Testo integrale con note e bibliografia
I. Pandemia, dubbi e questioni.
Sembrano essere passati molti anni da quando Giuseppe Pera definiva «gustoso» un caso risolto dal Pretore di Siena il 27 gennaio 1971 nel senso che non commette il reato di cui all’art. 38 St. lav., in relazione all’art. 5 della stessa legge, il datore di lavoro che domanda all’operaio di misurarsi la temperatura corporea prima di entrare nei locali aziendali. Eppure, la percezione è che quel tempo non sia poi così distante quando si pensa che la pandemia ha riportato in auge tra gli studiosi e gli operatori del diritto del lavoro questioni che ineriscono al coordinamento sistematico tra le misure anti-contagio di stampo precauzionale e i limiti al potere del datore di verificare lo stato di salute e di idoneità alle mansioni dei propri dipendenti .
Alcune domande hanno pungolato il giuslavorista durante le varie fasi dell’emergenza pandemica; dapprima ci si è domandati se il datore di lavoro potesse rilevare la temperatura corporea del personale (ma anche dei clienti e dei fornitori) all’ingresso della propria sede o trattare (anche raccogliendo autodichiarazioni o effettuando test) i dati dei dipendenti affetti da Sars-cov-2 o che, perlomeno, ne presentassero i sintomi. Man mano che la scienza diagnostica ha sviluppato sistemi di rilevazione dell’infezione o degli anticorpi sempre più raffinati, si sono fatte largo le questioni relative alla possibilità per l’azienda di effettuare accertamenti sanitari per il tramite di tamponi o test sierologici, riconoscendo alle imprese un delicato ruolo di attore della prevenzione e della lotta al contagio. Divenuto poi disponibile il vaccino, cui il lavoratore può sottoporsi volontariamente (salvo quanto si dirà sul recente art. 4 d.l. 44/2021), i dubbi attuali riguardano se il datore di lavoro abbia il diritto o il potere di conoscere i nominativi del personale che non ha intenzione di sottoporsi a vaccinazione al fine di intraprendere decisioni organizzative (modifica delle mansioni, inibizione di riunione in presenza) che potrebbero assurgere al rango di misure di protezione e prevenzione della salute individuale e collettiva, ma che, al contempo, potrebbero creare discriminazioni e trattamenti differenziati tra vax e no vax. Infine, siccome in questo contesto anche le tecnologie possono essere d’ausilio a preservare la salute sui luoghi di lavoro, ci si è chiesti entro quali limiti il datore di lavoro se ne può avvalere per far rispettare le misura del distanziamento o per scandagliare la temperatura corporea all’ingresso dei locali produttivi o in altre aree comuni.
Insomma, le questioni emerse con la pandemia costituiscono un banco di prova per saggiare la tenuta e l’adeguatezza delle norme lavoristiche che intervengono su quel delicato crocevia rappresentato dall’intersezione tra sicurezza, privacy e riservatezza.
II. Il diritto alla privacy sui luoghi di lavoro: avvertenze per l’uso.
Le risposte a queste domande, su cui il presente scritto intende soffermarsi, riposano sull’intersezione tra le norme del Titolo I dello Statuto dei lavoratori – dedicato alla protezione della libertà e della dignità del prestatore – con la normativa che tutela la privacy delle persone fisiche, di cui al d.lgs. 196/2003 novellato dal Regolamento n. 2016/679/UE, che interviene per tutelarne la dignità e l’autodeterminazione, pur adottando una logica diversa rispetto ai divieti statutari che s’incentra sul concetto di procedimentalizzazione del potere di raccogliere e trattare i dati –.
Una tematica, per certi versi, nota ai giuslavoristi che hanno cercato una sintesi delle normative studiando il loro difficile processo di armonizzazione, a partire dagli «innesti regolativi» , ossia dai rinvii testuali che la normativa privacy dispone agli artt. 8 e 4 St. lav. , ossia al divieto di indagine su fatti non rilevanti rispetto all’attitudine professionale e al (persistente) divieto di controllo a distanza sull’attività lavorativa. Tematica che, oggi, nell’attuale fase pandemica, impone di verificare quale risultato teorico, ma anche pratico-applicativo, produca l’integrazione tra la protezione della privacy dei lavoratori e la normativa statutaria che disciplina gli accertamenti sanitari sui lavoratori (art. 5) ai fini di verificarne l’idoneità alle mansioni .
Con un’avvertenza, sempre valida, ma che oggi diventa decisiva. Se è vero che il diritto alla protezione dei dati personali del lavoratore ha un fondamento costituzionale nell’art. 2 e 41, comma 2, Cost. e costituisce un limite esterno al potere organizzativo del datore di lavoro, è altrettanto vero che tale posizione non sia riconosciuta in modo assoluto e quindi vada bilanciata con altri diritti fondamentalissimi della persona, come è quello alla salute (art. 32 Cost.). L’interprete dunque non può mai dimenticare che il datore di lavoro è il principale obbligato (art. 2087 c.c.) a garantire la salute e la sicurezza nei luoghi di lavoro, sebbene la sua posizione di garanzia sia integrata in un sistema multi-soggettivo e multi-livello, finalizzato a prevenire il rischio di aggressione ai beni giuridici della salute e della sicurezza come richiede il TU 81/2008 e seppur tale posizione di garanzia sembri essere, a prima vista temperata dall’art. 29bis, l. 5 giugno 2020 n. 40 . Il rischio di contagio da Sars Cov 2 è si un rischio generico, ma è rischio aggravato sui luoghi di lavoro che il datore di lavoro resta obbligato a valutare e ridurre applicando le norme specifiche del d. lgs. 81/08 nonché ricorrendo alle misure preventive e precauzionali che via via si rendono disponibili, di pari passo con il progredire delle conoscenze scientifiche come prescritto dall'art 2087 c.c. .
Tanto detto, per rispondere alle domande poste al par. I è indispensabile tratteggiare per punti che cosa significhi in concreto tutelare il diritto alla privacy del lavoratore.
Il primo mito da sfatare risiede nella distinzione tra privacy e riservatezza, dal momento che il moderno diritto alla protezione del dato si è concettualmente arricchito, grazie all’evoluzione normativa , ed è più articolato del diritto alla protezione della sfera intima individuale. Proteggere i dati delle persone fisiche significa riconoscere che la loro circolazione illimitata costituisce un rischio per i diritti fondamentali e che dunque il soggetto che decide di trattarli, il titolare del trattamento, è tenuto a prevenirlo o a eliminarlo. La medesima logica sperimentata nella materia della prevenzione della salute e della sicurezza costituisce la principale innovazione apportata dal Regolamento 2016/679/UE. Il nocciolo di tale strategia è racchiuso nel principio di accountability o responsabilizzazione del titolare del trattamento il quale è tenuto a rispettare i vari obblighi che la normativa pone a suo carico per «complicare» , procedimentalizzando, le diverse azioni che esso compie nel trattamento, che va dalla raccolta alla distruzione del dato.
Il regolamento di per sé rappresenta una regolazione omnibus, uno statuto generale dell’informazione che, nella materia del diritto del lavoro, va integrato facendo ricorso, principalmente, a quel sistema di pesi e contrappesi contenuto nel titolo I dei lavoratori, ma non solo. Norme come l’art. 2, 4, 5 e 8 dello Statuto dei lavoratori fissano i confini della sfera “controllabile” del prestatore e contribuiscono così a “colorare” la griglia di obblighi tipica della regolazione privacy. Dell’art. 5 St. lav. e della sua implicita parziale abrogazione da parte di alcune norme contenute nel d.lgs. 81/2008 si discuterà oltre, al par III.
In questa sede sia sufficiente ricordare i presupposti del trattamento lecito d’informazioni personali altrui, ossia quelle regole generali che condizionano l’utilizzabilità dei dati: la ricorrenza di una base giuridica del trattamento dei dati personali (art. 6 Reg.) e il rispetto dei principi (art. 5 Reg.).
La base giuridica rappresenta il fondamento di liceità che giustifica a monte l’apprensione dei dati e, nel rapporto di lavoro, può risiedere nella necessità di eseguire un contratto di cui è parte l’interessato (par. 1, lett. B); nell’adempimento di un obbligo del titolare (par. 1, lett. c) o ancora nel perseguimento del suo legittimo interesse (par. 1, lett. f). Il consenso del lavoratore invece non può mai costituire una valida base giuridica poiché si presume che non sarebbe genuinamente e liberamente prestato .
Il trattamento di dati personali deve altresì essere conforme ai «principi applicabili al trattamento dei dati personali» (art. 5 Reg.) che esprimono regole destinate a governare le modalità esecutive dello stesso, in continuità con la precedente impostazione della Direttiva 95/46/CE . Come detto, la novità del Regolamento non sta tanto nella previsione di tali regole, quanto nella introduzione di un obbligo generale del titolare del trattamento (cd. principio di accountability) di conformare la propria azione e la propria organizzazione ai principi di legittimità, correttezza, trasparenza, limitazione della finalità e minimizzazione. Il datore di lavoro, dunque, è tenuto a trattare le informazioni sui lavoratori per scopi legittimi, predeterminati ed espliciti, con modalità che riducano al minimo l’impiego di dati identificativi (in relazione agli scopi prefissati) e nella pressoché totale trasparenza, informando cioè il lavoratore interessato.
III. Sul rapporto tra il divieto di accertamenti sanitari sui lavoratori e il regime di sorveglianza sanitaria in azienda effettuata dal medico competente.
L’emergenza pandemica ha reso l’azienda attrice della prevenzione al contagio e ciò, secondo Confindustria – che già guarda al green pass come possibile discrimine tra chi ha diritto a lavorare e a chi no – implicherebbe altresì la necessità che i datori di lavoro, agiscano più informati di prima per attuare le misure dovute ex art. 2087 c.c., venendo a conoscenza tempestivamente di dati sensibili su salute, malattia e/o idoneità alle mansioni dei propri dipendenti.
Al riguardo si osserva, tuttavia, che la disciplina vigente prima della dichiarazione dello stato di emergenza del 31 marzo 2020 allo stato non risulta formalmente abrogata e perciò essa si basa tutt’oggi sull’intricato rapporto tra l’art. 5 Statuto dei lavoratori e le norme (…) del d.lgs. 81/2008 che disciplinano l’attività di sorveglianza sanitaria del medico competente.
Dalla sovrapposizione delle normative appena citate deriva, in primo luogo, una preclusione diretta al datore di lavoro e/o ai suoi preposti di effettuare direttamente, in prima persona, accertamenti sanitari dello stato di salute, di malattia o comunque di tutte quelle condizioni psico-fisiche del prestatore che possano escludere o mettere in dubbio la idoneità generica o specifica del lavoratore (o dell’aspirante tale) a disimpegnare le mansioni assegnate o assegnande. Il termine «accertamento» è evidentemente ampio e, dunque, ricomprende non solo ispezioni corporali e indagini diagnostiche effettuate materialmente sul corpo, ma anche tutti quelle raccolte immateriali di informazioni personali derivanti da sottoposizione a test, questionari ecc., tant’è che l’art. 5 è collocato proprio nel Titolo I dello Statuto dei lavoratori accanto ad altre norme che si preoccupano di stabilire simili divieti informativi.
Peraltro, vale la pena di ricordare che il divieto di cui al comma 1 dell’art. 5 st. lav. è sanzionato penalmente con la contravvenzione di cui all’art. 38 della medesima legge.
Quanto agli accertamenti non effettuati direttamente dal datore di lavoro, ma per il tramite di un suo medico di fiducia, occorre rilevare che il quadro normativo si è notevolmente complicato a causa della stratificazione cui si cennava, perché – già prima dell’emergenza pandemica – l’art. 5 dello statuto (comma primo, ma soprattutto comma terzo) aveva subito una parziale abrogazione (implicita). Vale la pena di spendere su questo punto qualche riflessione partendo dalle origini storiche e dal senso profondo dell’art. 5 st. lav. per comprendere come tale «mutilazione» ne abbia inciso la portata precettiva trascinando l’attuale dibattito emergenziale, anche di natura giurisprudenziale (come a breve si dirà), verso incomprensioni e coni d’ombra.
Negli anni ’70 la norma statutaria, prendendo posizione su problematiche tipiche degli ambienti produttivi di allora , si propose come scopo precipuo di spazzare via l’odiosa figura del medico di fabbrica , epurando così il potere datoriale di verificare l’idoneità psico-fisica del prestatore – e soprattutto l’infermità per malattia o infortunio – da ogni incrostazione di parzialità, dovuta al fatto che i medici di fiducia erano retribuiti dal datore di lavoro e i loro accertamenti rischiavano di essere perciò schiacciati sotto il giogo degli interessi economici e produttivi dell’impresa . Garantire l’imparzialità e l’autonomia degli accertamenti sanitario significò, dunque, devolverli a soggetti pubblici, terzi e indipendenti, dalle parti in causa, obbligando il datore di lavoro a servirsi di «enti previdenziali competenti» per accertamenti sulla infermità (co. 2) e di «enti pubblici ed istituti specializzati di diritto pubblico» per gli accertamenti sull’idoneità del lavoratore (co. 3). È stato dunque pacifico, almeno sino all’emanazione della l. 626 del 1994 che ha previsto e disciplinato per la prima volta la figura del «medico competente» , che raccolte informative su infermità e idoneità del prestatore erano vietate in radice se svolte da sanitari dipendenti dall’impresa o comunque da essa condizionabili, e ciò benché i professionisti in questione avessero potuto dimostrare di seguire religiosamente le regole dell’ars medica nel realizzare l’accertamento e di attenersi scrupolosamente alla deontologia e al segreto professionale.
L’assioma, nondimeno, non suona più così assoluto ai giorni nostri. Non fosse altro che il medico competente può essere anche un «dipendente del datore di lavoro» (art. 39, co.2, lett. c, TU 81/2008) e che a questi compete l’attività di «sorveglianza sanitaria» che comprende, tra l’altro, la visita pre-assuntiva, le visite in occasione del cambio mansione e quelle periodiche per controllare lo stato di salute del lavoratore ed esprimere il giudizio di idoneità alla mansione specifica» (cfr. art. 41, comma 2, TU 81/2008) – nell’ipotesi in cui la valutazione dei rischi lo richieda (normalmente in ipotesi di rischi biologici e chimici) o quando il lavoratore ne faccia richiesta ed essa sia considerata dal medico pertinente rispetto al rischio lavorativo (art. 41, comma 1, TU 81/2008). Dunque, almeno per quanto riguarda gli accertamenti sulla idoneità alla mansione specifica, l’art. 41, comma 2, lett. b) d.lgs. 81/2008, in quanto norma speciale e successiva, incide e prevale sul disposto dell’art. 5, comma 3, st. lav., permettendo che il controllo sulla idoneità del lavoratore alle mansioni possa essere affidato a un medico privato e dipendente dal datore di lavoro e non soltanto più alle strutture pubbliche individuate dall’art. 5 .
Il medico competete è un collaboratore strettissimo del datore di lavoro, che questi sceglie e di cui deve sobbarcarsi il costo economico e ciò rende necessarie almeno due considerazioni.
La prima è che il quadro descritto potrebbe lasciar spazio ad abusi, non potendo essere fugato ogni rischio di valutazioni parziali del medico competente e tenuto altresì che un giudizio distorto di inidoneità può anche essere alla base della scelta datoriale di non assumere, di modificare le mansioni del lavoratore o di licenziarlo per giustificato motivo oggettivo.
Tuttavia, quanto detto non fa precipitare il sistema normativo in una condizione pre-statutaria . Non soltanto perché sia mutato il clima politico-sociale, quanto per il fatto che la collaborazione tra il DL e MC va letta in controluce nell’intero sistema congegnato dal TU 81/2008 che persegue il fine specifico di tutelare l’interesse e il diritto dei lavoratori alla salute e alla sicurezza quand’essi siano esposti a particolari fattori di rischio e che prevede che la figura del MC si vada comunque ad inserire in un articolato sistema soggettivo prevenzionistico cui partecipano altre figure che, sebbene non possiedano la medesima perizia del MC, rappresentano comunque un termine di confronto sin dal momento della valutazione dei rischi.
Inoltre, non si può tralasciare che le norme del TU 81 corrono al riparo da questo rischio, prevedendo che, contro i giudizi del medico competente, sia ammesso il ricorso all’organo di vigilanza (art. 41, comma 9) e che l’inosservanza degli obblighi (di cui all’art. 25) che gravano sul medico competente vale responsabilità penale .
La seconda conseguenza è più rilevante ai nostri fini perché impatta sul rapporto tra la disciplina sugli accertamenti sanitari e la disciplina privacy. Infatti, sebbene il MC possa essere un fidato collaboratore del datore di lavoro scelto e retribuito da quest’ultimo, il suo operato deve essere ispirato a principi di imparzialità, di autonomia del MC, di riservatezza del lavoratore e di dignità della visita . Il MC resta infatti una figura di garanzia per il lavoratore istituzionalizzata per dalla legge per conseguire le finalità cui sopra si cennava. La protezione della salute e della sicurezza non può però realizzarsi in totale spregio dell’art. 5 st. lav. (e in particolare del suo comma 1) che traccia limiti e paletti nel rapporto che va a instaurarsi tra il MC e il DL . La normativa statutaria sprigiona una vis che si ripercuote nell’interpretazione delle disposizioni che disciplinano la sorveglianza sanitaria in azienda e tale normativa, vale la pena sottolinearlo, è inderogabile ad opera sia della contrattazione individuale che di quella collettiva .
Le ricadute di tale affermazione saranno analizzate nel prossimo paragrafo.
IV. Imparzialità e autonomia del medico competente e privacy sanitaria del lavoratore.
Il bisogno informativo delle imprese – che come si diceva §3 sembra essere rafforzato in tempi di pandemia – va considerato alla luce dei tuttora vigenti principi di imparzialità, di autonomia del MC, di riservatezza del lavoratore e di dignità della visita imposti dalla lettura integrata del TU 81 con l’art. 5 st. lav.
Acquista importanza il meccanismo di raccordo tra le norme del titolo I dello Statuto dei lavoratori e le disposizioni speciali del TU 81/2008 e la normativa privacy, dal cui intreccio deriva che i dati sanitari dei lavoratori devono essere raccolti e custoditi dal medico competente che è l’unico soggetto legittimato a trattare questo tipo di dati personali con la finalità di svolgere la funzione di protezione della salute e sicurezza dei luoghi di lavoro. Il medico competente è autonomo e imparziale nello svolgimento del proprio ruolo e, dunque, spetta a costui determinare i mezzi e le finalità del trattamento dei dati sanitari, tantoché soltanto a lui compete la formazione de «la cartella sanitaria del lavoratore» (art. 25 co. 1 lett. c, TU 81/2008) di cui ha piena responsabilità per quanto attiene alla segretezza delle informazioni e alla loro conservazione . Non è un caso se il Regolamento 2016/679/UE considera in via autonoma i trattamenti necessari per scopi di “medicina del lavoro” (art. 9, par I, lett. h)), nel quale ambito è riconducibile la funzione del medico competente , distinguendoli nettamente rispetto a quelli posti in essere dal datore di lavoro e necessari per assolvere i propri obblighi normativi in materia di “salute e sicurezza sul lavoro” (art. 9, lett. b) e art. 88 del Regolamento) .
In questo quadro incide l’art. 5 st. lav. che va letto come un divieto rivolto al MC di comunicare i dati sensibili dei lavoratori al datore di lavoro, il quale non può venire a conoscenza di informazioni relative alla diagnosi o all’anamnesi del lavoratore. Il senso profondi di questo collegamento si coglie se si comprende che il possesso di queste informazioni in mano a una figura che (almeno nella maggior parte dei casi) non possiede cognizioni mediche, può dare vita a trattamenti discriminatori o scelte prese sulla base della “pancia” e non della ragionevolezza che il sistema giuridico necessariamente impone. Del resto, di recente, si è appreso di alcune (per fortuna, allo stato) sparute iniziative datoriali rivolte a dar vita a differenze di trattamento normativo – sotto specie di orari diversificati, inibizione dell’accesso ai locali mensa – tra lavoratori vaccinati e non vaccinati. La creazione di due regimi giuridici specifici destinati a convivere sul medesimo luogo di lavoro, senza la valutazione e il confronto con il medico competente – costituisce certamente un illecito reprimibile.
Ne deriva che la pretesa informativa del datore di lavoro – il quale è ex art. 2087 c.c. tenuto a verificare la compatibilità tra le condizioni di salute dei lavoratori e le specifiche mansioni affidate – potrà essere soddisfatta soltanto laddove il suo fido collaboratore, il medico competente, emetta un giudizio di inidoneità alla mansione specifica, secondo quanto è concordato a monte nel DVR (che ricordiamo è un documento che si deve fondare su una analisi oggettiva cui concorrono i diversi soggetti, individuati dal TU 81/2008, della prevenzione in azienda: DL, MC, RSPP, RLS, e consultando i lavoratori) e soprattutto, secondo la propria scienza e coscienza, e lo comunichi al datore di lavoro, senza che a questi possano essere disvelate le informazioni sensibili stato di salute e di idoneità (e la documentazione) che ha portato all’emissione del giudizio.
V. Risoluzione di alcuni casi pratici. La tutela delle informazioni vaccinali nel rispetto della sorveglianza sanitaria tra vaccinazione volontaria e obbligatoria.
È utile a questo punto cercare di offrire una risoluzione di alcuni casi pratici sollevati dalla normativa che costituiscono concretizzazione dei principi generali sopra illustrati.
La prima questione che ha scosso parecchio gli animi riguarda il diritto/potere del datore di lavoro di acquisire informazioni sui dipendenti vaccinati/non vaccinati, direttamente dai lavoratori stessi o acquisendo, anche attraverso il medico competente, eventuali liste da cui emergano i nominativi di coloro che hanno effettuato il vaccino.
Il tema si è posto soprattutto perché ad avviso di dottrina e giurisprudenza , il vaccino è considerato una misura idonea – se non a prevenire la diffusione del contagio – quanto meno a rallentarne la catena di diffusione. Per tale ragione, si afferma che il datore di lavoro potrebbe avere interesse a conoscere, a prescindere dalla procedura prevista dalla legge, quindi indipendentemente da una valutazione di inidoneità del medico competente, se il lavoratore si è vaccinato o meno per assumere provvedimenti tempestivi.
Intanto, non può esservi dubbio che il trattamento dei dati relativi alla vaccinazione possa essere inquadrato nell’ambito della verifica dell’idoneità alla mansione specifica che consente, come è stato detto, al medico competente (e solo a lui) di emettere giudizi di idoneità parziale e/o inidoneità temporanee per i lavoratori non vaccinati (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008). Il datore di lavoro dovrebbe, di conseguenza, limitarsi ad acquisire i giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008) e poi prendere adeguati provvedimenti cautelativi.
In questa direzione militano diverse argomentazioni.
In primo luogo, il Titolo X del TU 81/2008 prevede che la valutazione del rischio sia effettuata in modo specifico e, dunque, che il DVR deve essere aggiornato in relazione al rischio biologico che si può riscontrare nelle varie articolazioni dell’azienda, tenuto anche conto della specifica organizzazione del lavoro. È questa la sede in cui il datore di lavoro, insieme al MC, RLS, e RSPP deve intervenire (a monte) per valutare quanto la vaccinazione possa essere una discriminante per l’adibizione alla mansione specifica e non invece pretendere in un momento successivo (a valle) delle “liste di proscrizione” che potrebbero essere alla base di comportamenti o atti discriminatori vietati.
Tanto più che l’efficacia del vaccino sul singolo lavoratore non può che essere testata dal MC in sede di screening sierologico per verificare lo sviluppo di anticorpi a seguito alla vaccinazione, dando vita a un regime di sorveglianza epidemiologica. Dal che deriva che la sospensione cautelare del rapporto di lavoro potrebbe essere prevista non soltanto per coloro che non si sono sottoposti al vaccino, ma anche per coloro che pur essendosi vaccinati non hanno sviluppato anticorpi idonei a rallentare i contagi.
Peraltro, quanto detto vale altresì per le ipotesi in cui la legge ha previsto uno specifico obbligo per talune professioni di sottoporsi alla vaccinazione gratuita, in attuazione dell’art. 32, comma 2, Cost. . Nello specifico, il d. 44/2021 convertito nella l. 76/2021 ha procedimentalizzato ulteriormente il momento della verifica dei soggetti obbligati a sottoporsi a vaccinazione, istituendo un complesso meccanismo cui avrebbero dovuto partecipare Ordini professionali, Regioni e ASL, con la finalità di comunicare in tempi brevi alle aziende i nominativi dei lavoratori inadempienti. Tale procedura, dunque, avrebbe dovuto affiancare quella ordinaria affidata al MC dalle norme previste nel TU 81 e superarla aggiungendo ulteriori garanzie per i lavoratori che intendono sottoporsi al vaccino che rischiano, come prevede lo stesso decreto, il ricollocamento in mansioni prive di rischi o la sospensione senza retribuzione dal diritto di svolgere mansioni che implichino contatti inter-personali (art. 4, comma 6 e 8 d.l. 44/2021).
Nondimeno, a distanza di mesi dalla pubblicazione in gazzetta del decreto, il meccanismo non è stato attuato, facendo sì che alcuni datori di lavoro abbiano preso provvedimenti cautelari senza il rispetto delle procedure previste e scatenando la reazioni di alcuni Tribunali di merito, invocati dal lavoratore ricorrente. Il Tribunale di Verona, per esempio, ha confermato la sospensione cautelativa di un lavoratore, affermando che la procedura introdotta dal d.l. 44/21 non sostituisce eventuali iniziative adottate dall’azienda nelle more dell’accertamento da parte degli organi deputati a ciò, dimenticando però che l’inidoneità alle mansioni, in assenza degli accertamenti procedimentalizzati previsti dal decreto, deve essere dichiarata dal medico competente, non potendo il datore di lavoro acquisire direttamente dal lavoratore la notizia e utilizzarne l’informazione per sospenderlo. Più complesso il caso deciso dal Tribunale di Treviso che, correttamente, si è premurato di verificare che il DL avesse aggiornato il DVR in relazione al rischio biologico e alla sorveglianza vaccinale (il vaccino era stato individuato in sede di valutazione dei rischi come misura di prevenzione e si era previsto un protocollo sanitario in base al quale il MC avrebbe dichiarato l’idoneità alle mansioni temporanea o permanente). Senonché, a seguito di una campagna di sensibilizzazione, la lavoratrice non soltanto aveva manifestato dissenso rispetto alla vaccinazione, ma si era sottratta alle visite del MC. Il datore di lavoro, quindi, sospendeva cautelativamente la lavoratrice che, essendosi sottratta ad un adempimento obbligatorio, avrebbe dovuto essere, più ragionevolmente, sospesa disciplinarmente.
VI. Segue. L’acquisizione e il trattamento dei dati relativi allo stato di malattia provocata dal Sars-Cov-2.
Sebbene, di regola, i dati personali relativi alle specifiche patologie di cui sono affetti i lavoratori possano essere trattati solo da professionisti sanitari (es. medici di base, specialisti, medico competente) e non anche dal datore di lavoro, quest’ultimo, in taluni casi, nel contesto dell’attuale emergenza epidemiologica, può lecitamente venire a conoscenza dell’identità del dipendente affetto da Covid-19 o che presenta sintomi compatibili con il virus.
La ragione sta nel fatto che alcune disposizioni previste nei protocolli che ormai per opinione condivisa si ritengono “legificati”, prevedono direttamente questa possibilità in deroga all’art. 5 dello Statuto. Il fenomeno è inquadrabile in una successione di norme che dà vita a un conflitto temporaneo, perché le regole contenute nei protocolli hanno carattere eccezionale e come tali «non si applicano oltre i casi e i tempi in esse considerati» (cfr. art. 14 disp. prel. Cod. civ. es: rilevazione della saturazione). La legislazione emergenziale è dettata per risolvere problemi particolari sollevati dalla congiuntura epidemiologica e, finché durerà lo stato di emergenza dichiarato il 31 gennaio 2020, le misure previste dai protocolli saranno eccezionalmente applicabili in deroga ai divieti di trattamento dei dati sanitari dei lavoratori soltanto per le specifiche ipotesi in essi previsti. È per tale ragione che non si ritiene condivisibile la tesi dottrinale secondo la quale l’art. 5 St. lav. necessiterebbe di un intervento normativo che preveda deroghe esplicite .
Per fare alcuni esempi i protocolli prevedono procedure per la gestione di casi sintomatici che presuppongono la conoscenza del datore di lavoro dello stato morboso del dipendente, vuoi perché ne venga informato direttamente dal dipendente (sul quale grava l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro ), vuoi perché i sintomi si manifestino all’ingresso della sede di lavoro o durante la prestazione lavorativa (cfr. protocollo condiviso 6 aprile 2021, parr. 1, 2 e 11) .
In questi casi, dunque, il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore per la finalità di salute e sicurezza dei luoghi di lavoro o per adempire agli obblighi di collaborazione con gli operatori di sanità pubblica. Al di fuori di tali casi, il datore di lavoro direttamente o per mezzo di preposti non può, invece, trattare dati sulla salute del lavoratore e deve lasciare il debito spazio alla perizia del medico competente che opera in autonomia rispetto a lui.
Ed è questo il caso dibattuto dell’effettuazione di esami diagnostici, per mezzo di tamponi oro/nasofaringei o di test sierologici – anche ai fini della riammissione in servizio a seguito della malattia – per i quali vale la regola generale secondo cui le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti. Soltanto il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori, a patto che il rischio biologico sia valutato nel DVR (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020). Il datore di lavoro potrà, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente riterrà di stabilire come condizioni di lavoro.
Infine, vale la pena di chiarire che già il protocollo del 24 aprile prevedeva, tra le misure per il contrasto alla diffusione del virus, la possibilità del datore di lavoro o dei suoi preposti di rilevare la temperatura corporea del personale dipendente per inibire l’accesso ai locali e alle sedi aziendali a coloro che sviluppino una temperatura superiore al 37,5 gradi . Poiché tale protocollo è stato confezionato, sentito il parere del Garante per la protezione dei dati, è il protocollo stesso a prevedere misure di mitigazione del rischio per la dignità e identità delle persone fisiche. La rilevazione in tempo reale della temperatura corporea è un accertamento sanitario che, se associato all’identità dell’interessato diviene un trattamento di dati personali (art. 4, par. 1 e 2 Regolamento(UE)2016/679). Per tale ragione non è ammessa la registrazione del dato relativo alla temperatura rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par. 1, lett. c) del Regolamento), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
VII. Segue. Tcnologie di controllo a distanza e prevenzione della salute sui luoghi di lavoro.
Nell’era della trasformazione tecnologica, il datore di lavoro invece che avvalersi di preposti che monitorino talune situazioni di rischio, potrebbe voler ricorrere all’utilizzo di macchinari e strumenti che si sostituiscano all’occhio umano. Siamo ormai assuefatti all’uso di tecnologie che all’ingresso e all’uscita dei locali effettuano il conteggio numerico delle persone e che, magari, emettono segnali al superamento di un prestabilito numero di persone contemporaneamente presenti in un certo ambiente oppure di applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina.
Negli ambienti produttivi, poi si stanno diffondendo apparecchiature ancor più raffinate e sofisticate che sfruttano la tecnologia a beneficio della prevenzione della salute e della sicurezza sui luoghi di lavoro, ma che al contempo possono risultare particolarmente invasive della sfera di libertà e dignità protetta dallo Statuto dei lavoratori e dalla Carta Costituzionale (art. 41, comma 2). Si pensi ai cd. wearable, dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita, oppure ad apparecchiature, ancor più pervasive, come proxemics di Amazon. Si tratta di un software in funzione nelle aree comuni che serve a regolare la presenza e l’occupazione degli spazi e per assicurare il necessario distanziamento. Dal punto di vista tecnico proxemics si integra con il sistema di videosorveglianza e con un’applicazione (distance assistant) ed è in grado di analizzare le immagini catturate dalla videosorveglianza, che vengono appositamente sfocate (pixellate) per evitare l’identificazione dei lavoratori. Quando il software rileva che la distanza tra i lavoratori è inferiore a due metri, misurando la distanza tra i pixel, emette un alert.
È noto che la disciplina di tali casi risiede nell’art 4 st. lav. che deve essere integrato, come prevede il comma 3, dalla disciplina privacy. Innanzitutto, va detto che il comma 1 della norma riformata dal Jobs act (art. 23 d.lgs. 151/2015) prevede la possibilità per il datore di lavoro d’installare impianti audiovisivi e altri strumenti per esigenze di sicurezza del lavoro, tra le quali rientra certamente la prevenzione del contagio. Le apparecchiature dunque, dovranno essere installate con l’assenso della/e RSU/RSA o con l’autorizzazione dell’Ispettorato del lavoro, i quali dovranno preoccuparsi di prevedere nell’accordo/autorizzazione che esse non realizzino un controllo a distanza surrettizio sull’attività lavorativa. Per garantire questa condizione è necessario in altre parole che le apparecchiature in questione non realizzino un trattamento di dati personali riferiti a persone fisiche identificate o identificabile né abbiano funzione di registrazione dei dati trattati. Ai lavoratori deve essere comunque data un’informativa specifica e adeguata e il datore di lavoro dovrà inserire tali dispositivi nella valutazione d’impatto privacy di cui all’art. 35 Reg.