Come sarebbe bello avere dei sistemi di gestione integrati che, in azienda, tengano insieme tutti gli aspetti che permettono di arrivare ad una compliance completa! Basti pensare che Qualità, Ambiente, MOG (Dlgs 231/2001), Antiriciclaggio, whistleblowing, ISO 45001, D.lgs. 81/2008, privacy hanno tutti aspetti tecnici, aspetti organizzativi e aspetti legali. Avere un sistema armonizzato ed integrato permette di costruire un metodo di controllo che può ottimizzare i costi facendoli diventare un investimento per il miglioramento del sistema aziendale.
Con l’arrivo del COVID-19 ed in particolare con il primo protocollo Governo-Sindacati-Confindustria del 14 marzo 2020 e ancora di più con l’aggiornamento del 24 aprile 2020 (pubblicato come allegato 6 al DPCM del 26 aprile 2020) l’integrazione fra processi della salute e sicurezza sul lavoro e protezione dati personali (privacy) attraverso le note 1 e 2 all’articolo 2 è fortemente sponsorizzata.

Partiamo dall’inizio. Anzi partiamo da alcune definizioni:

• Malato COVID-19: soggetto che, a seguito analisi cliniche specifiche, risulti positivo alla presenza del COVID-19;
• Sintomatico: è un soggetto che ha uno o più sintomi simil influenzali E una temperatura corporea maggiore di 37,5°;
• Febbricitante: soggetto che ha una temperatura corporea superiore a 37,5°.

Questo implica che un “febbricitante” non è detto che sia un “positivo” e il fatto che un soggetto sia “positivo” non implica che debba essere esposto al ludibrio o allo stigma di altri…. Sarebbe un comportamento razzista sanzionato dalla nostra legislazione.
In una tale situazione è fondamentale che l’identità di ciascuno sia tutelata per evitare qualunque forma di discriminazione. Di questo tratta la normativa sulla protezione dati personali (privacy).
Allo stesso tempo un datore di lavoro deve offrire ai propri lavoratori un contesto lavorativo dove tutti i rischi sono identificati, registrati e valutati in modo da trovare sempre il miglior scenario che permette la mitigazione degli effetti.

Il “nuovo” rischio “Covid-19” (alcuni colleghi integralisti dicono che è già stato previsto all’interno dell’“ALLEGATO XLVI ELENCO DEGLI AGENTI BIOLOGICI CLASSIFICATI” del Dlgs 81/2008) ha comportato, oltre tanta paura, anche la necessità di adottare protocolli di “convivenza”, specie sul posto di lavoro.
Una azione normativa collegata ad un accordo fra parti sociali ha inserito il protocollo di gestione del rischio con l’ottica di tutelare al meglio i lavoratori.
Luce nella notte questo protocollo cita e descrive i principi di rispetto della tutela della persona sotto il dominio della normativa privacy. Sì perché la privacy è la tutela dei dati personali, ma nella società dell’informazione i dati altri non sono che la trasposizione dell’individuo nel mondo digitale.
Il Protocollo descrivi nei suoi 13 punti le indicazioni operative legate alle fasi (processi) che si possono verificare in azienda.

La citazione (vedi nota 1 e nota 2 dell’art. del Protocollo) individua come alcuni processi descritti hanno una rilevanza privacy.
In particolare, sono individuati i punti dei processi aziendali:

• Gestione dell’accesso all’azienda;
• Gestione dell’accesso di esterni (visitatori, appaltatori);
• Gestione del sintomatico in azienda;
• Gestione della sorveglianza sanitaria – rientro di un positivo 

Questi processi hanno dei forti risvolti sulla tutela della salute e sicurezza in azienda, ma le modalità con le quali si decide di intervenire per la tutela della salute e sicurezza fanno nascere corrispondenti metodi di trattamento che comportano rischi dal punto di vista della normativa privacy.
Se preferire la salute o la privacy è un argomento dibattuto in ambito giuridico così come sono tuttora dibattuti i rapporti fra salute, diritti alla libertà di culto, alla libera circolazione, alla equa giustizia, alla libertà di commercio….
Lascerei questi dibattiti, forse accademici, e passerei agli approcci pratici caratteristici del tecnico della prevenzione che deve trovare soluzioni di equilibrio fra l’interesse del lavoratore e l’interesse del datore di lavoro.

Questo contesto mi porta a dire che le scelte di sviluppo del processo di tutela dei lavoratori deve essere pragmaticamente analizzato anche dal punto di vista privacy.
Vediamo degli esempi ricordando alcuni principi fondamentali citati dal Ministero della Salute.

1) Il processo di gestione dell’accesso in azienda

prevede che il datore di lavoro possa misurare la temperatura per tutelare i lavoratori dalla presenza nello stesso luogo di un soggetto che potrebbe essere sintomatico (ricordate le definizioni in testa all’articolo). Però la temperatura di un individuo è un dato classificato come dato appartenente a una categoria particolare (ex dati sensibili); questo implica che la registrazione della temperatura comporta un trattamento di dato sensibile che, in teoria potrebbe essere svolto solo da un soggetto titolato quale ad esempio il Medico Competente.
Se però il datore di lavoro decide installare un varco “anonimo” che attraverso una sbarra che instrada il lavoratore “a destra” o “a sinistra” sulla base della temperatura senza alcuna registrazione, il trattamento risulta anonimizzato alla fonte e quindi non rilevante ai fini della normativa privacy (fatto salvo il diritto alla informazione che ciascun lavoratore deve avere circa il comportamento da tenere. Raccomandando sempre un comportamento responsabile). Un po’ come avviene all’ingresso di stazioni e altri punti di transito ove la temperatura definisce solo la soglia di rifiuto all’accesso.
Ricordando che un soggetto può essere “febbricitante” per tantissime patologie che nulla hanno a che fare con il COVID, le sole indicazioni di non entrare nel sito aziendale e di rivolgersi al proprio medico curante possono essere sufficienti.

Scenario totalmente diverso se la temperatura è misurata dopo l’identificazione: in tal caso occorre innescare il processo di gestione di un sintomatico in azienda adottando il protocollo più tutelante per la salute dei lavoratori. Ad onor del vero ricordo che la gestione del sintomatico si innesca se il lavoratore ha “sintomi influenzali e febbre”…ma con i tempi che corrono meglio aumentare le tutele.

Non dimentichiamo che dal punto di vista organizzativo la gestione di un sintomatico in azienda comporta un grande sforzo dell’organizzazione (spazi riservati, immediato coinvolgimento del responsabile del personale, attivazione delle strutture sanitarie, attivazione del medico competente, blocco delle attività per la sanificazione, isolamento/quarantena obbligatoria dei possibili contatti…..) il tutto nel completo rispetto della protezione dell’identità del soggetto febbricitante (e su questo in piccole azienda sorgeranno sicuramente problemi).

2) La gestione dei visitatori in azienda

In questo caso ricordiamo che, oltre la possibilità di mantenere la soglia di accesso sulla base della temperatura come misura prudenziale, esiste anche la possibilità di raccogliere una dichiarazione autografa in cui il visitatore attesti il suo stato, così come si possono dare precise indicazioni circa l’accesso consentito solo se dotati di mascherina chirurgica. Come citato nel “Protocollo” questo è possibile purché ci sia una chiara informativa sul trattamento dati che riporti finalità, base giuridica, modalità, durata, comunicazione e diritti dell’interessato sul trattamento che sta per avvenire.
In questo punto tuttavia il protocollo modificato il 26 aprile inserisce: la comunicazione fra appaltatore e committente nel caso di un riscontro positivo COVID-19. Questo implica che dipendenti sia del committente che dell’appaltatore devono essere informati circa la possibilità che i loro dati “sensibili” (positività al COVID-19) siano comunicati all’altra parte. Fare questo nel rispetto delle obbligazioni privacy di mantenimento dell’anonimato non è semplice.
Ai “Visitatori” (intendendo qualunque soggetto esterno all’azienda che si trovi ad operare nella sede) dovrà anche essere comunicato attraverso cartelli monitori o altre informative circa le obbligazioni in essere e delle modalità di gestione in caso di sintomatologia.

3) La gestione della Sorveglianza Sanitaria ed il rientro di un positivo

Su questo punto il protocollo dice testualmente al punto 2 “L’ingresso in azienda di lavoratori già risultati positivi all’infezione da COVID 19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione” del tampone secondo le modalità previste …”. Questo, dal punto di vista privacy, configura un trattamento che la normativa non consente al Titolare, in quanto le informazioni mediche sono di totale pertinenza del Medico Competente.
A mio avviso il punto sopra va letto in combinato disposto con quanto al punto 12 dello stesso protocollo in merito alle informazioni sulla negatività: occorre di conseguenza attivare una sorveglianza sanitaria apposita.

Concludendo

La gestione di un evento che è stato classificato come “cigno nero” permette di avviare una migliore integrazione fra le competenze. Ricordando che le normative relative a salute e sicurezza sul lavoro e protezione dati personali sono caratterizzate da una valutazione dei rischi incentrata su “Lavoratori” ed “Interessati” e non sull’Azienda mostrando le larghe fasce di sovrapposizione fra le due normative.
Per la corretta applicazione del protocollo occorre quindi un approccio multidisciplinare per evitare di esporre il Datore di Lavoro/Titolare del Trattamento a rischi economici sui due fronti sanzionatori. Una scelta equilibrata dei processi da introdurre e quindi dell’organizzazione di gestione e controllo permette il rispetto della legge e una riduzione dei costi. In questo senso si è espresso anche l’Autorità Garante attraverso la pubblicazione delle faq disponibili sul sito ufficiale (link).
AiFOS ha inserito in calendario corsi specifici su questi argomenti. Per informazioni potete contattare il Servizio Formazione all’indirizzo formarsi@aifos.it.
Approccio multidisciplinare che da tempo è raccomandato dall’ Associazione Italiana Formatori ed Operatori della Sicurezza tanto da avere attivato lo specifico “Registri dei Consulenti”.

Un ringraziamento a Stefano Farina che ha concesso l’utilizzo gratuito delle immagini di Sicurello.