Nel contesto della crisi sanitaria legata al coronavirus, in particolare nell’ottica di una fase di “deconfinemento”, privati e professionisti si interrogano sulle misure da attuare per limitare la diffusione del virus e garantire sicurezza, ripresa dell’attività, nonché le condizioni in cui possono essere utilizzati i dati personali, in particolare i dati sanitari. La CNIL richiama alcuni principi.
- L’obbligo di sicurezza
- Promemoria sul trattamento dei dati relativi alla salute e ambito di applicazione del GDPR
- Aggiornamento su alcune pratiche
- Letture della temperatura all’ingresso dei locali
- Esecuzione di test sierologici e questionari sullo stato di salute
- Piani di continuità aziendale o “BCP”
- La riorganizzazione del lavoro, in particolare tramite soluzioni software (aggiornamento del 23 settembre 2020)
- Richieste e raccomandazioni da parte delle autorità sanitarie
La CNIL riceve numerose richieste da professionisti e individui sulla possibilità di raccogliere, al di fuori di qualsiasi assistenza medica, dati riguardanti dipendenti, agenti o visitatori al fine di determinare se le persone hanno sintomi di COVID- 19, o dati relativi a viaggi ed eventi che possono essere nella sfera privata.
L’obbligo di sicurezza
Obbligo di sicurezza dei datori di lavoro
I datori di lavoro sono responsabili della salute e della sicurezza dei propri dipendenti / agenti ai sensi del Codice del lavoro e dei testi che disciplinano il servizio pubblico (in particolare gli articoli L. 4121-1 e R. 4422-1 del Codice del lavoro o del decreto n ° 82-453 del 28 maggio 1982 modificato).
In quanto tale, è loro responsabilità attuare azioni per prevenire rischi professionali, azioni di informazione e formazione, nonché organizzazione del lavoro e risorse adeguate alle condizioni di lavoro.
A tal proposito, la CNIL invita i datori di lavoro a consultare regolarmente le informazioni pubblicate online dal Ministero del Lavoro (Direzione Generale del Lavoro – DGT), al fine di conoscere i loro obblighi in questo periodo di crisi. I datori di lavoro hanno, in conformità con il GDPR, il diritto di trattare i dati personali quando è strettamente necessario per adempiere ai loro obblighi legali.
In questo contesto, il datore di lavoro è in particolare legittimo:
- ricordare ai propri dipendenti, che lavorano a contatto con altre persone, l’obbligo di denunciare individualmente in caso di contaminazione o sospetta contaminazione, a loro o alle autorità sanitarie competenti, al solo scopo di consentire loro di ” adattare le condizioni di lavoro;
- facilitare la loro trasmissione predisponendo, se necessario, canali dedicati e sicuri;
- promuovere metodi di lavoro a distanza e incoraggiare il ricorso alla medicina del lavoro.
L’obbligo di sicurezza dei dipendenti / agenti
Ogni dipendente / agente , da parte sua, deve aver cura di preservare la propria salute / sicurezza ma anche quella delle persone con cui potrebbe essere in contatto durante la propria attività professionale (articolo L.4122-1 del Codice del Lavoro).
Normalmente, quando un lavoratore è malato, deve solo comunicare al suo datore di lavoro l’eventuale congedo per malattia di cui potrebbe beneficiare, senza ulteriori dettagli sul suo stato di salute o sulla natura della patologia trasmessa. Tuttavia, in un contesto di pandemia come quello del COVID-19, un dipendente che lavora a contatto con altre persone (colleghi e pubblico) deve, ogni volta che ha potuto esporre al virus alcuni suoi colleghi, informare il suo datore di lavoro in caso di contaminazione o sospetto di contaminazione con il virus .
D’altra parte, un dipendente che sarebbe ad esempio posto in telelavoro o che lavorerebbe in modo isolato senza contatti con i suoi colleghi o il pubblico non è tenuto a trasmettere queste informazioni al suo datore di lavoro. Infatti, in assenza di pericolo per altre persone, gli eventi legati ad una possibile esposizione, in particolare una interruzione del lavoro che ne deriverebbe, devono essere gestiti secondo la normale procedura di interruzione del lavoro.
Come i datori di lavoro trattano questi rapporti
I datori di lavoro possono quindi trattare solo i dati strettamente necessari per l’adempimento dei loro obblighi legali e contrattuali, ovvero necessari per l’adozione di misure organizzative (telelavoro, rinvio al medico del lavoro, ecc.), formazione e informazione, nonché alcune azioni per prevenire i rischi professionali.
Per questo motivo solo gli elementi relativi alla data, all’identità della persona, al fatto che abbia indicato di essere contaminata o sospettata di essere contaminata, nonché le misure organizzative adottate, possono essere trattati dal datore di lavoro.
Se necessario, il datore di lavoro potrà comunicare alle autorità sanitarie competenti, gli elementi necessari per un’eventuale assistenza sanitaria o medica della persona esposta. In ogni caso, l’identità della persona potenzialmente infetta non deve essere comunicata ad altri dipendenti.
Promemoria sul trattamento dei dati relativi alla salute e ambito di applicazione del GDPR
Mentre spetta a tutti attuare misure adattate alla situazione, come limitare viaggi e riunioni o persino rispettare le misure igieniche e i “gesti di barriera”, i datori di lavoro non possono adottare misure atte a violare in modo sproporzionato la vita privata delle persone interessate, in particolare raccogliendo dati sanitari questo andrebbe oltre la gestione della sospetta esposizione al virus per proteggere i dipendenti e il pubblico. Questo principio è richiamato anche dall’articolo L. 1121-1 del Codice del lavoro che prevede che “nessuno può imporre restrizioni ai diritti delle persone e alle libertà individuali e collettive che non sono giustificate dalla natura del compito da svolgere realizzare né proporzionato all’obiettivo cercato ”.
I dati relativi allo stato di salute di una persona, per la loro natura sensibile, sono infatti oggetto di una tutela giuridica molto specifica: in linea di principio ne è vietato il trattamento.
Per poter essere trattati, il loro utilizzo deve necessariamente rientrare in una delle eccezioni previste dal GDPR, garantendo così l’equilibrio tra la volontà di garantire la sicurezza delle persone e il rispetto dei loro diritti e libertà fondamentali. Inoltre, la loro sensibilità giustifica che siano trattati in condizioni di sicurezza e riservatezza molto forti e solo da coloro che sono autorizzati a farlo.
Le eccezioni che possono essere mobilitate nel contesto del lavoro sono limitate e possono generalmente riguardare:
- la necessità per il datore di lavoro di trattare questi dati per adempiere ai propri obblighi in termini di diritto del lavoro, previdenza sociale e protezione sociale: è il caso del trattamento delle segnalazioni da parte dei dipendenti;
- la necessità per un professionista della salute di trattare questi dati ai fini della medicina preventiva o del lavoro, la valutazione (sanitaria) della capacità lavorativa del lavoratore, diagnosi mediche, ecc.
Per questi motivi, i datori di lavoro che desiderano avviare iniziative volte a garantire lo stato di salute dei propri dipendenti devono fare affidamento sui servizi di medicina del lavoro per i quali è di competenza e che sono al centro di gestione della crisi sanitaria. Non possono predisporre essi stessi cartelle relative alla temperatura corporea dei propri dipendenti o ad alcune patologie (“comorbilità”) suscettibili di costituire disturbi aggravanti in caso di infezione da COVID-19.
È in questo spirito che è stata adottata un’ordinanza “che adegua le condizioni di esercizio delle missioni dei servizi di medicina del lavoro all’emergenza sanitaria e modifica il sistema delle richieste preliminari di autorizzazione di attività parziale ” Consiglio dei ministri il 1 ° aprile 2020 ai sensi dell’articolo 11 della legge d’emergenza 23 marzo 2020 per affrontare l’epidemia di Covid-19, e pubblicato nella Gazzetta ufficiale 2 Aprile 2020.
La CNIL ricorda inoltre che le norme sul trattamento dei dati si applicano solo al trattamento automatizzato (in particolare IT) o al trattamento non automatizzato. che consentono di costituire file. Quindi, la sola verifica della temperatura per mezzo di un termometro manuale (come ad esempio del tipo a infrarossi senza contatto) all’ingresso di un sito, senza che sia tenuta traccia , né alcuna altra operazione viene effettuato (come letture di queste temperature, feedback, ecc.), non rientra nelle normative sulla protezione dei dati.
Aggiornamento su alcune pratiche
Qualunque sia il dispositivo utilizzato o il trattamento dei dati implementato, la CNIL ribadisce l’importanza di garantire la completa trasparenza nei confronti delle persone interessate . Informare le persone e il dialogo sociale, oltre ad essere un obbligo derivante sia dalla legislazione del lavoro che dai testi sulla protezione dei dati, è una componente essenziale della gestione della crisi sanitaria e aiuta a rassicurare le persone interessate.
La CNIL offre esempi di avvisi informativi sul proprio sito web.
Letture della temperatura all’ingresso dei locali
Allo stato di diritto, e salvo laddove un testo ne preveda espressamente la possibilità, è vietato ai datori di lavoro costituire archivi che conservino i dati delle temperature dei propri dipendenti. È inoltre vietato impostare strumenti di acquisizione automatica della temperatura (come le termocamere). Tuttavia, le misurazioni manuali della temperatura all’ingresso di un sito e senza creare un file o riportare informazioni non sono soggette a norme sulla protezione dei dati personali. La CNIL fa riferimento su questo punto alle raccomandazioni della Direzione generale del lavoro.
In un processo di prevenzione della contaminazione finalizzato all’allontanamento dal luogo di lavoro dei dipendenti che potrebbero avere la febbre, alcuni datori di lavoro desiderano istituire un controllo sistematico della temperatura dei dipendenti e dei visitatori all’ingresso dei propri locali.
Sebbene non spetti alla CNIL valutare la legalità, in relazione al diritto sociale, di ciò che un datore di lavoro può imporre ai propri dipendenti o di ciò che è una possibile discriminazione, osserva che l’efficacia e l’appropriatezza della misurazione della temperatura è contestata poiché non è un sintomo sistematico di COVID-19, o può indicare un’altra infezione. Rileva a questo proposito che l’Alto Consiglio della sanità pubblica raccomanda di non istituire lo screening per COVID-19 misurando la temperatura nella popolazione .
La CNIL ricorda che, quando è oggetto di trattamento, la temperatura corporea di un individuo costituisce un dato sensibile relativo alla sua salute, giustificando che è oggetto di protezione speciale.
Allo stato attuale della legge (in particolare dell’articolo 9 del RGPD), e salvo ove un testo ne preveda espressamente la possibilità, sono quindi vietati ai datori di lavoro:
- le letture della temperatura dei dipendenti o dei visitatori non appena registrate in un processo automatizzato o in un registro cartaceo;
- operazioni automatiche di rilevamento della temperatura o utilizzo di strumenti come termocamere.
Come sopra indicato, la sola verifica della temperatura per mezzo di un termometro manuale (come ad esempio del tipo a infrarossi contactless) all’ingresso di un sito, senza che sia tenuta traccia, né che ” nessun’altra operazione (come letture di queste temperature, feedback di informazioni interne o esterne, ecc.) non rientra nelle norme sulla protezione dei dati. La CNIL rinvia su questo punto alle istruzioni impartite dalla DGT , che sconsiglia tali controlli, che devono essere riservati a casi specifici .
La CNIL ricorda in ogni caso che in caso di sospetta infezione, l’interessato deve rivolgersi ad un operatore sanitario (servizi di medicina del lavoro, medico curante, servizi di pronto intervento, ecc.), Da solo in grado di valutare la capacità di una persona di lavorare o di decidere sulla sua cura.
Esecuzione di test sierologici e questionari sullo stato di salute
Alcuni datori di lavoro esprimono il desiderio, al fine di tutelare i propri dipendenti o agenti, di poter valutare la propria esposizione al virus o il proprio stato di salute al rientro al lavoro. La CNIL rileva innanzitutto che, secondo la Direzione generale del lavoro, “le campagne di screening organizzate dalle aziende per i propri dipendenti non sono autorizzate”.
La CNIL ricorda che solo il personale sanitario competente (in particolare la medicina del lavoro) può raccogliere, attuare e accedere a qualsiasi modulo medico o questionario da parte di dipendenti / agenti contenenti dati relativi al loro stato di salute o informazioni. relativi in particolare alla loro situazione familiare, alle loro condizioni di vita o anche ai loro possibili spostamenti.
Lo stesso vale per i test di screening medici, sierologici o COVID-19, i cui risultati sono soggetti a riservatezza medica :il datore di lavoro potrà solo ricevere l’eventuale giudizio di attitudine o incapacità al rientro al lavoro rilasciato dal professionista sanitario. Potrà quindi elaborare solo questa singola informazione, senza ulteriori dettagli relativi allo stato di salute del dipendente, in modo analogo al trattamento del congedo per malattia che non indica la patologia da cui è affetto il dipendente.
Piani di continuità aziendale o “BCP”
Le aziende e le amministrazioni possono anche essere tenute a stabilire un “piano di continuità operativa” che mira a mantenere l’attività essenziale dell’organizzazione in tempi di crisi. Questo piano deve includere tutte le misure per tutelare la sicurezza dei dipendenti, identificare le attività essenziali da mantenere e anche le persone necessarie per la continuità del servizio. È quindi possibile creare un file nominativo per la preparazione e il mantenimento del piano che deve contenere solo i dati necessari al raggiungimento di tale obiettivo.
La CNIL ricorda che il datore di lavoro deve garantire in tutti i casi la sicurezza e la riservatezza dei dati che tratta: questo è il caso, ad esempio, quando si invia una prova di viaggio professionale che contiene dati personali e non devono essere comunicati solo ai singoli interessati.
La riorganizzazione del lavoro, in particolare tramite soluzioni software
Durante una ripresa epidemica, vengono sviluppati molti progetti con l’obiettivo di limitare la diffusione del virus e tutelare la salute delle persone, in particolare in ambito professionale. I datori di lavoro stanno cercando di limitare il rischio di esposizione dei dipendenti / agenti al COVID-19 sul posto di lavoro con l’obiettivo di prevenire i rischi professionali. Si prevede quindi l’implementazione di soluzioni software per facilitare la gestione da parte dei datori di lavoro della crisi sanitaria.
La CNIL ricorda i seguenti punti:
-
Il datore di lavoro è responsabile della salute e della sicurezza dei suoi dipendenti e deve adottare misure di protezione collettiva.
Il datore di lavoro, in conformità al codice del lavoro e ai testi che disciplinano il servizio pubblico, deve garantire la salute e la sicurezza dei dipendenti / agenti ( cfr. L’obbligo di sicurezza dei dipendenti / agenti ).
Se il datore di lavoro ha, in particolare durante questo periodo, un obbligo di mezzi rafforzato , questo è comunque limitato allo sviluppo di misure preventive. Quindi spetta solo al datore di lavoro adottare misure di protezione collettiva (es. Richiamo di misure di barriera e allontanamento sociale, fornitura di dispositivi di protezione individuale, disinfettante per le mani, ecc . ), Misure di protezione correlate à alle segnalazioni ad esso inviate, nonché per ritrasmettere i messaggi delle autorità sanitarie.
Non è quindi possibile per il datore di lavoro stabilire una diagnosi, un’analisi di vulnerabilità o qualsiasi altra analisi medica.
-
Il datore di lavoro non deve organizzare la raccolta dei dati sanitari di tutti i dipendenti.
L’unica situazione che impone al datore di lavoro di adottare misure individuali è la segnalazione fatta dal dipendente stesso quando quest’ultimo può essere stato esposto o esposto al virus parte dei suoi colleghi o del pubblico. In questa situazione, il datore di lavoro è in particolare tenuto a definire una misura individuale (es. Telelavoro) per un breve periodo, mentre il dipendente interessato prende contatto con un professionista sanitario, l’unico in grado di agire e prescrivere o rinnovare l’interruzione del lavoro ( vedi Promemoria sul trattamento dei dati relativi alla salute e ambito di applicazione del GDPR ).
Di conseguenza, il datore di lavoro non deve sistematizzare da solo la valutazione del livello di rischio individuale di esposizione al virus COVID-19 di ciascuno dei suoi dipendenti.
-
Solo il servizio di medicina del lavoro può offrire condizioni di lavoro individualizzate
Il datore di lavoro che vuole andare oltre i propri obblighi garantendo lo stato di salute dei propri dipendenti al fine di instaurare condizioni di lavoro individualizzate deve necessariamente fare affidamento sul servizio di medicina del lavoro , che ha competenza esclusiva in il soggetto ( vedi Promemoria sul trattamento dei dati relativi alla salute e ambito di applicazione del GDPR ).
In linea di principio, il servizio di medicina del lavoro è l’unico organismo autorizzato al trattamento dei dati sanitari dei dipendenti, con le eccezioni elencate tassativamente dai testi (esempi: interruzione del lavoro, dichiarazioni di infortuni sul lavoro che coinvolgono il luogo e la natura delle lesioni, gravidanza).
Qualsiasi rappresentazione della vulnerabilità o del rischio di esposizione del dispositivo di un dipendente a Covid-19 (ad es. Display digitale, codice QR a colori, ecc . ) È un dato di salute personale (articolo 4-15 del GDPR): solo il servizio di medicina del lavoro può raccogliere o accedere a tali dati .
Inoltre, spetta al medico del lavoro proporre misure individuali per l’adattamento, l’adattamento o la trasformazione del posto di lavoro o dell’orario di lavoro giustificate da considerazioni relative in particolare all’età o allo stato di salute. fisico o mentale del lavoratore (articolo L. 4624-3 del codice del lavoro). Solo la natura delle misure raccomandate deve essere trasmessa al datore di lavoro.
Il ruolo del datore di lavoro è quindi quello di applicare queste misure .
Infine, il CNIL ricorda che è stato chiarito il ruolo del servizio di medicina del lavoro rispetto alla situazione sanitaria attuale (decreto n ° 2020-549 dell’11 maggio 2020).
Richieste e raccomandazioni da parte delle autorità sanitarie
Infine, i dati sanitari possono essere raccolti dalle autorità sanitarie , abilitate ad adottare misure adeguate alla situazione, nei limiti delle rispettive competenze. La valutazione e la raccolta delle informazioni relative ai sintomi del coronavirus e delle informazioni sui movimenti recenti di alcune persone è responsabilità di queste autorità pubbliche.
Sebbene la situazione sanitaria richieda a tutte le parti interessate di esercitare una particolare vigilanza, la CNIL invita gli individui e i professionisti a seguire le raccomandazioni delle autorità sanitarie e raccogliere solo dati sulla salute delle persone che possono avere richiesto dalle autorità competenti.