Dichiarazione del Comitato europeo per la protezione dei dati personali del 19 marzo 2020: il trattamento dei dati personali ai sensi del GDPR all’epoca del Coronavirus.

Il Comitato europeo per la protezione dei dati, con il provvedimento del 19 marzo 2020, si è pronunciato sul trattamento dei dati personali nel contesto dell’epidemia causata dalla diffusione del virus Covid-19 (cfr. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9295504 - accesso del 20 marzo 2020).

Il Comitato ha sottolineato che, anche a fronte di circostanze eccezionali e/o emergenziali, i titolari ed i responsabili del trattamento devono garantire la protezione dei dati personali dei soggetti interessati, nel rispetto dei principi cardine di minimizzazione e di revocabilità del consenso al trattamento.

In tal senso, a fronte di situazioni emergenziali come quella relativa al Covid-19, il Regolamento 2016/679 (c.d. GDPR) consente alle competenti autorità sanitarie pubbliche ed ai datori di lavoro di trattare dati personali, anche relativi allo stato di salute dell’interessato, purché sempre nel rispetto delle condizioni ivi stabilite e del diritto nazionale applicabile.

Con particolare riferimento al contesto lavorativo, il trattamento di tali dati può essere necessario per adempiere agli obblighi legali ai quali è soggetto il datore di lavoro; per esempio, in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico, come il controllo delle malattie ed altre minacce di natura sanitaria.

A tal riguardo, il Garante della privacy ha precisato che i dati personali e sanitari al cui trattamento sono legittimati i datori di lavoro non possono eccedere i limiti della minimizzazione e pseudonimizzazione poiché, in ogni caso, i datori di lavoro sono vincolati alla raccolta di informazioni personali dei lavoratori esclusivamente nella misura necessaria e sufficiente tale da consentire l’adempimento ai loro obblighi e l’organizzazione delle attività lavorative.

Ne deriva che, da un punto di vista pratico, il singolo datore di lavoro è legittimato a rilevare la temperatura corporea del lavoratore dipendente, purché tali informazioni sensibili non vengano registrate e conservate, nel rispetto del principio di minimizzazione ex art. 5, par.1, lett. c) del GDPR. L’unica ipotesi a fronte della quale è consentita la registrazione della temperatura rilevata, infatti, si configura in caso di superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno legittimamente impedito l’accesso del dipendente al luogo di lavoro.

Diversamente, allorquando la temperatura corporea venga rilevata a clienti o visitatori occasionali, anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali, non è necessario registrare il dato personale sulla salute connesso al motivo di diniego di accesso ai locali aziendali.