua dichiarazione ha ribadito che:

  1. il GDPR non è di intralcio alle misure anti-contagio
  2. la base giuridica che permette a imprenditori e autorità di raccogliere dati personali necessari e pertinenti non è il consenso dell’interessato
  3. bensì la necessità per i datori di lavoro per motivi di interesse pubblico nel settore della sanità pubblica o per proteggere interessi vitali (artt. 6 e 9 del GDPR) o per ottemperare a un altro obbligo legale.

[Il Garante italiano e il CNIL francese sono concordi nel ritenere che il datore di lavoro non sia legittimato a raccogliere informazioni personali dei propri dipendenti allo scopo di contenere o contrastare la diffusione del coronavirus.

Le autorità “privacy” di Danimarca e Norvegia sembrano essere più possibiliste al riguardo.

L’autorità irlandese ritiene che le aziende possono fare affidamento sull’ipotesi di “obblighi in materia di occupazione” [art. 9(2)(b), del GDPR] per elaborare i dati personali dei propri dipendenti, in quanto i datori di lavoro hanno l’obbligo giuridico di proteggere i propri dipendenti in tema di sicurezza, salute e benessere. Tuttavia, i datori di lavoro dovrebbero fare affidamento su questa base giuridica solo se ritenuto necessario e proporzionato, e dovrebbero garantire che tutti i dati siano trattati in modo confidenziale. Inoltre, in situazioni di emergenza, dove non è possibile identificare altre basi giuridiche, secondo l’autorità irlandese, come base giuridica le aziende potrebbero fare affidamento sulla necessità di proteggere gli interessi vitali dell’interessato o di terzi [art. 9(2)(c), del GDPR]. Secondo Dublino, quindi, le informazioni possono essere chieste ai propri dipendenti ma “l’attuazione di requisiti più rigorosi, come un questionario, dovrebbe avere una forte giustificazione basata sulla necessità e proporzionalità e su una valutazione del rischio”].

Posso raccogliere dati antivirus col consenso del dipendente?

Il consenso del dipendente non è una base giuridica valida in questo contesto in quanto al dipendente non viene offerta una reale scelta tra il rispondere o meno alle richieste. Pertanto il consenso, anche se rilasciato, non potrebbe considerarsi libero e, quindi, valido.

L’EDPB nella sua dichiarazione ha ribadito che la base giuridica che permette a imprenditori e autorità di raccogliere dati personali necessari e pertinenti non è il consenso dell’interessato.

Posso chiedere il consenso del dichiarante?

Le considerazioni espresse riguardo al consenso del lavoratore sono applicabili anche nei riguardi di un terzo, ad esempio di un visitatore o ospite.

Che natura hanno i dati che si raccolgono per il contrasto dell’epidemia?

I dati che generalmente l’imprenditore raccoglie in questo contesto sono informazioni personali di viaggio e informazioni sullo stato di salute dell’interessato.

Se la domanda relativa alla temperatura corporea dell’interessato è certamente rivolta ad acquisire dati sulla salute così come la notizia che qualcuno sia positivo al test da COVID-19, rientrando nella speciale categoria dei dati sensibili, qualche incertezza può esservi circa la classificazione delle altre informazioni.

Secondo l’autorità di supervisione norvegese:

  • Le informazioni sul fatto che un individuo sia tornato da una “zona a rischio” non si qualificano come dati sanitari;
  • Le informazioni sul fatto che un individuo sia stato messo in quarantena (senza menzionare il motivo specifico) non si qualificano come dati sanitari.

La raccolta dei dati è nel legittimo interesse dell’azienda?

Si ritiene che il legittimo interesse del titolare non sia una valida base giuridica per la raccolta di tali informazioni personali da parte dell’imprenditore.

In primo luogo per i dati sanitari, in quanto il legittimo interesse non è previsto tra le condizioni di legittimità per il trattamento di categorie particolari di dati personali, di cui all’articolo 9 del GDPR. In secondo luogo perchè il legittimo interesse del titolare è soggetto ad una specifica valutazione della non prevalenza dei diritti e libertà fondamentali dell’interessato che non appare sussistere in queste circostanze. 

Quali sono le condizioni per raccogliere legittimamente i dati sulla salute di dipendenti o visitatori?

La base giuridica per la raccolta dei dati è data dall’implementazione dei protocolli di sicurezza anti-contagio [ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (abrogato dal DPCM 10/4/2020] con la copertura normativa offerta dall’articolo 17-bis della l. n.27/2020.

L’EDPB aveva già precisato che la base giuridica che permette a imprenditori e autorità di raccogliere dati personali necessari e pertinenti è la necessità per i datori di lavoro per motivi di interesse pubblico nel settore della sanità pubblica o per proteggere interessi vitali (artt. 6 e 9 del GDPR) o per ottemperare a un altro obbligo legale. Inoltre:

  • I dati personali necessari per raggiungere gli obiettivi perseguiti devono essere trattati per scopi specifici ed espliciti.
  • Gli interessati dovrebbero ricevere informazioni trasparenti sulle attività di trattamento che vengono svolte e sulle loro caratteristiche principali.
  • È importante adottare adeguate misure di sicurezza e politiche di riservatezza per garantire che i dati personali non vengano divulgati a soggetti non autorizzati.

[Per rispondere a questa domanda l’imprenditore deve chiedersi se esiste una base giuridica appropriata per acquisire informazioni sensibili sulla salute, considerando cumulativamente le condizioni di entrambi gli articoli 6 e 9 del GDPR.

D’altro canto, l’esigenza di tale raccolta non appare evidente in quanto chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico deve già comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.]

L’azienda deve rilasciare l’informativa?

Qualsiasi raccolta di informazioni personali dell’interessato presuppone che gli sia fornita l’informativa di legge, che sarà preventiva, in caso di raccolta diretta, ed entro un mese o alla prima comunicazione, se le informazioni sono acquisite da fonti terze. [In ogni caso, l’informativa deve contenere tutti gli elementi indicati agli articoli 13 e 14 del GDPR.].

Gli elementi da indicare nell’informativa sono menzionati alla nota 1 del Protocollo (v. anche quanto già riportato sopra alla sezione “Raccolta dati“)

L’articolo 17-bis della l. n.27/2020 prevede, tuttavia, quanto segue: “i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.”. I soggetti di cui al comma 1 sono: “i soggetti operanti nel Servizio nazionale di protezione civile (…) e i soggetti attuatori (cioè, “Dipartimento, delle componenti e delle strutture operative del Servizio nazionale della protezione civile, nonche’ di soggetti attuatori, individuati anche tra gli enti pubblici economici e non economici e soggetti privati, che agiscono sulla base di specifiche direttive”) (…) nonche’ gli uffici del Ministero della salute e dell’Istituto Superiore di Sanita’, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure”.

Comunicazione di dati personali

Può l’azienda comunicare dati dei propri dipendenti alle istituzioni?

Come si è indicato, in linea generale, le informazioni personali relative al coronavirus sono acquisite dalle autorità preposte direttamente dall’interessato. La comunicazione di tali dati personali tra le autorità sanitarie, su base di necessità e pertinenza, è legittimata dai motivi di  interesse pubblico nel settore della sanita’ pubblica [art. 9(2), del regolamento] ed è soggetta alla salvaguardia del segreto professionale cui sono tenuti gli operatori.

L’ipotesi di una comunicazione alle istituzioni di dati del dipendente da parte del proprio datore di lavoro va considerata come residuale, nel caso in cui l’interessato sia impossibilitato a fornirle direttamente e sussistano le condizioni di necessità e pertinenza ai fini della tutela della salute individuale e pubblica, rispettando le prescrizioni della normativa di emergenza.

 

[Laddove le organizzazioni agiscano sulla base di orientamenti o direttive delle autorità pubbliche competenti, è probabile che il trattamento dei dati sanitari pertinenti possa essere considerato lecito sulla base del fatto che è “necessario per motivi di interesse pubblico nel settore della sanità pubblica” ai sensi dell’articolo 9(2)(i) GDPR. Come ha evidenziato l’autorità irlandese, dovrebbero essere attuate garanzie adeguate come limitazioni all’accesso ai dati, limiti di tempo rigorosi per la cancellazione e l’adeguata formazione del personale per proteggere i diritti degli interessati.]

Il flusso di informazioni da coronavirus presenta più profili di rischio, anche di sicurezza delle informazioni, che – come riportato in un articolo di Yan Luo – hanno indotto la Cyberspace Administration of China (“CAC”) a pubblicare la “Comunicazione sulla protezione delle informazioni personali durante l’utilizzo di Big Data” per il contrasto al coronavirus, al fine di contenere le violazioni dei dati e prevenire ulteriori usi non autorizzati delle informazioni personali.

Può l’azienda comunicare dati dei propri dipendenti a partner commerciali?

I rischi per la privacy evidenziati in precedenza si amplificano quando partner commerciali richiedono che i dati personali dei dipendenti vengano condivisi o scambiati in relazione agli sforzi di prevenzione e gestione dei virus. Le aziende dovranno considerare attentamente quale sia la base giuridica a fondamento di questa comunicazione, in assenza della quale, la condivisione di informazioni anche sensibili risulterebbe illegittima.

Può l’azienda divulgare al proprio interno che un dipendente ha contratto il virus o è in quarantena?

Secondo il Protocollo, “l’azienda collabora con le Autorità sanitarie per la definizione degli eventuali “contatti stretti” di una persona presente in azienda che sia stata riscontrata positiva al tampone COVID-19. Ciò al fine di permettere alle autorità di applicare le necessarie e opportune misure di quarantena. Nel periodo dell’indagine, l’azienda potrà chiedere agli eventuali possibili contatti stretti di lasciare cautelativamente lo stabilimento, secondo le indicazioni dell’Autorità sanitaria”.

Secondo l’EDPB, i datori di lavoro devono informare il personale sui casi COVID-19 e adottare misure di protezione, ma non devono comunicare più informazioni del necessario. Nei casi in cui è necessario rivelare il nome del / i lavoratore / i che ha contratto il virus (ad es. in un contesto preventivo) e la legislazione nazionale lo consente, i dipendenti interessati devono essere informati in anticipo e la loro dignità e integrità devono essere protette.

Le autorità di supervisione Danese e Norvegese sembrano ammettere la legittimità della divulgazione di queste informazioni all’interno dell’organizzazione, sempre per finalità di tutela della salute degli altri dipendenti; a noi, tuttavia, sembra che il dovere del datore di lavoro di garantire la salubrità del luogo di lavoro e la tutela della salute dei propri dipendenti non giustifichi tale divulgazione.   L’autorità di supervisione irlandese evidenzia che l’identità del dipendente interessato non dovrebbe essere divulgata a terzi o ai colleghi senza una giustificazione specifica. In altre parole, un datore di lavoro può informare il proprio personale che esiste un caso, o sospetto, di COVID-19 nella sua organizzazione e chiedere loro di lavorare da casa, ma l’individuo interessato non dovrebbe essere nominato.  

Secondo le FAQ del Garante:

  • Non può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro.
  • In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.
  • Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).
  • La comunicazione di informazioni relative alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).
  • Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

Cosa deve fare il datore se viene a conoscenza di un caso di Coronavirus al proprio interno? 

Il Protocollo prevede la collaborazione con le autorità sanitarie, la possibilità per l’azienda di chiedere agli eventuali possibili contatti stretti di lasciare lo stabilimento, secondo le indicazioni dell’autorità sanitaria; nonchè la sanificazione dei locali (v. §11).

[Non è previsto alcun adempimento a carico del datore di lavoro salvo che collaborare con le autorità e con l’azienda sanitaria territorialmente competente mettendo a disposizione le informazioni in proprio possesso per la ricostruzione di eventuali contatti.]

Cosa deve fare il datore di lavoro in caso un lavoratore in azienda presenta sintomi respiratori con febbre?

Il Protocollo affronta il tema al §11:

  1. il lavoratore interessato lo deve dichiarare immediatamente all’ufficio del personale
  2. in base alle disposizioni dell’autorità sanitaria, l’azienda dovrà procedere
    • all’isolamento suo e all’allontanamento degli altri presenti dai locali
    • ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-19 forniti dalla Regione o dal Ministero della Salute.

Il medico competente o gli addetti al primo soccorso aziendale provvederanno a fornire le prime cure – indossare e far indossare una mascherina chirurgica a tutti gli interessati coinvolti.

Doveri del datore di lavoro

Quali doveri ha il datore di lavoro in questo ambito?

Il Dl n. 33/2020 stabilisce quanto segue:

“14. Le attivita’ economiche, produttive e sociali devono svolgersi nel rispetto dei contenuti di protocolli o linee guida idonei a prevenire o ridurre il rischio di contagio nel settore di riferimento o in ambiti analoghi, adottati dalle regioni o dalla Conferenza delle regioni e delle province autonome nel rispetto dei principi contenuti nei protocolli o nelle linee guida nazionali. In assenza di quelli regionali trovano applicazione i protocolli o le linee guida adottati a livello nazionale.” [art. 1.14]. Inoltre, “15. Il mancato rispetto dei contenuti dei protocolli o delle linee guida, regionali, o, in assenza, nazionali, di cui al comma 14 che non assicuri adeguati livelli di protezione determina la sospensione dell’attivita’ fino al ripristino delle condizioni di sicurezza”.

Il datore di lavoro ha obblighi di sicurezza e tutela della salute dei dipendenti in base all’articolo 2087 del codice civile ed al Dlgs. 81/2008. In questo senso, come ricordato dal Garante, «i compiti del datore di lavoro (sono) relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.».

Il Protocollo, oltre ai doveri del datore già menzionati, indirizza il tema dei dispositivi di protezione individuale (v. §6):

  1. adozione delle misure di igiene e dei dispositivi di protezione individuale
  2. utilizzo delle mascherine
  3. quando la distanza interpersonale di 1 metro non può essere rispettata, altri dispositivi di protezione (guanti, occhiali, tute, cuffie, camici, ecc…) conformi alle disposizioni delle autorità scientifiche e sanitarie

Il tema della sorveglianza sanitaria /medico competente / RLS è anch’esso affrontato dal Protocollo (v. §12 del Protocollo e il paragrafo “Vi sono impegni da rispettare per la sicurezza sul lavoro?” più sotto):

  1. vanno privilegiate, in questo periodo, le visite preventive, le visite a richiesta e le visite da rientro da malattia
  2. la sorveglianza sanitaria periodica non va interrotta
  3. il medico competente collabora con il datore di lavoro e le RLS/RLST
  4. “Il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie”.

[In aggiunta, il datore di lavoro deve assicurarsi che gli ambienti di lavoro consentano il rispetto della distanza minima di 1 metro; in mancanza dovrà optare per una modalità alternativa di svolgimento della prestazione come il lavoro agile o le modalità di collegamento da remoto, oppure ricorrere a ferie o congedi.]

Il

[DPCM 22/3/2020 «sospende tutte le attivita’ produttive industriali e commerciali, ad eccezione di quelle indicate nell’allegato 1» a partire dal 23 marzo e sino al 3 aprile 2020, salvo che siano proseguite «se organizzate in modalita’ a distanza o lavoro agile»; il DPCM 1/4/2020 ha prorogato il termine del 3/4 al 13/4/2020; entrambi i DPCM sono stati abrogati dal DPCM 10/4/2020]

DPCM 10/4/2020 ha statuito che “Sull’intero territorio nazionale sono sospese tutte le attivita’ produttive industriali e commerciali, ad eccezione di quelle indicate nell’allegato 3. L’elenco dei codici di cui all’allegato 3 puo’ essere modificato con decreto del Ministro dello sviluppo economico, sentito il Ministro dell’economia e delle finanze” (art. 2).

 

Doveri del lavoratore

Il lavoratore ha propri doveri in questo ambito?

Il Protocollo prevede i distinti obblighi del lavoratore:

  1. comunicare all’ufficio del personale l’insorgere di eventuali sintomi
  2. rispettare e sottoporsi alle misure anti-contagio
    1. se la temperatura corporea risulta superiore a 37,5° non potrà accedere ai luoghi di lavoro e “dovrà contattare tempestivamente il proprio medico curante e seguire le sue indicazioni”
    2. se negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS non potrà fare ingresso in azienda
    3. se già risultato positivo all’infezione da COVID 19 “dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione” del tampone secondo le modalità previste e rilasciata dal dipartimento di prevenzione territoriale di competenza”
  3. adottare le misure di protezione messe a disposizione.

Il Dpcm 26/4/2020 sancisce anche l’obbligo di rimanere all’interno della propria abitazione per tutti coloro che presentano sintomi legati a sindromi respiratorie e una temperatura corporea superiore ai 37,5 gradi.

[Il lavoratore, come individuo, deve ricordare che in caso si presentassero sintomi di infezione respiratoria e rialzo della temperatura corporea maggiore di 37,5 gradi C. sussiste la forte raccomandazione a rimanere presso il proprio domicilio e a limitare al massimo i contatti sociali; l’inosservanza di tale raccomandazione può arrivare a configurare ipotesi di reati contro la salute pubblica. Mentre per il lavoratore che fosse sottoposto alla quarantena o che fosse risultato positivo al virus, scatta il divieto assoluto di spostamenti che non ammette eccezioni.

Inoltre, come ricorda il Garante, «(r)esta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. (…) In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche  predisponendo canali dedicati».]

 

Il lavoratore è tenuto a comunicare i propri dati alle istituzioni?

Chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico deve comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.

In aggiunta a quanto anticipato per chi proviene da zone di contagio, il rispetto delle limitazioni della mobilità è soggetto a controlli da parte di polizia, carabinieri ed esercito. V. anche il paragrafo “Autodichiarazioni“.

[Gli spostamenti sono consentiti in presenza di specifici casi in deroga che vanno accertati con autodichiarazione che il lavoratore dovrà fornire agli organi controllanti]. 

 

In materia di riservatezza, anche il lavoratore ha doveri?

Il lavoratore agile è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita familiare (art. 115.2 del codice privacy). In aggiunta, il lavoratore è tenuto al segreto professionale nell’uso dei dati personali di pertinenza della propria azienda (prestando particolare cura ed attenzione specie quando opera fuori dal contesto lavorativo) e deve tutelare adeguatamente le informazioni riservate dell’azienda.

Autodichiarazioni

Come già indicato, gli spostamenti erano in precedenza consentiti in presenza di specifici casi in deroga che vanno accertati con attestazione mediante autodichiarazione.

A decorrere dal 18 maggio 2020, cessano di avere effetto tutte le misure limitative della circolazione all’interno del territorio regionale” [art. 1.1 Dl n. 33/2020], quindi per gli spostamenti all’interno della regione non occorre più alcuna attestazione giustificativa. Le misure, già introdotte col DL n. 19/2020, possono però essere adottate o reiterate in caso di aggravamento della situazione epidemiologica.

“2. Fino al 2 giugno 2020 sono vietati gli spostamenti, con mezzi di trasporto pubblici e privati, in una regione diversa rispetto a quella in cui attualmente ci si trova, salvo che per comprovate esigenze lavorative, di assoluta urgenza ovvero per motivi di salute; resta in ogni caso consentito il rientro presso il proprio domicilio, abitazione o residenza.
3. A decorrere dal 3 giugno 2020, gli spostamenti interregionali possono essere limitati solo con provvedimenti adottati” mediante DPCM [art. 1.2 e 3 Dl n. 33/2020].

“4. Fino al 2 giugno 2020, sono vietati gli spostamenti da e per l’estero, con mezzi di trasporto pubblici e privati, salvo che per comprovate esigenze lavorative, di assoluta urgenza ovvero per motivi di salute o negli ulteriori casi individuati con provvedimenti adottati” con DPCM; “resta in ogni caso consentito il rientro presso il proprio domicilio, abitazione o residenza. A decorrere dal 3 giugno 2020, gli spostamenti da e per l’estero possono essere limitati solo con” DPCM.

“6. E’ fatto divieto di mobilita’ dalla propria abitazione o dimora alle persone sottoposte alla misura della quarantena

[Secondo il DPCM 26/4/2020, la giustificazione del motivo di lavoro può essere comprovata anche esibendo adeguata documentazione fornita dal datore di lavoro (tesserini o simili) idonea a dimostrare la condizione dichiarata. Inoltre, la giustificazione di tutti gli spostamenti ammessi, in caso di eventuali controlli, può essere fornita nelle forme e con le modalità consentite. 

, che potrà essere resa anche seduta stante attraverso la compilazione di moduli forniti dalle forze di polizia. La veridicità dell’autodichiarazione potrà essere verificata anche con successivi controlli].

I dipendenti possono circolare?

Per i limiti alla circolazione si veda quanto indicato al precedente paragrafo Autodichiarazioni“.

Tra le deroghe alle limitazioni di mobilità vi è quello dell’esigenza lavorativa che non deve necessariamente presentare caratteristiche di essenzialità o indifferibilità, in quanto basta dichiarare di andare al lavoro; giustifica lo spostamento solo l’attività relativa a quei lavori che non sono stati sospesi o interrotti dalla normativa di emergenza (da ultimo Dl n. 33/2020) ma in tal caso non vi è necessità che sussista un motivo particolare. L’uso dell’espressione “comprovate esigenze lavorative” significa che si deve poter dimostrare che ci si sta spostando per lavoro.

In presenza della necessità lavorativa – come sopra chiarita – è consentito spostarsi anche oltre le zone consentite.

[il DPCM 26/4/2020 stabilisce che si può uscire dal proprio domicilio solo per andare al lavoro, per motivi di salute, per necessità (il decreto include in tale ipotesi quella di visita ai congiunti), o per svolgere attività sportiva o motoria all’aperto].

[non si applica il «divieto a tutte le persone fisiche di trasferirsi o spostarsi, con mezzi di trasporto pubblici o privati, in un comune diverso rispetto a quello in cui attualmente si trovano» [art. 1.1, lett. b) DPCM 22/3/2020, abrogato dal DPCM 10/4/2020]].

Il Protocollo prevede regole per spostamenti interni, riunioni, eventi interni e formazione (v. §10).

L’ordinanza del Ministero della Salute del 28 marzo 2020 prevede che chiunque intende fare ingresso nel
territorio nazionale deve rilasciare un’autodichiarazione in cui indica: motivi del viaggio, indirizzo completo dell’abitazione o dimora in Italia, recapito telefonico e “anche se asintomatiche, sono obbligate a comunicarlo immediatamente al Dipartimento di prevenzione dell’azienda sanitaria competente per territorio e sono sottoposte alla sorveglianza sanitaria e all’isolamento fiduciario per un periodo di quattordici giorni presso l’abitazione o la dimora” (art. 1).

Posso far circolare il personale con un’autodichiarazione aziendale?

La previsione della nuova versione del modulo della necessità di dichiarare di non essere sottoposto alla misura della quarantena e di non essere risultato positivo al virus COVID-19 fa ritenere che l’attestazione debba necessariamente essere personale.

[Nulla vieta che sia la stessa azienda a fornire l’autodichiarazione al proprio dipendente].

Il Protocollo prevede la sospensione e l’annullamento di trasferte / viaggi di lavoro nazionali e internazionali (v. §8, coordinato con quanto indicato al paragrafo Autodichiarazioni).

Il dipendente in trasferta può rientrare al proprio domicilio?

L’articolo 1.4 del Dl n. 33/2020 sancisce che “resta in ogni caso consentito il rientro presso il proprio domicilio,
abitazione o residenza”.

[Gli spostamenti sono rigorosamente regimentati e la previsione contenuta nel DPCM 8/3/2020 [art. 1.1 lett. a)] «E’ consentito il rientro presso il proprio domicilio, abitazione o residenza» è stata soppressa [DPCM 22/3/2020, art. 1.1, lett. b)]. Peraltro il DPCM 8/3/2020 è stato abrogato dal DPCM 10/4/2020].

[Chiunque ha diritto a rientrare nel proprio domicilio fermo restando che poi ci si potrà spostare solo in presenza di una deroga alle limitazioni di mobilità, come per andare a lavorare.]

A chi spetta dimostrare le giustificazioni per gli spostamenti?

La sussistenza di una deroga alla limitazione di mobilità va dimostrata dall’interessato, tramite l’autodichiarazione.

Spostamenti e autodichiarazioni sono soggette a vigilanza?

Spostamenti e autodichiarazioni sono soggette a controlli da parte delle Forze dell’Ordine e dell’Esercito.

Le merci e i trasportatori possono circolare?

Le limitazioni di mobilità non riguardano nè le merci nè gli autotrasportatori, i quali si avvalgono della deroga dell’esigenza lavorativa.

Comportamenti aziendali

Possono essere tenute riunioni interne?

Il datore di lavoro deve assicurare il rispetto del divieto di assembramenti, garantendo che le riunioni si tengano nel rispetto della distanza minima di 1 metro tra i partecipanti.

Il Protocollo non consente le riunioni in presenza, eccetto quelle necessarie e urgenti ma “dovrà essere ridotta al minimo la partecipazione necessaria e, comunque, dovranno essere garantiti il distanziamento interpersonale e un’adeguata pulizia/areazione dei locali” (v. §10).

Vi sono impegni da rispettare per la sicurezza sul lavoro?

Come richiamato dalla lettera circolare del Ministero della Salute del 3 febbraio 2020 “Indicazioni per gli operatori dei servizi/esercizi a contatto con il pubblico”, rimangono ferme – laddove applicabili – le previsioni e le responsabilità in materia di gestione del rischio biologico assegnate dal Dlgs. 81/2008 ai soggetti aziendali incaricati della predisposizione e dell’attuazione delle misure di prevenzione e protezione. Il datore di lavoro, in collaborazione con il servizio di prevenzione e protezione e con il medico competente, dispone misure rafforzative delle ordinarie norme di comportamento e corretta prassi igienica, sia a tutela dei lavoratori, sia dei visitatori.

Secondo le FAQ del Garante:

  • In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori.
  • Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)(1).
  • Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo).
  • Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore.
  • In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

Il DPCM 11/3/2020 “raccomanda” che in ordine alle attività professionali siano assunti «protocolli di sicurezza anti-contagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro corne principale misura di contenimento, con  adozione di strumenti di protezione individuale» ed in aggiunta che «siano incentivate Ie operazioni di sanificazione dei luoghi di lavoro, anche utilizzando a tal fine forme di ammortizzatori sociali». Il DPCM 11/3/2020 è stato abrogato dal DPCM 10/4/2020 ma la disposizione è stata riproposta all’articolo 1, lettere ii) di quest’ultimo.

Con la comunicazione del 13/3/2020 l’INL ha precisato che in merito alla valutazione del rischio emergenza coronavirus gli obblighi datoriali relativi a la “valutazione del rischio” ed “elaborare il DVR” e, se del caso, “integrarlo” con quanto previsto dall’art. 271 del d.lgs. n. 81/2008 non sarebbero necessari «in quanto trattasi di un rischio non riconducibile all’attività e cicli di lavorazione e, quindi, non rientranti nella concreta possibilità di valutarne con piena consapevolezza tutti gli aspetti gestionali del rischio, in termini di eliminazione alla fonte o riduzione dello stesso, mediante l’attuazione delle più opportune e ragionevoli misure di prevenzione tecniche organizzative e procedurali tecnicamente attuabili».

Si veda anche quanto detto riguardo alla domanda “Quali doveri ha il datore di lavoro in questo ambito?

Come gestire gli spazi ricreativi aziendali?

Il Protocollo affronta il tema al §. 7:

  1. “l’accesso agli spazi comuni, comprese le mense aziendali, le aree fumatori e gli spogliatoi è contingentato, con la previsione di una ventilazione continua dei locali, di un tempo ridotto di sosta all’interno di tali spazi e con il mantenimento della distanza di sicurezza di 1 metro tra le persone che li occupano.
  2. occorre provvedere alla organizzazione degli spazi e alla sanificazione degli spogliatoi per lasciare nella disponibilità dei lavoratori luoghi per il deposito degli indumenti da lavoro e garantire loro idonee condizioni igieniche sanitarie.
  3. occorre garantire la sanificazione periodica e la pulizia giornaliera, con appositi detergenti dei locali mensa, delle tastiere dei distributori di bevande e snack”.

[superato: Il documento del 3 marzo 2020 “COVID-19: indicazioni per la tutela della salute negli ambienti di lavoro non sanitari”, rilasciato dalla Regione Veneto suggerisce di regolamentare l’accesso agli spazi destinati alla ristorazione (es. mense), allo svago o simili (es. aree relax, sala caffè, aree fumatori), programmando il numero di accessi contemporanei o dando disposizioni di rispettare il criterio della distanza di 1 metro tra gli individui. Il DPCM 11/3/2020 sembra ammettere l’uso di questi spazi limitatamente alle attività produttive, prescrivendo che l’accesso agli spazi comuni sia “contingentato”].

Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

Fonte FAQ del Garante:

  • I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.
  • In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
  • Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
  • Il Rappresentante dei lavoratori per la sicurezza, proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).
  • Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

Formazione

Si può continuare a fare corsi di formazione in azienda?

Secondo il Protocollo sono sospesi e annullati tutti gli eventi interni e ogni attività di formazione in modalità in aula (v. §10).

[Il DPCM 8/3/2020 [art. 1.1, lett. h)] dispone il blocco delle attività formative svolte anche da soggetti privati, ferma restando la possibilità di svolgimento delle stesse a distanza (ad esempio, e-learning): abrogato dal DPCM 10/4/2020].

[Questa disposizione sembra includere ogni attività formativa in presenza, compresi i corsi aziendali.]

Ferie

Posso stabilire che i dipendenti vadano in ferie anche senza il loro consenso?

Ferie, congedi retribuiti e lavoro agile, «nonchè gli altri strumenti previsti dalla contrattazione collettiva», sono strumenti prioritari nella gestione dell’emergenza per decongestionare possibili assembramenti in azienda.

Nel caso di ferie già maturate, sembrerebbe che la collocazione del dipendente in ferie non richieda il consenso dell’interessato, in virtù della superiore finalità di tutela della salute pubblica e individuale. Diverso è il caso di ferie ancora da maturare, per le quali sembrerebbe comunque necessario il consenso del dipendente.

Smart working

Posso stabilire che i dipendenti operino da casa?

Lo smart working è incentivato (massimamente) per contenere o risolvere le limitazioni alla mobilità; la norma infatti, introduce la possibilità di utilizzo dell’istituto in forma agevolata, cioè senza necessità di preventivi accordi individuali. [Il DPCM 11/3/2020 prescrive che le P.A. «individuano Ie attività indifferibili da rendere in presenza»: abrogato dal DPCM 10/4/2020].

Posso controllare che il lavoratore agile stia realmente lavorando?

Per il divieto di controllo a distanza anche nel caso di smart working, si rinvia all’Editoriale del 5 marzo scorso.

Deve ritenersi illegittimo il ricorso a software di controllo capaci di registrare i tasti premuti e i movimenti compiuti dal mouse, di acquisire schermate visualizzate (in maniera causale o a intervalli prestabiliti), di registrare le applicazioni utilizzate (e la durata del loro impiego) nonché, su dispositivi compatibili, di attivare telecamere web e raccogliere così filmati registrati. 

In che modo posso controllare il lavoro agile?

La chiave sta nell’affrontare la prestazione di lavoro a domicilio o a distanza secondo controlli sugli obiettivi conseguiti o i risultati prodotti.

Posso stabilire che il dipendente utilizzi proprie apparecchiature per consentire lo smart working?

L’utilizzo di dispositivi di proprietà del dipendente per facilitare lo smart working presuppone il preventivo consenso dell’interessato ed un’attenta politica che disciplini la distinzione tra informazioni personali e informazioni di pertinenza lavorativa.

In che modo si può gestire la videoconferenza da casa?

Sulla base di quanto previsto anche dal codice privacy (art. 115) occorre seguire alcune precauzioni al fine di evitare il rischio di esporre la riservatezza della vita privata del dipendente. Tendenzialmente è preferibile evitare la trasmissione video, che peraltro occupa banda internet a danno della trasmissione, e preferire la condivisione dello schermo, quando necessario. Se la trasmissione video è necessaria, il lavoratore dovrà avere cura di effettuarla in un locale chiuso in cui non transitino altri familiari, soprattutto minori.

Quali attenzioni riguardo alla sicurezza delle informazioni in ambito smart working?

Quando i dipendenti accedono ai sistemi di lavoro tramite reti domestiche o pubbliche non protette, si incrementa il rischio di vulnerabilità della rete aziendale maggiormente esposta a intercettazioni o accessi di terzi non autorizzati. L’uso di dispositivi personali, in particolare, può essere problematico, a causa del fatto che la protezione antivirus di livello utente potrebbe non essere sufficiente contro sofisticati attacchi informatici. Le aziende dovrebbero rivedere i loro piani e pratiche di sicurezza informatica, testare l’accesso remoto e la continuità delle capacità operative e ricordare ai dipendenti le loro responsabilità di salvaguardare le reti e le informazioni personali di pertinenza aziendale.

 

Sicurezza delle informazioni

L’emergenza Coronavirus alza il rischio di violazioni di sicurezza?

I criminali informatici sono opportunisti e possono cercare di capitalizzare le paure legate al coronavirus. L’esperienza in Cina – secondo un articolo di Yan Luo – è stata illustrativa: criminali informatici hanno diffuso Trojan di accesso remoto travestiti da file o documenti che sembrano fornire nuove notifiche o aggiornamenti su COVID-19. Questi trojan sono in genere programmi di installazione EXE destinati a rubare informazioni dai computer o dispositivi mobili degli utenti o perpetuare il ransomware. Oppure messaggi di testo fraudolenti con l’indicazione che i voli erano stati cancellati a causa dell’epidemia di COVID-19. I messaggi di testo contengono un numero di telefono fornito dai criminali informatici per gestire le “questioni amministrative” in relazione alla cancellazione. L’obiettivo degli attacchi è ottenere la carta di pagamento e altre informazioni sensibili.

Sanzioni

Quali conseguenze se l’attestazione non corrisponde al vero?

Chi dichiara o attesta falsamente al pubblico ufficiale l’identità, lo stato o altre qualità della propria o di un’altra persona commette un reato (articolo 495 del codice penale).

Quali conseguenze se non si rispettano le prescrizioni?

Il comportamento non conforme alle prescrizioni del DPCM – anche solo colposo – può portare a configurare ipotesi di reato quali quelle dei delitti colposi contro la salute pubblica (art. 452 c.p.) nonchè il reato previsto per l’inosservanza dei provvedimenti dell’autorità (art. 650 c.p.).

Il Dl n.33/2020 stabilisce:

“1. Salvo che il fatto costituisca reato diverso da quello di cui all’articolo 650 del codice penale, le violazioni delle disposizioni del presente decreto, ovvero dei decreti e delle ordinanze emanati in attuazione del presente decreto, sono punite con la sanzione amministrativa di cui all’articolo 4, comma 1, del decreto-legge 25 marzo 2020, n. 19. Nei casi in cui la violazione sia commessa nell’esercizio di un’attivita’ di impresa, si applica altresi’ la sanzione amministrativa accessoria della chiusura dell’esercizio o dell’attivita’ da 5 a 30 giorni.” [art. 2.1].

[Il Dl 25/3/2020 n. 19 che il mancato rispetto delle misure di contenimento,  se il fatto non costituisce reato,  «e’ punito con la sanzione amministrativa del pagamento di una somma da euro 400 a euro 3.000 (… e) Se il mancato rispetto delle predette misure avviene mediante l’utilizzo di un veicolo le sanzioni sono aumentate fino a un terzo». Le sanzioni amministrative di nuovo conio sostituiscono «le sanzioni contravvenzionali previste dall’articolo 650 del codice penale o da ogni altra disposizione di legge attributiva di poteri per ragioni di sanita’» (art. 4.1)].

 

Rosario Imperiali @Ros_Imperiali

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Illeggibile? Cambia il testo. captcha txt
0