Test sierologici: tra protezione dei dati personali e responsabilità penali
Le norme che in queste ultime settimane sono state introdotte, a seguito della pandemia da Covid-19, hanno reso ancora più ardua l’attività delle imprese italiane nel garantire la compliance al D. Lgs 231/01, al D. Lgs 81/08 e al Reg. UE 2016/679, norme strutturalmente diverse tra loro e con una complessità tecnica rilevante che tuttavia devono essere considerate simultaneamente quando si pongono in essere le cautele e i presidi di controllo aziendale.
La legislazione d’emergenza, imprescindibile per poter arginare gli effetti del Covid-19, ha posto in rilievo la necessità per le aziende di monitorare costantemente non solo gli atti legislativi emanati dal Governo ma anche le FAQ che mirano a chiarire e definire un’interpretazione autentica delle norme.
Il Garante, con le FAQ pubblicate il 4 maggio scorso, ha fornito delle prime indicazioni alle imprese private, alle pubbliche amministrazioni e ai lavoratori, impegnati nell’applicazione del Protocollo di sicurezza nei luoghi di lavoro tra Governo e Parti sociali.
Il 14 maggio è giunto il chiarimento dell’Autorità in ordine alla possibilità per il datore di lavoro di effettuare test sierologici relativi al Covid-19 sul posto di lavoro.
Ci si è chiesti pertanto se il datore di lavoro potesse decidere di inserire tale rilevazione nelle misure obbligatorie da adottare nell’azienda in seguito all’implementazione dei protocolli anti contagio che lo stesso è chiamato ad espletare ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020.
Al fine di segnare la linea operativa per l’applicazione effettiva delle diverse fonti normative che fosse conforme anche alla normativa sulla protezione dei dati personali è intervenuto il Garante della Protezione dei dati personali integrando le FAQ su “Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria” rimandando di fatto la decisione in ordine all’opportunità di procedere a test di questo tipo al medico competente o all’autorità sanitaria: “Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori“.
Tale chiarimento si pone in linea con quanto disposto dall’art. 9 par. 2 lett.h) del GDPR che rende legittimo il trattamento dei dati particolari dei lavoratori se “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri...” a condizione che tali dati siano “trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri” (art. 9 co. 3 GDPR).
Pertanto se da un lato sussiste un obbligo di collaborazione tra datore di lavoro e medico del lavoro circa la predisposizione della attuazione delle misure per la tutela della salute e della integrità psico-fisica dei lavoratori, dall’altro emerge la specificità dei ruoli in ordine alla valutazione dei rischi da agenti biologici e predisposizione delle misure tecniche, organizzative e procedurali di cui all’art. 272 T.U. sulla salute e sicurezza sul lavoro, ivi compresa della scelta circa l’opportunità e la necessità di condurre sui lavoratori i test sierologici. Scelta che spetta unicamente al medico del lavoro o all’autorità sanitaria, potendo il datore di lavoro accedere unicamente ai dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro. Pertanto “Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.“
Tale chiarimento reso dal Garante per la protezione dati personali mira a chiarire un aspetto molto importante: il trattamento di dati particolari svolto anche in piena fase epidemiologica relativo a trattamenti prima estranei alla ordinaria realtà lavorativa non costituisce una deroga alle disposizioni di matrice europea in materia di protezione dati né tantomeno alle disposizioni nazionali in materia di salute e sicurezza sul lavoro (D.lgs. n. 81/2008), ponendosi invece quale logico coordinamento tra le disposizioni di quest’ultimo testo normativo che impongono al datore di lavoro di effettuare una specifica valutazione dei rischi derivanti da agenti biologici, e i presupposti di liceità sanciti dal GDPR nonché i principi generali che dettano le condizioni per la liceità e correttezza del trattamento, nel rispetto delle reciproche attribuzioni dei soggetti coinvolti nella tutela della salute dei lavoratori.
Ma alle incertezze sul lato del rispetto della normativa privacy si aggiungono quelle sotto il profilo penale. Nel caso in cui i test svolti a spese del datore di lavoro dovessero far emergere una significativa percentuale di lavoratori con anticorpi, in che misura questo dato potrebbe essere utilizzato, paradossalmente, contro l’imprenditore, come indice dell’assenza o scarsa efficienza dei presidi adottati?
Trattasi questo di un fattore di fondamentale importanza in quanto la legge . 27/2020 del DL ‘Cura Italia’ ha riconosciuto che l’infezione da coronavirus, quando avvenuta in occasione di lavoro, costituisce un infortunio protetto dall’assicurazione obbligatoria Inail.
Una norma, quindi, che qualifica l’infezione virale da coronavirus come infortunio sul lavoro ai fini della sua protezione indennitaria nell’ambito del sistema dell’assicurazione gestita dall’Inail. Pur non occupandosi in alcun modo della responsabilità datoriale la previsione ha comunque destato forti timori nel mondo delle imprese.
Il datore di lavoro è certamente tenuto a tutelare l’integrità fisica del lavoratore adottando tutte le misure che risultino necessarie a conseguire tale finalità; perciò potrà essere ritenuto responsabile solo quando, per sua colpa, non abbia impedito il verificarsi di eventi lesivi.
Il contagio avvenuto nei locali aziendali potrebbe quindi astrattamente determinare la responsabilità penale del datore di lavoro per il reato di lesioni personali colpose o persino per il reato di omicidio colposo.
Ma le perplessità risultano molteplici. Innanzitutto è quasi impossibile escludere la possibilità che il contagio sia avvenuto altrove in quanto potrebbe essere avvenuto in qualsiasi posto e in qualsiasi momento e in secondo luogo, in sede processuale, dovrà comunque essere accertato il nesso causale tra la condotta tenuta dal datore di lavoro e il verificarsi del contagio nell’ambiente lavorativo.
Per tali motivi, pur in assenza di una norma che codifichi espressamente un’esenzione da responsabilità penale di cui tanto si è discusso in questi ultimi giorni, il rischio di addebito a carico del datore di lavoro appare risultare ragionevolmente mitigato dalla formale adozione ed efficace attuazione dei protocolli di sicurezza.
È importante e necessario dunque che tutte le imprese adottino e rispettino in maniera scrupolosa i protocolli di sicurezza non solo per evitare di incorrere in rischi penali, ma soprattutto per tutelare l’integrità fisica e psicologica di tutti i lavoratori.