Per regolare il diffondersi di questionari sulla salute dei dipendenti, in relazione all’emergenza coronavirus, le autorità europee in materia di data protection stanno intervenendo per regolare la situazione. Il 5 marzo 2020, il Garante danese (Datatilsynet) ha pubblicato un documento in cui chiarisce alle aziende come trattare i dati personali dei propri dipendenti nel contesto della crisi legata al coronavirus. L’approccio adottato sembra essere più flessibile di quello del Garante italiano che pure si è espresso sui questionari per il coronavirus. Vediamo perché e quali sono state le scelte dell’autorità danese.
Indice degli argomenti
Coronavirus e data protection, la situazione in Italia
Il Garante della privacy italiano ha invitato tutti i titolari del trattamento a non effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti. Un provvedimento chiaro che punta a regolare i questionari sulle condizioni dei lavoratori.
Infatti, nelle ultime settimane, con il dilagare dell’emergenza legata al coronavirus, si è diffusa tra i datori di lavoro la tendenza a sottoporre i loro dipendenti a questionari sulle loro recenti abitudini, se sono stati nelle zone colpite o sono entrati in contatto con persone legate a quelle aree, se hanno sintomi influenzali. Il Garante ha precisato che anche in questa circostanza bisogna prestare attenzione alla data protection.
La decisione dell’autorità danese
Invece, secondo Datatylsinet, i datori di lavoro possono, in larga misura, raccogliere e comunicare informazioni sui propri dipendenti, se le circostanze lo rendono necessario e purché tale raccolta o comunicazione non sia normativamente vietata e che le informazioni raccolte non siano eccessivamente dettagliate e specifiche. Ad esempio, Datatilsynet ritiene che, nel contesto della crisi legata al coronavirus, i datori di lavoro possono legittimamente registrare e comunicare:
- se un dipendente ha visitato una zona a rischio epidemiologico;
- se un dipendente è a casa in quarantena (senza indicarne il motivo);
- se un dipendente è malato (senza indicarne il motivo). Sebbene ciò non sia espressamente menzionato da Datatylsinet, sembrerebbe logico presumere che la comunicazione in questione debba essere intesa principalmente come comunicazione interna all’azienda.
Tuttavia, l’autorità Datatilsynet invita comunque alla parsimonia nella raccolta dei dati. Infatti, ha sottolineato che la raccolta e la comunicazione di dati deve essere limitata a quanto strettamente necessario. Pertanto, prima di trattare i dati, il datore di lavoro dovrebbe valutare attentamente se vi siano buone ragioni per raccogliere o comunicare i dati in questione, se gli scopi della comunicazione possono essere raggiunti “dicendo meno”, e se è davvero necessario menzionare i nomi dei soggetti coinvolti (ad esempio, il nome dell’impiegato che è a casa in quarantena).
Conclusione
Visto che in Europa sono molte le aziende che stanno adottando misure volte a prevenire la diffusione del coronavirus, è possibile che altre autorità di controllo adottino analoghe linee guida. È anche possibile che presto intervenga il Comitato europeo per la protezione dei dati – EDPB per dare un indirizzo comune visto che, al momento, alcune autorità di controllo sembrerebbero assumere posizioni non allineate.
