hronline
     n. 8 anno 2020

La privacy nei luoghi di lavoro ai tempi del Covid-19

di Francesco Amendolito

In questo momento di emergenza dettata dall'incedere dell'epidemia da corona virus, in cui è sempre più impellente la necessità di acquisire informazioni in ordine alla propagazione del contagio,si staglia prepotentemente il ruolo della privacy e, per tale via, della effettività delle tutele poste a protezione della medesima.
In linea generale, una situazione di emergenza è in grado di limitare tutte le libertà fondamentali; si fa riferimento, a titolo esemplificativo, al blocco della libera circolazione su scala nazionale, resosi necessario al fine di contrastare la diffusione del virus.
Probabilmente una compressione così forte di tale libertà non si era mai verificata nel nostro Paese.
In virtù di tale contesto fattuale, consegue che possano ritenersi legittime talune limitazioni all'estrinsecazione piena del diritto alla protezione dei dati personali, il quale, per vero, non concretando un c.d. diritto-tiranno, è soggetto al contemperamento con altri diritti fondamentali, quale quello alla salute.
Il Garante della Privacy, in uno dei suoi pareri emanati all'alba dell'emergenza, ha configurato il diritto alla salutequale condizione giuridica che legittima la limitazione della privacy,laddove risulti indispensabile acquisire determinate informazioni, purché, tale restrizione venga effettuata in guisa proporzionale alle esigenze di contrasto e sia finalizzata al contenimento dell'emergenza.
L'obiettivo del Garante in questi giorni,quindi, è quello, di definire dei meccanismi che regolino la diffusione dei dati necessari, prediligendo misure meno invasive e non irreversibili, per tale via assicurando ai diretti interessatile garanzie minime.
Con riferimento al contesto lavorativo, sulla base del suddetto principio ed al sol fine di scongiurare iniziative "fai da te" che vedano i datori di lavoro raccogliere a priori, attraverso indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti, è stato siglato il 14 marzo 2020 un "Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro", contenente linee guida approvatedai sindacati e dalle associazioni di categoria.
Il suddetto Protocollo istituisce, tra gli altri, l'obbligo per il datore di lavoro di sottoporre il personale alcontrollo della temperatura corporea prima dell'ingresso nei locali aziendali.
All'esito di tale controllo, ai lavoratori la cui temperatura dovesse risultare superiore a 37,5 gradi, verrà impedito l'accesso all'azienda e gli stessi saranno indirizzati al proprio medico curante per seguirne le indicazioni.
Sotto il profilo privacy, la temperatura corporea del lavoratore rappresenta un dato personale relativo alla sua salute, rientrante nella categoria dei dati particolari ex art. 9, comma 1, GDPR, per i quali solitamente è prescritto un generale divieto di trattarli, se non previo consenso dell'interessato.
Tuttavia, il Regolamento, al comma 2, lett. b) del medesimo art. 9, prevede che tale divieto possa essere derogato allorquando <>.
Ciò significa che il trattamento dei dati relativi alla salute in caso di pandemia è consentitoanche senza il consenso dell'interessato, in quanto rispondesia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell'interessato stesso.
Ciò chiarito, affinché il trattamento sia considerato del tutto lecito, il datore di lavoro deveprogrammare la raccolta delle informazioni sulla temperatura corporea del personale, definendo misure di sicurezza e organizzative adeguate a proteggere i dati secondo metodiche di privacy by design di cui all'art. 25 del GDPR.
In sostanza il datore di lavoro ha l'onere di:

  • individuare i soggetti preposti al rilevamento della temperatura autorizzandoli in maniera specifica e fornendo loro le istruzioni operative da rispettare per la protezione delle informazioni che raccolgono;
  • rilevare la temperatura e registrare il dato acquisito soltanto nell'eventualità in cui risulti necessario documentare le ragioni che hanno impedito l'accesso ai locali aziendali. Solo in tal caso, quindi, sarà possibile identificare l'interessato e registrare il superamento della soglia di temperatura;
  • fornire l'informativa sul trattamento dei dati personali ai sensi dell'art. 13 GDPR, la quale, come pure previsto all'art. 12, comma 1 del GDPR, potrà essere fornita anche oralmente.
L'informativa a cui fa riferimento il Protocollo è quindi specifica per il trattamento dei dati consistente nella rilevazione della temperatura del personale per finalità di contenimento del Coronavirus; pertanto deve considerarsi limitata solo a questa operazione.
Nello specifico, alla voce:
  • finalità del trattamento potrà essere indicata la dicitura prevenzione dal contagio da COVID-19;
  • Quale base giuridica potrà essere indicata la dicitura implementazione dei protocolli di sicurezza anti-contagio ai sensi dell'art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR).
Alla luce di tanto, in ossequio al principio di limitazione della finalità stabilito dall'art. 5, comma 1, lett. b) del GDPR, il Protocollo suggerisce che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e, pertanto, non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative.
Con ciò si intende che sarà considerata lecita la trasmissione dei dati da parte di un datore di lavoro all'Autorità sanitaria, al fine di ricostruire la filiera degli eventuali "contatti stretti" di un lavoratore risultato positivo al COVID-19, ma non anche ad altri soggetti.
Per quanto riguarda, invece, i tempi stabiliti per l'eventuale conservazione dei dati exart. 13, comma 2, lett. a) del GDPR si farà riferimento al termine dello stato d'emergenza.
L'informativa, inoltre, deve essere consegnata non solo nei casi di rilevamento della temperatura, ma anche qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l'assenza di contatti, negli ultimi quattordici giorni, con soggetti risultati positivi al COVID-19, poiché, anche in siffatte evenienze, l'acquisizione della dichiarazione costituisce un trattamento dati.
A tal fine, in ossequio al principio della minimizzazione dei dati previsto dal GDPR, è consentito raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.
A titolo esemplificativo,laddove si richieda una dichiarazione inerente:
  • ai contatti con persone risultate positive al COVID-19, occorrerà astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva;
  • alla provenienza da zone a rischio epidemiologico, sarà necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
A tal proposito il Garante ha chiarito che le informazioni raccolte dai datori di lavoro servono solo a rilevare eventuali sospetti di contagio da porre all'attenzione del personale qualificato sanitario e di quello appartenente alla protezione civile.
Solo a questi ultimi, in qualità di organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate, spetta l'accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e ai recenti spostamenti di ogni individuo.
Il protocollo, infine, stabilisce che il datore di lavoro, in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicuri modalità tali da garantire la riservatezza e la dignità del lavoratore.
Inoltre, le medesime garanzie devono essere assicurate sia nel caso in cui il lavoratore comunichi all'ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 sia nel caso di allontanamento del lavoratore che, durante l'attività lavorativa, sviluppi febbre e sintomi di infezione respiratoria.
In conclusione, appare palese come si stia cercando il più possibile di ricondurre le scelte emergenziali all'interno di una cornice giuridica compatibile conl'ordinamento interno ed Europeo.
Le considerazioni su esposte accedono alla conclusione che il rispetto del diritto alla tutela dei dati personali deve essere una priorità anche in questa situazione di emergenza.
In tal senso, è d'uopo soffermarsi anche sulle riverberazioni che l'esecuzione del lavoro in regime di smart working ha sul diritto alla privacy.
Il Protocollo condiviso di regolamentazione per il contrasto e il contenimento della diffusione del virus COVID 19 negli ambienti di lavoro adottato in data 14 marzo 2020 dalle parti sociali su invito del Governo Italiano ha tenuto conto della necessità di applicare rapidamente il lavoro agile, già previsto nel nostro ordinamento dalla legge 81/2017.
Ai nostri fini, rileva l'art. 8 del predetto Protocollo, rubricato "Organizzazione Aziendale (urnazione, trasferte e smart-work, rimodulazione dei livelli produttivi)" che prevede, fra l'altro, l'utilizzo dello smart-working, da parte delle imprese, per tutte quelle attività che possono essere svolte <>.
Ai sensi dell'art. 21 della legge 81/2017 il lavoro agile o smart-working consente al lavoratore subordinato di svolgere la propria attività lavorativa in assenza di vincoli di orario e di luogo di lavoro, a seguito della sottoscrizione di uno specifico accordo con il datore.
L'utilizzo di questo modello lavorativo in questi giorni, nella maggioranza dei casi, è avvenuto in assenza dell'accordo e, a maggior ragione, pertanto, deve integrarsi con la normativa riguardante la riservatezza ed il trattamento dei dati personali.
Al riguardo uno dei profili da analizzare afferisce al diritto alla privacy con riferimento ai dati aziendali nella prospettiva della tutela dei clienti e dei fornitori della società datrice di lavoro.
Al fine di consentire al lavoratore "a distanza" di poter adempiere agli obblighi lavorativi, il datore di lavoro deve mettere a disposizione di questi tutta la documentazione (es. files, cartelle di lavoro) e le informazioni necessarie (es. dati del cliente o del fornitore) suscettibili di protezione da parte del titolare del trattamento (ovverosia il datore di lavoro stesso).
In via preliminare, va detto che il datore potrebbe trovare un valido ausilio, per delimitare le informazioni ed i dati sensibili, negli strumenti previsti dal GDPR, ovverossia nel registro dei trattamenti, ex art 30 GDPR e nella valutazione dell'impatto dei trattamenti ex art. 35 del GDPR.
La criticità sottesa alla condivisione delle cartelle e dei files (mediante VPN o Cloud) si concreta nell'assenza di un controllo diretto del datore/titolare trattamento dati sul corretto utilizzo degli stessi.
Al riguardo, infatti, è può ragionevolmente affermarsi che i sistemi di protezione (es. antivirus, firewall) di una azienda sono molto più sofisticati rispetto a quelli presenti sui dispositivi (tablet, laptop, smartphone) del singolo lavoratore.
Per vero, se tutto questo era un problema che il datore ed il lavoratore "a distanza" hanno potuto regolare mediante un "accordo di lavoro agile" ex art. 21 della l. 81/2017 e/o con la previsione di policy aziendali ad hoc, la celerità con cui si è dovuto scegliere lo smart-working al fine di limitare gli spostamenti nell'emergenza Covid-19, ci spinge a chiederci se in effetti si stiano rispettando le regole base, a tutela dei dati, per evitare il c.d. DataBreach (artt. 33-34 GDR).
In tal senso è opportuno evidenziare alcuni accorgimenti che, in generale, e vieppiù in caso di lavoratore "a distanza", si dovrebbero tenere: lock screen del device nel caso di allontanamento dallo stesso(anche al fine di evitare acquisizioni di informazioni di dati sensibili da parte di familiari e/o terzi); password alfanumerica del device e dell'account (sequenza di numeri e lettere di almeno otto caratteri da modificare con cadenza periodica); non permettere ad altri utenti di utilizzare il proprio account; aggiornamento del software antivirus aziendale, da fornire anche ai lavoratori; non utilizzare supporti esterni (es. usb); non salvare sul proprio device i file aziendali.
In caso di possibile perdita dei dati (es. smarrimento, furto del device) il lavoratore dovrà avvisare il Titolare del Trattamento, che notificherà la violazione all'autorità di controllo entro settantadue ore (art. 33 GDPR); inoltre, dovrà essere avvertito l'interessato se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 34 GDPR).
Si può, pertanto, affermare la sussistenza di metodi e strumenti idonei a prevenire o limitare la violazione dei dati sensibili; tuttavia, a tal fine, è necessario, da un lato, che il datore di lavoro abbia responsabilizzato i propri dipendenti nel tenere condotte tese a garantire la salvaguardia dei dati medesimi e, dall'altro, che li abbia dotati di presidi adeguati.
Le riflessioni innanzi esposte, tanto in punto di nuovi obblighi posti in capo al datore di lavoro dal Protocollo del 14 marzo u.s., quanto sul crinale della protezione dei dati sensibili nella prospettiva dello smart working, accedono alla conclusione che il diritto alla privacy è una posizione giuridica che, in virtù della plasmabilità degli strumenti giuridici posti a sua egida, può e deve trovare concreta tutela anche in un contesto emergenziale qual è quello attuale.

Prof. Avv. Francesco Amendolito - Presidente AIDP Puglia 

Documento riservatezza