6 maggio 2020
Profili Privacy e 231 del Nuovo Protocollo di Sicurezza Covid-19
di Piergiovanni Cervato
Il 24 aprile 2020 è stato aggiornato il Protocollo condiviso di regolamentazione delle misure di contrasto e contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, che integra il Protocollo già sottoscritto il 14 marzo 2020.
Il Protocollo è fondamentale perché la sua mancata adozione può comportare la sospensione dell’attività.
A chi si rivolge il Protocollo aggiornato e quali misure prevede?
Partendo dal presupposto che il Covid-19 rappresenta un rischio biologico generico, il Protocollo si rivolge a tutte le aziende sia per la gestione della sicurezza dei lavoratori negli ambienti di lavoro, sia per l’adozione di misure di contenimento della diffusione nei confronti di chiunque entri nei luoghi di lavoro: clienti, fornitori, dipendenti dei fornitori e simili.
Il Protocollo prevede 13 ambiti di sicurezza, declinando per ciascuno i relativi dettagli operativi:
- Informazione circa gli obblighi di legge e gli adempimenti aziendali assunti di conseguenza
- Modalità di ingresso in azienda
- Modalità di accesso dei fornitori esterni
- Pulizia e sanificazione in azienda
- Precauzioni igieniche personali
- Dispositivi di protezione individuale
- Gestione degli spazi comuni
- Organizzazione aziendale (turnazione, smart working, rimodulazione)
- Gestione entrate/uscite
- Spostamenti interni aziendali, riunioni, formazione
- Gestione persone sintomatiche
- Sorveglianza sanitaria
- Previsione del Comitato aziendale per l’applicazione e la verifica dell’adozione del Protocollo
Focalizziamo il punto sugli aspetti relativi al trattamento dei dati personali (Privacy - GDPR) ed ai Modelli Organizzativi Gestionali (231).
Dal lato Privacy, quali misure devono essere adottate?
Il Protocollo rimette all’Azienda la gestione di vari dati del personale, tra cui la rilevazione della temperatura corporea (febbre).
A tale proposito il Protocollo aggiornato ribadisce che tale rilevazione costituisce un trattamento di dati personali e che come tale deve avvenire in conformità alle disposizioni di legge: trattasi del Regolamento (UE) n. 2016/679 (GDPR), del D.Lgs. n. 196/2003 adeguato dal D.Lgs. n. 101/2018 (Codice Privacy) e della ulteriore disciplina di dettaglio normativo (regole deontologiche, misure di garanzia, prescrizioni etc.)
Il Protocollo suggerisce di:
- rilevare la temperatura e non registrare il dato acquisto; è possibile identificare l'interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
- fornire l’informativa sul trattamento dei dati personali, la quale può omettere le informazioni di cui l’interessato sia già in possesso e può essere fornita anche oralmente. Come finalità del trattamento può essere individuata la prevenzione dal contagio da Covid-19, come base giuridica l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1 n. 7 lett. d) del DPCM 11 marzo 2020 (obbligo di legge: art. 6.1 lett c GDPR), come durata per l’eventuale conservazione dei dati il termine dello stato di emergenza;
- definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. I dati non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti” di un lavoratore risultato positivo al Covid-19);
- in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al Covid-19 e nel caso di allontanamento del lavoratore che durante l'attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi.
Quali ripercussioni in merito ai Modelli Organizzativi Gestionali (231)?
Il Protocollo e la normativa emergenziale ivi richiamata presentano un importante impatto anche per la compliance al D.Lgs. n. 231/2001 sulla responsabilità amministrativa degli Enti dipendente da reato.
Come noto, il meccanismo «231» fa derivare all’Ente una responsabilità di tipo amministrativo, con sanzioni pecuniarie ed interdittive, qualora il relativo personale commetta uno dei reati previsti («reati presupposto»). Per evitare tale responsabilità, l’Ente deve organizzarsi adottando un Modello Organizzativo Gestionale (MOG) ed un Codice Etico, nonché nominando un Organismo di Vigilanza.
Tra le ipotesi di reato maggiormente coinvolte dal contesto emergenziale, si ricordano:
- Reati informatici, ad es. per gli accessi al sistema informativo aziendale in regime di smart working
- Delitti contro il diritto d’autore: ad es. per l’uso di software illegittimo o fuori dalle condizioni di licenza
- Omicidio colposo e lesioni gravi e gravissime sul lavoro, ad es. per le infezioni da virus.
A tale ultimo proposito e come confermato dal Decreto Cura Italia, si ricorda che l’infezione da nuovo coronavirus in occasione di lavoro viene trattata alla stregua di un infortunio sul lavoro, con tutte le derivanti implicazioni circa le eventuali lesioni gravi e gravissime sul lavoro e, nei casi peggiori, di omicidio colposo.
Si rende pertanto necessario l’aggiornamento in proposito dei Modelli di Organizzazione e Gestione dell’Azienda.
Chi controlla l’adozione del Protocollo in Azienda?
Il Protocollo demanda il controllo della puntuale adozione delle misure all’apposito Comitato aziendale interno per l’applicazione e la verifica delle regole di contenimento e contrasto alla diffusione del virus.
Ovviamente il Comitato dovrà operare in stretto coordinamento con il Responsabile della Protezione dei Dati (RPD/DPO) per gli aspetti privacy GDPR e con l’Organismo di Vigilanza (OdV) per quelli 231.