Problemi di protezione dei dati nella gestione del coronavirus
L'attuale pandemia sta costringendo i governi e le aziende a prendere decisioni rapide e di vasta portata.
A causa di questa rapida evoluzione, vogliamo tenervi aggiornati sugli ultimi sviluppi in materia di protezione dei dati, in modo che voi, in qualità di datori di lavoro, possiate rispondere senza inutili ritardi a qualsiasi domanda che possa avere implicazioni sulla protezione dei dati.
Anche l'Incaricato federale per la protezione dei dati e la libertà d'informazione (BfDI) si è espresso sulla questione del trattamento dei dati nel contesto della pandemia. Secondo il BfDI, il seguente trattamento dei dati - compresi quelli sanitari - dovrebbe essere considerato lecito al fine di contenere e combattere la pandemia:
Raccolta e trattamento dei dati personali (compresi quelli relativi alla salute) dei dipendenti da parte del datore di lavoro o del committente, al fine di prevenire o contenere al meglio la diffusione del virus tra i dipendenti. Ciò include, in particolare, informazioni sui casi...
- in cui è stata rilevata un'infezione o è avvenuto un contatto con una persona manifestamente infetta.
- in cui si è verificato un soggiorno in un'area classificata come area a rischio dall'Istituto Robert Koch (RKI) nel periodo di riferimento.
- aver soggiornato in un'area classificata come area a rischio dalla RKI nel periodo di riferimento.
- la raccolta e l'elaborazione dei dati personali (compresi i dati sanitari) di ospiti e visitatori, in particolare per determinare se essi stessi sono infetti o sono stati in contatto con una persona manifestamente infetta.
- Al contrario, la divulgazione di dati personali di persone manifestamente infette o sospette di esserlo per informare le persone di contatto è lecita solo se la conoscenza dell'identità è eccezionalmente necessaria per le misure precauzionali delle persone di contatto.
Sulla base delle informazioni attualmente a nostra disposizione, la situazione legale in Germania in questa materia è paragonabile a quella degli Stati Uniti. Stati Uniti comparabili. Le nostre osservazioni al riguardo dovrebbero quindi applicarsi di conseguenza agli obblighi e alle opzioni in materia di divulgazione e informazione.
FAQ per le aziende
Come azienda, devo segnalare un caso sospetto alle autorità sanitarie?
Risposta: No. Non esistono obblighi di segnalazione per le aziende, ma solo per i medici e gli ospedali che rilevano un'infezione. L'obbligo di segnalazione è previsto dalla legge sulla protezione dalle infezioni. Se si segnala un caso sospetto alle autorità sanitarie, ciò può costituire una divulgazione di dati sanitari senza una base legale dal punto di vista della protezione dei dati. Si tratterebbe di una violazione del GDPR, che può essere sanzionata con una multa.
Anche se vi sentite obbligati a segnalare il sospetto, tenete presente che medici e ospedali sono già obbligati a farlo. Non c'è quindi alcun motivo impellente per cui anche voi dobbiate agire.
Su richiesta di un'autorità sanitaria, devono essere trasmessi i dati personali dei dipendenti che si sono ammalati o che hanno trascorso del tempo in aree a rischio. Tuttavia, non esiste ancora un obbligo di segnalazione. Tuttavia, la situazione potrebbe cambiare.
Come azienda, posso raccogliere i dati privati dei miei dipendenti per informarli sugli sviluppi attuali?
Risposta: La raccolta di dati di contatto privati, come numeri di telefono cellulare, numeri di telefono fisso o indirizzi e-mail, è consentita e rientra nel legittimo interesse dell'azienda alla rapida diffusione di informazioni nel contesto del virus. Ciò dovrebbe consentire al datore di lavoro di informare i dipendenti sulla chiusura dell'ufficio e sulle istruzioni di lavorare da casa ecc. senza che essi debbano prima recarsi in ufficio.
Si noti, tuttavia, che i dati raccolti per questa specifica finalità non possono essere utilizzati per altri scopi e devono essere cancellati al termine della crisi o quando non sono più necessari.
Come azienda, devo informare il personale in caso di sospetto caso?
Risposta: Il datore di lavoro ha un obbligo di diligenza nei confronti dei propri dipendenti. Ciò può comportare l'obbligo di informare il personale su un caso sospetto. Tuttavia, si tenga presente che l'informazione che il collega X potrebbe essere infetto dal virus costituisce una divulgazione di dati sanitari. In genere, ciò non è consentito senza il consenso del collega potenzialmente infetto. Dovete quindi ottenere una conferma scritta o elettronica dal collega interessato che vi consenta di citare il suo nome in una relazione ai colleghi.
Posso comunicare il nome della persona potenzialmente infetta al personale senza il suo consenso?
Risposta: Questo è possibile solo in casi assolutamente eccezionali, se il dipendente non è in grado di farlo perché non può essere contattato anche dopo ripetuti tentativi di contatto o non può più dare il suo consenso, e la protezione del personale non può essere garantita in altro modo. Di norma, tuttavia, non sarà necessario rivelare il nome della persona potenzialmente infetta al personale.
Questo caso eccezionale potrebbe verificarsi, ad esempio, se un collega è risultato positivo al test per l'infezione, ma non può più essere contattato o è così gravemente malato da non poter comunicare. A causa dell'alta probabilità di infettare altri colleghi, ogni persona che ha avuto contatti con la persona infetta deve essere sottoposta al test il prima possibile. In questo caso, la menzione del nome della persona infetta sarebbe consentita anche senza il suo consenso.
Le autorità di vigilanza ritengono inoltre ammissibile un approccio scaglionato. Ad esempio, le informazioni su un'infezione dovrebbero essere fornite inizialmente a livello di reparto/team, senza nominare persone specifiche.
Se, in casi eccezionali, ciò non fosse sufficiente, il datore di lavoro dovrebbe contattare le autorità sanitarie e chiedere la loro decisione. Tuttavia, a causa dell'utilizzo delle capacità delle autorità sanitarie, questa misura dovrebbe essere scelta con cautela.
Se non è possibile ottenere una risposta dalle autorità sanitarie, gli altri dipendenti possono essere informati del sospetto di infezione o malattia del dipendente specifico per nome, al fine di localizzare e contenere le fonti di infezione.
Come azienda, devo indagare personalmente sui contatti del dipendente in caso di sospetto?
Risposta: No. Se avete reso pubblica la possibilità di un'infezione da virus in azienda per proteggere il personale, avete adempiuto al vostro dovere di diligenza. Un'azienda non è tenuta a raccogliere ulteriori dati per identificare i possibili contatti di un collega potenzialmente infetto. Tuttavia, è ovviamente libera di adottare misure preventive adeguate, come ad esempio istruire il personale - per quanto possibile - a evitare viaggi di lavoro e incontri faccia a faccia con partner commerciali e/o a lavorare da casa.
Dal punto di vista delle autorità di vigilanza, è lecito raccogliere informazioni sulle persone con cui un dipendente malato ha avuto contatti.
Posso chiedere ai miei dipendenti se hanno contratto il virus?
Risposta: A meno che non siate soggetti a un obbligo legale corrispondente, non potete porre questa domanda in questo modulo. I datori di lavoro del settore sanitario o della ristorazione possono essere soggetti a un obbligo legale corrispondente. Nelle altre professioni, la salute dei dipendenti è generalmente una questione privata. Se fate una domanda specifica, è molto probabile che stiate agendo senza autorizzazione legale.
Tuttavia, sarebbe lecito chiedere dove sia stato il dipendente negli ultimi giorni o settimane. Naturalmente, la risposta a questa domanda non consente di trarre conclusioni dirette sullo stato di salute del dipendente. Tuttavia, in qualità di datore di lavoro, potreste adottare misure di sicurezza adeguate se il dipendente si trova in un'area a rischio, ad esempio esonerandolo dal lavoro fino a nuovo avviso o trasferendolo, se possibile, in un ufficio a domicilio.
Dal punto di vista delle autorità di vigilanza, è anche lecito chiedere ai dipendenti se sono stati in un'area a rischio.
Devo informare i partner commerciali di un caso sospetto di pandemia nella mia azienda?
Risposta: La protezione dei dati non prevede un corrispondente obbligo di informazione. Tuttavia, se esiste un rischio di infezione, l'obbligo di informazione può derivare dal dovere generale di diligenza tra i partner contrattuali.
Tuttavia, se informate i vostri partner commerciali di un caso sospetto, ricordate che menzionare il nome della persona potenzialmente infetta è possibile solo con il suo consenso e deve essere altrimenti evitato.
Devo redigere un elenco dei partecipanti agli eventi per poterlo consegnare alle autorità sanitarie nel caso in cui si scopra un'infezione?
Risposta: Non esiste alcun obbligo legale di compilare tale elenco. Tuttavia, potete consegnare i nomi raccolti alle autorità sanitarie su richiesta per proteggere l'interesse pubblico. Se intendete compilare tale elenco già prima di un evento, dovete informare i partecipanti, nell'ambito degli obblighi di informazione previsti dall'art. 13 del GDPR, che i dati raccolti possono essere trasmessi alle autorità sanitarie in caso di infezione da virus.
Posso trasmettere alle autorità sanitarie, su richiesta, un elenco esistente di partecipanti?
Risposta: Un elenco di partecipanti già compilato per un altro scopo può essere pubblicato per un nuovo scopo, ossia la ricerca di contatti. La tutela della vita e della salute delle persone eventualmente interessate prevale e consente un corrispondente cambiamento di scopo. Se questo è il caso e si trasmette l'elenco, è necessario informare le persone che ne fanno parte. È sufficiente un'e-mail o una semplice lettera.
Devo rispondere alla domanda del datore di lavoro su un'infezione pandemica?
Risposta: Dovete rispondere in modo veritiero a una domanda del vostro datore di lavoro solo se voi o il vostro datore di lavoro siete soggetti a un obbligo legale corrispondente. Tale obbligo esiste, ad esempio, per i membri delle professioni sanitarie e nel settore della ristorazione. Se non siete impiegati in questi settori e non siete a conoscenza di alcun altro obbligo di rivelare il vostro stato di salute, non siete tenuti a rispondere a questa domanda. Se esiste un altro obbligo di cui non eravate a conoscenza, di solito il vostro datore di lavoro ve ne informerà durante il colloquio.
In linea di principio, è quindi perfettamente sufficiente informare il datore di lavoro dell'impossibilità di lavorare a causa di una malattia, come si fa di solito con una nota di malattia.
Tuttavia, siete liberi di informare il vostro datore di lavoro di una possibile infezione da virus per proteggere i vostri colleghi e clienti.
Devo informare il mio datore di lavoro se sono stato in un'area infetta?
Risposta: Le disposizioni di legge in Germania non prevedono attualmente l'obbligo di divulgare queste informazioni. Tuttavia, siete liberi di trasmettere queste informazioni al vostro datore di lavoro nell'interesse di colleghi e clienti.
Gestione individuale dei paesi europei
Italia
Solo le persone che lavorano nel settore sanitario o nella protezione civile possono richiedere informazioni sullo stato di salute delle persone colpite. Tuttavia, i lavoratori sospettati di essere infetti sono tenuti a informare il proprio datore di lavoro e i servizi sanitari.
Nella situazione critica in cui ci troviamo, il datore di lavoro dovrebbe adottare le seguenti misure:
Facilitare la comunicazione tra il personale sanitario e i dipendenti (ad esempio, informazioni tramite un numero centrale che può essere chiamato).
Consigliare alle persone che hanno viaggiato in paesi ad alto rischio di informare i servizi sanitari.
Informare le autorità sanitarie in caso di infezioni sospette nell'azienda.
Fonte: garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117
Gran Bretagna
La situazione della protezione dei dati è paragonabile a quella italiana. Anche il governo britannico ha pubblicato linee guida molto esaustive su come comportarsi in queste situazioni.
Solo i medici registrati possono raccogliere dati sanitari/medici. Pertanto, i datori di lavoro non possono raccogliere dati sanitari dai dipendenti. Se si sospetta che un dipendente abbia contratto il virus, la direzione deve informare Public Health England (PHE), che consiglierà le azioni appropriate da intraprendere.
Le autorità non raccomandano ancora la chiusura di uffici ecc. ma raccomandano le seguenti misure:
Si consiglia alle persone che hanno viaggiato nelle aree a rischio di monitorare la propria situazione sanitaria.
Public Health England (PHE) deve essere informato se si sospetta che l'infezione si stia diffondendo all'interno dell'organizzazione.
Fonte: gov.uk/government/publications/guidance-for-social-or-community-care-and-residential-settings-on-covid-19/guidance-for-social-or-community-care-and-residential-settings-on-covid-19
Francia
Come previsto, in Francia il datore di lavoro può anche adottare misure di carattere generale, come l'emanazione di istruzioni sanitarie a tutti i dipendenti e il ricordo della raccomandazione del governo di informare il datore di lavoro se il dipendente rientra da una di queste aree a rischio. Detto questo, secondo la CNIL, i datori di lavoro dovrebbero astenersi dal raccogliere informazioni relative alla ricerca di possibili sintomi in modo sistematico e generalizzato o sulla base di richieste individuali.
È consigliabile che il dipendente informi il proprio collega prima di tornare al lavoro se sta rientrando da una di queste aree a rischio. Tuttavia, il datore di lavoro non ha il diritto di chiedere al dipendente se è stato in vacanza in una di queste aree a rischio.
Se il datore di lavoro è a conoscenza del fatto che un dipendente sta rientrando da una delle aree a rischio, deve consigliare a questo dipendente di lavorare da casa come parte dei suoi obblighi di salute e sicurezza (articolo L.4121-1 Code du travail) o di riorganizzare il suo posto di lavoro in modo da limitare il rischio di infezione.
Se il datore di lavoro non può adattare il posto di lavoro del dipendente per limitare il contatto e se il lavoro da casa è incompatibile con il lavoro, il datore di lavoro può chiedere al dipendente di rimanere a casa.
Come negli altri due Paesi, i dipendenti devono informare il proprio datore di lavoro se sospettano di essere entrati in contatto con il virus. In caso di rischio identificato, il dipendente interessato o, se non è possibile, il datore di lavoro deve chiamare il servizio medico di emergenza (SAMU). In questo caso, il datore di lavoro può registrare la data e l'identità della persona che potrebbe essere stata esposta al virus per poter fornire alle autorità sanitarie, su loro richiesta, le informazioni sulla natura dell'esposizione necessarie per fornire assistenza sanitaria o medica alla persona che potrebbe essersi ammalata.
Il datore di lavoro deve collaborare con il medico del lavoro dell'azienda per discutere il modo migliore per attuare le raccomandazioni del governo in merito alla protezione degli altri dipendenti.
Fonte:
gouvernement.fr/info-coronavirus https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles https://travail-emploi.gouv.fr/actualites/l-actualite-du-ministere/coronavirus-questions-reponses-entreprises- stipendi
Sebbene riteniamo che le informazioni contenute in questo documento siano accurate, si tratta di informazioni generali di carattere legale e commerciale e non sono adattate ai fatti della vostra situazione. Non costituisce una consulenza legale. Per ottenere una consulenza legale adeguata alle vostre esigenze, contattate un avvocato abilitato all'esercizio della professione nella vostra giurisdizione.