Newsletter – Trattamento dei dati personali nel contesto dell’epidemia COVID-19

Nel contesto dei numerosi documenti ed approfondimenti che l’Autorità Garante per la Protezione dei dati  sta predisponendo, quasi quotidianamente, si ritiene utile sintetizzare i contenuti della Dichiarazione sul Trattamento dei dati personali , adottata dal Comitato Europeo per la protezione dei dati (EDPB) in data 19.3.2020, in relazione all’ epidemia di COVID -19,  in quanto rappresenta la prima voce comune europea, riguardo al rapporto fra le misure di contenimento  ed attenuazione del coronavirus in relazione al trattamento dei dati personali degli interessati.

La dichiarazione si divide in 4 capitoli, relativi alla:

  1. Liceità del trattamento
  2. Principi fondamentali relativi al trattamento dei dati personali
  3. Uso dei dati di localizzazione da dispositivi mobili
  4. Contesto lavorativo

Riguardo al  Contesto lavorativo, la Dichiarazione risponde alle domande più frequenti che i Datori di Lavoro si stanno ponendo:

  • Un datore di lavoro può chiedere ai visitatori o ai dipendenti di fornire informazioni sanitarie specifiche nel contesto del COVID-19?

Nel caso di specie, è particolarmente pertinente l’applicazione dei principi di proporzionalità e di minimizzazione dei dati. Il datore di lavoro dovrebbe chiedere informazioni sanitarie soltanto nella misura consentita dal diritto nazionale.

  • Il datore di lavoro è autorizzato a effettuare controlli medici sui dipendenti?

La risposta dipende dalle leggi nazionali in materia di lavoro o di salute e sicurezza. I datori di lavoro dovrebbero accedere ai dati sanitari e trattarli solo se ciò sia previsto dalle rispettive norme nazionali.

  • Il datore di lavoro può informare colleghi o soggetti esterni del fatto che un dipendente è affetto dal COVID-19?

I datori di lavoro dovrebbero informare il personale sui casi di COVID-19 e adottare misure di protezione, ma non dovrebbero comunicare più informazioni del necessario. Qualora occorra indicare il nome del dipendente o dei dipendenti che hanno contratto il virus (ad esempio, in un contesto di prevenzione) e il diritto nazionale lo consenta, i dipendenti interessati ne sono informati in anticipo tutelando la loro dignità e integrità.

  •   Quali informazioni trattate nel contesto del COVID-19 possono essere ottenute dai datori di lavoro?

I datori di lavoro possono ottenere informazioni personali nella misura necessaria ad adempiere ai loro obblighi e a organizzare le attività lavorative, conformemente alla legislazione nazionale. 

Sempre nel contesto lavorativo, la Dichiarazione – riguardo alla liceità del trattamento – specifica che il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria.

Il GDPR prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell’Unione o nazionale o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9.2.c), poiché il considerando 46 fa esplicito riferimento al controllo di un’epidemia.

Related Posts