
L’Autorità Garante per la protezione dei dati personali è intervenuta fornendo un chiarimento circa le possibilità per il datore di lavoro di eseguire test sierologici sui propri dipendenti e i limiti di trattamento di tali dati personali, nell’ambito dell’attuazione delle misure e dei protocolli di sicurezza anti-contagio e delle misure disposte per la tutela della salute e sicurezza dei luoghi di lavoro.
Relativamente all’ipotesi di ricorrere all’effettuazione di tali test, la valutazione di necessità è rimessa all’attività di sorveglianza sanitaria svolta da parte del medico competente o da un diverso professionista sanitario individuato dalla normativa emergenziale per la prevenzione del contagio da COVID-19. Pertanto, il datore di lavoro non può autonomamente disporre alcun tipo di test se non ha indicazioni circa la necessità di provvedere a esami determinati e specifici, i quali devono essere selezionati anche in relazione alla loro affidabilità ed appropriatezza.
L’unico dato a cui può avere accesso il datore di lavoro è e rimane infatti il giudizio di idoneità o non idoneità allo svolgimento della mansione espresso dal medico competente nei confronti del singolo lavoratore. Viene così ribadito dal Garante che ogni riscontro diagnostico o anamnesico relativo ai lavoratori o ad ulteriori soggetti (familiari o contatti prossimi, ad esempio) non può in alcun caso essere accessibile per il datore di lavoro ma deve essere trattato esclusivamente da personale sanitario o altrimenti autorizzato da parte dalla normativa applicabile alla gestione dell’emergenza pandemica.
Il chiarimento fornito è dunque in linea con le prescrizioni dell’art. 5 L. 300/1970 per la tutela della libertà e dignità del lavoratore, ai sensi delle quali vige un generale divieto per il datore di lavoro di svolgere accertamenti sul lavoratore circa stati di idoneità ed infermità per malattia o infortunio. Tale limite consiste, sotto l’aspetto della protezione dei dati personali, comporta l’esclusione (in forza di un divieto di legge) di alcuna possibile base giuridica valida per trattare tali dati personali da parte del datore di lavoro.
Consulenti, RSPP, Organismi di Vigilanza e altri soggetti delegati a sorvegliare o garantire che la tutela della salute e sicurezza nei luoghi di lavoro sia efficacemente attuata devono pertanto tenere conto, nella predisposizione di presidi di prevenzione, di tali limiti informativi.
È opportuno ricordare che il consenso (esplicito, dal momento che si tratta di trattamento di dati relativi alla salute) del dipendente al trattamento dei dati personali non può essere impiegato come un grimaldello per ottenere in via più o meno mediata (ad esempio facendo sottoscrivere autodichiarazioni al dipendente) l’accesso a tali informazioni, dal momento che già l’art. 29 WP (ora EDPB) considerava il consenso in tale contesto invalido in ragione dello squilibrio di potere intrinseco all’interno del rapporto di lavoro. Tale regola può in astratto trovare alcune eccezioni soltanto qualora il datore di lavoro sia in grado di predisporre (e di dimostrare) l’adozione di specifiche garanzie a tutela della libertà di prestazione di tale consenso, ma nell’ambito concreto del trattamento considerato sembra doversi escludere alcun tipo di possibilità di ricorrere a tale fondamento di liceità.