contrasto alla pandemia

Tecnologie anti-covid sul lavoro, così l’azienda rispetta la privacy

La gamma di tecnologie volte a contrastare l’epidemia Covid-19 sui luoghi di lavoro è molto ampia, ma occorre attuare un efficiente processo di selezione e implementazione, idoneo ad assicurare la conformità dello strumento prescelto alla vigente normativa di data protection. Vediamo quali sono gli accorgimenti da adottare

23 Giu 2020
Nicola Sandon

Associate di Tonucci & Partners

Alessandro Vasta

Partner, Tonucci & Partners

Photo by Ashkan Forouzani on Unsplash

Termoscanner, app di contact tracing basate su GPS o tecnologia Bluetooth, dispositivi wearable per favorire il distanziamento tra i dipendenti, algoritmi per il calcolo del livello di esposizione al contagio, biometria per accertare che il soggetto indossi i dispositivi di protezione: ad oggi il mercato, attirato dalla possibilità di ampi margini di guadagno, offre alle aziende pubbliche e private di tutto il mondo un’ampia gamma di soluzioni tecnologiche innovative destinate a contrastare l’epidemia legata al virus Covid-19, appositamente studiate e sviluppate per trovare applicazione all’interno dei locali aziendali e degli stabilimenti produttivi.

Non bisogna però dimenticare che l’impiego di tali soluzioni implica necessariamente il trattamento, più o meno estensivo, dei dati personali della forza lavoro, ricadendo pertanto nell’ambito di applicazione del Regolamento (UE) 2016/679 (il “GDPR”). In questa concitata “fase 2” vi è infatti il concreto rischio che il management aziendale, stretto tra l’esigenza di assicurare una pronta ripartenza dell’operatività e la necessità di tutelarsi dalla potenziale responsabilità datoriale in caso di contagio sul luogo di lavoro, sottovaluti nel suo processo di selezione della soluzione da implementare le implicazioni derivanti dal trattamento dei dati personali, anche particolari, dei dipendenti, non garantendo un corretto bilanciamento tra le esigenze aziendali e la ragionevole aspettativa di protezione della vita privata di questi ed esponendosi in tal modo al rischio di sanzioni derivanti dalla violazione della vigente normativa in materia di protezione dei dati personali. Il rischio appare ancor più rilevante se si considera che il trattamento dei dati personali dei dipendenti da parte del datore di lavoro richiede sempre l’applicazione di particolari cautele, in considerazione dello squilibrio della posizione tra tali soggetti, dovuto alla dipendenza dei secondi nei confronti dei primi[1].

Vediamo dunque insieme quali sono quindi gli step da seguire e gli accorgimenti da adottare al fine di riservare il giusto rilievo agli aspetti connessi alla data protection nel processo di selezione e successiva implementazione delle soluzioni tecnologiche destinate a creare un ambiente di lavoro sicuro, al fine di arginare i rischi derivanti dai trattamenti di dati personali a queste sottesi e razionalizzare il processo stesso.

Assessment preventivo delle tecnologie anti-covid in azienda

Una volta individuata con chiarezza l’esigenza che spinge l’ente datoriale a dotarsi di una soluzione tecnologica per contrastare il contagio (ad es. controllo degli accessi, rispetto delle distanze di sicurezza all’interno dei locali aziendali, verifica dell’utilizzo dei DPI, ecc.), è opportuno sottoporre qualsiasi strumento l’azienda intenda adottare ad una attenta disamina preventiva in merito ai potenziali rischi in materia di protezione dei dati personali. Ove l’azienda abbia designato un Responsabile per la Protezione dei Dati, è consigliabile coinvolgerlo sin dalle prime fasi dell’assessment, di modo da potersi avvalere appieno della sua professionalità e competenza, attenuando grandemente il rischio di trovarsi ad affrontare i medesimi temi più volte nel corso del processo di selezione.

L’assessment interno – in linea con il principio di privacy-by-design – consentirà di individuare le criticità derivanti dal trattamento e stimarne la gravità e la probabilità, pratica che si rivelerà utile non solo per comprendere se le tecnologie prescelte siano proporzionate rispetto agli obiettivi del datore di lavoro, ma anche per individuare le misure e le cautele da adottare nella fase di implementazione per limitare o ridurre la portata e l’impatto del trattamento dei dati (ad es. evidenziando la necessità di sottoscrivere un accordo con le rappresentanze sindacali). Particolare attenzione dovrebbe poi essere dedicata alla attendibilità ed accuratezza della tecnologia oggetto di assessment: ove il fornitore non sia in grado di prestare sufficienti garanzie in termini di affidabilità e sicurezza, sarà probabilmente opportuno orientarsi verso altre soluzioni (ad esempio nel caso in cui il fornitore non possa dimostrare di aver sottoposto gli algoritmi implementati da un’app di contact tracing al vaglio di personale qualificato).

La valutazione permetterà inoltre al datore di lavoro di verificare se esistano alternative alla soluzione oggetto di analisi in grado di garantire simili risultati seppur prevedendo un trattamento meno invasivo di dati personali. Si pensi all’azienda che sceglie di avvalersi di uno smartwatch per verificare lo stato di salute dei propri dipendenti prima dell’ingresso in azienda: in adempimento ai principi di minimizzazione e privacy-by-default, a valle della valutazione il datore di lavoro dovrebbe scegliere di affidarsi al fornitore in grado di settare il dispositivo di modo da raccogliere unicamente la temperatura dell’interessato, omettendo di registrare altri dati sanitari, quali ad esempio il battito cardiaco. Allo stesso modo, in caso di implementazione di un sistema di tracciamento dei contatti, sarà sempre preferibile avvalersi di sistemi che impieghino la tecnologia Bluetooth rispetto ai dati del GPS[2].

L’approccio sopra descritto è in grado di ingenerare un ulteriore vantaggio per il datore di lavoro: la consapevolezza acquisita in fase di assessment consentirà infatti di razionalizzare la scelta, evitando di sopportare costi rilevanti per servizi assolutamente eccessivi rispetto alle reali necessità dell’impresa (in un’azienda produttiva in cui non sia problematico garantire il distanziamento, sarebbe poco sensato ricorrere ad un’app di contact tracing).

Bisogna tenere in considerazione che l’utilità di questa prima analisi risulterà condizionata dal grado di collaborazione degli eventuali fornitori o provider; in assenza di idonea documentazione tecnica e commerciale e di adeguato supporto, sarà senz’altro più complesso formulare un parere compiuto in merito al prodotto da implementare. Questa fase “esplorativa” può dunque rivelarsi un buon banco di prova per testare la professionalità della controparte, nonché la sua sensibilità per quanto riguarda gli aspetti legati alla privacy.

Individuazione della base giuridica del trattamento

Altro tema di fondamentale importanza è la corretta individuazione della base giuridica su cui il datore di lavoro intenda fondare i trattamenti dei dati dei dipendenti sottesi alla soluzione tecnologica prescelta. Fondamentale non solo perché in caso di errore il trattamento risulterebbe illecito, esponendo l’impresa ad un elevato rischio di sanzioni, ma anche in considerazione del fatto che il contesto lavorativo presenta alcune peculiarità in materia di basi giuridiche applicabili, in virtù della qualificazione dei dipendenti quali categoria “vulnerabile” di interessati[3].

Un supporto in tale ambito viene dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo 2020, nella versione aggiornata al 24 aprile 2020, che identifica come base giuridica “l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020”. Il succitato protocollo si riferisce però a due particolari trattamenti di dati personali, con caratteristiche ben delimitate, corrispondenti alla misurazione della temperatura ed alla sottoposizione al dipendente di appositi questionari in merito alla presenza di sintomi o di esposizione alla presenza di soggetti sintomatici al solo fine di regolamentare l’accesso ai locali aziendali. Ne consegue che tutti i trattamenti diversi ed ulteriori rispetto a quelli descritti (ad es. tracciamento dei contatti, assegnazione di un livello di rischio di esposizione, ecc.) dovranno superare un “test di compatibilità” con tale base giuridica o, in alternativa, essere soggetti ad altra specifica base giuridica, nel rispetto dell’art. 6 del GDPR. Non solo: prevedendo la maggior parte delle soluzioni ad oggi sul mercato il trattamento di dati relativi alla salute, sarà inoltre indispensabile per i titolari individuare anche una delle espresse deroghe al generale divieto di trattare categorie particolari di dati personali riportate all’art. 9 del GDPR.

Anche la gestione di tali problematiche richiederà il supporto da parte degli eventuali provider di servizi coinvolti. Si pensi all’implementazione di un’applicazione mobile che riunisca al suo interno più funzioni, ad esempio permettendo ai dipendenti di immettere il dato relativo alla propria temperatura prima di recarsi a lavoro e di attuare un sistema di contact tracing delimitato ai locali aziendali: è probabile che l’app necessiti di richiedere all’utente vari consensi in diverse fasi di utilizzo (ad es. al momento dell’installazione per avere accesso ai dati del dispositivo e per autorizzare il processo decisionale automatizzato connesso all’inserimento del dato relativo alla temperatura ovvero in un momento successivo per comunicare al server centrale la propria positività al virus e consentire il funzionamento della finalità di tracciamento). Il provider sarà pertanto tenuto a fornire un’app che consenta un elevato grado di personalizzazione, nel rispetto delle esigenze del committente.

Preme sottolineare come le criticità sopra indicate non debbano confondersi con la questione della facoltatività o meno dell’utilizzo da parte dei dipendenti della soluzione tecnologica prescelta dall’azienda: il Comitato Europeo per la Protezione dei Dati ha infatti chiarito che la volontarietà dell’utilizzo dell’app per il tracciamento dei contatti non implica “che il trattamento di dati personali […] debba fondarsi necessariamente sul consenso[4]”.

Rapporto con il fornitore

Nel caso in cui l’ente datoriale decida di avvalersi per l’elaborazione della soluzione tecnologica corrispondente alle proprie necessità di soggetti terzi, sarà senz’altro tenuto a sottoporre il fornitore ad attento scrutinio, verificando che esso sia in grado di offrire adeguate garanzie in materia di competenza, professionalità e capacità tecnica. Sarà inoltre opportuno assicurarsi di regolamentare il rapporto mediante apposito contratto scritto.

A seconda della tipologia di servizi offerti, il fornitore sotto un profilo privacy potrà assumere diversi ruoli, e tutte le possibili qualificazioni comportano rilevanti conseguenze ai sensi della vigente normativa. Nel caso in cui il fornitore agisca come responsabile del trattamento – ipotesi più probabile – l’azienda sarà tenuta a inserire nel contratto (o in altro atto separato) i contenuti indicati all’art. 28 del GDPR; qualora invece agisca come autonomo titolare, sarà tenuto a fornire idonea informativa agli interessati e potrebbe risultare opportuno per le parti sottoscrivere un accordo di condivisione dei dati (cosiddetto “data sharing agreement”) atto a disciplinare nel dettaglio lo scambio di dati tra le parti; ove assuma infine il ruolo di contitolare, i soggetti coinvolti saranno obbligati ex art. 26 del GDPR a predisporre uno specifico accordo di contitolarità, che individui le rispettive responsabilità..

È buona prassi sottoporre la contrattualistica tra fornitori e datore di lavoro all’analisi di personale o consulenti dotati di competenze adeguate, anche (e soprattutto) nel caso in cui la contrattualizzazione avvenga completamente in ambiente digitale, ad esempio mediante l’accettazione di condizioni generali pre-impostate dal fornitore e immodificabili.

Valutazione d’impatto delle tecnologie anti-covid in azienda

In considerazione del disposto dell’art. 35 del GDPR e di quanto riportato nell’“Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto” predisposto dal Garante per la protezione dei dati personali[5], è altamente probabile che il datore di lavoro sia tenuto a sottoporre il trattamento di dati dei dipendenti sotteso alla soluzione tecnologica prescelta ad apposita valutazione d’impatto sulla protezione dei dati. Peraltro, anche ove la valutazione d’impatto non risultasse espressamente obbligatoria a norma di legge, si suggerisce di procedervi in ogni caso, nel rispetto dei principi di responsabilizzazione e di protezione dei dati personali sin dalla progettazione.

La valutazione, da effettuarsi con il supporto del DPO (ove designato) ed in stretta collaborazione con gli eventuali provider, potrà ampiamente usufruire delle risultanze dell’assessment interno condotto nella fase di selezione della tecnologia e, ove si sia deciso di fondare uno o più trattamenti sul legittimo interesse del titolare, sarà l’occasione ideale per effettuare il bilanciamento di interessi richiesto a tal fine dalla normativa[6].

Nei casi in cui la soluzione prescelta dal datore possa risultare particolarmente invasiva (si pensi per esempio all’assegnazione a ciascun dipendente di un indice di rischio di contagio fondato su un apposito algoritmo che, in caso di registrazione di un rischio elevato, sia in grado di impedire al dipendente di timbrare il proprio cartellino e accedere dunque allo stabilimento), potrebbe essere consigliabile coinvolgere un campione rappresentativo di dipendenti nel processo di valutazione.

Il datore di lavoro dovrebbe poi seriamente tenere in considerazione l’idea di pubblicare il testo della valutazione d’impatto, anche semplicemente rendendolo disponibile ai propri dipendenti per estratto. Simili condotte contribuirebbero senz’altro a favorire il rapporto fiduciario con i lavoratori e risulterebbero apprezzabili anche sotto il profilo della trasparenza.

Normativa lavoristica

Nel caso in cui dall’applicazione della soluzione tecnologica prescelta dall’imprenditore per rispondere alle esigenze poste dal coronavirus derivi anche “la possibilità di controllo a distanza dell’attività dei lavoratori”, l’implementazione di una simile soluzione dovrà essere necessariamente preceduta da una consultazione con le rappresentanze sindacali ovvero, in caso di assenza di queste ultime, di una apposita autorizzazione dell’Ispettorato Nazionale del Lavoro[7]. È il caso dell’introduzione in azienda di un’applicazione mobile per il contact tracing digitale o di un dispositivo indossabile per il social distancing: la registrazione dei contatti tra dipendenti, per quanto sottoposta a adeguate misure di sicurezza quali la pseudonimizzazione, ben potrebbe essere impiegata dal datore di lavoro per attuare un sistema di sorveglianza, monitorando gli spostamenti dei lavoratori.

Si evidenzia come la violazione di tale obbligo non esponga solo il datore alle sanzioni penali previste dall’art. 38 dello Statuto dei Lavoratori, ma comporti di per sé solo l’illiceità dei trattamenti di dati personali effettuati dal titolare, aprendo la strada alle gravose sanzioni previste dal GDPR.

Trasparenza

La trasparenza verso i dipendenti in merito alle soluzioni tecnologiche impiegate costituisce uno degli adempimenti essenziali posti a carico del datore di lavoro sia dalla normativa in materia di data protection che da quella lavoristica. Il titolare dovrebbe sempre fornire ai dipendenti informazioni concise, trasparenti, intelligibili e facilmente accessibili, formulate con un linguaggio semplice e chiaro, in merito ai trattamenti effettuati. E questo a prescindere dall’invasività o dalla complessità del singolo trattamento: anche in caso di semplice misurazione della temperatura l’impresa dovrà rendere disponibile al lavoratore un’idonea informativa che presenti tutti i contenuti previsti dall’art. 13 del GDPR, prima di procedere con la rilevazione della stessa[8]. Nel caso poi in cui il trattamento preveda il ricorso ad un processo decisionale automatizzato, comprensivo della profilazione, sarà necessario fornire ai dipendenti informazioni pregnanti sulla logica applicata e le conseguenze rilevanti del trattamento.

Ove il datore di lavoro si avvalga di tecnologie innovative, la necessità di trasparenza diventa ancor più evidente in considerazione del fatto che tali tecnologie consentono la raccolta e l’ulteriore trattamento in maniera occulta di volumi rilevanti di dati personali, inclusi quelli relativi alla salute. Simile ragionamento può farsi nel caso in cui il titolare opti per soluzioni ad adesione volontaria: più i lavoratori sentiranno di avere un controllo sui propri dati personali, più alto sarà il tasso di adesione alle iniziative datoriali.

Giova ricordare che, nell’ipotesi in cui il titolare intenda fondare tutti o parte dei trattamenti di dati personali oggetto di disamina sulla base del consenso di questi, il puntuale rispetto degli obblighi in materia di trasparenza risulterà inoltre indispensabile per garantire la validità di tali consensi ai sensi dell’art. 7 del GDPR.

Sistema organizzativo interno

Una volta selezionata la tecnologia che risponda alle esigenze del datore di lavoro e completate le attività preliminari all’inizio del trattamento ad essa sotteso (quali ad esempio la valutazione d’impatto, la sottoscrizione dell’accordo sindacale e la predisposizione e messa a disposizione dell’informativa, ecc.), sarà onere del titolare porre in essere tutti quegli accorgimenti necessari ad adeguare la propria organizzazione interna alle novità introdotte: i soggetti abilitati ad accedere ai nuovi dati raccolti dovranno essere a ciò espressamente autorizzati, il registro delle attività di trattamento dovrà essere sottoposto ad aggiornamento e le eventuali procedure operative interne dovranno essere integrate di conseguenza.

Tenendo conto della natura, della complessità e della tipologia dei trattamenti in questione, potrebbe inoltre rendersi necessario prevedere apposite sessioni di formazione in merito all’utilizzo delle nuove tecnologie e/o all’insieme delle iniziative poste in essere dall’ente datoriale per garantire l’incolumità dei dipendenti sul posto di lavoro.

Rispetto dei principi di limitazione delle finalità di trattamento e di limitazione della conservazione

Tralasciando i casi estremi di trattamenti per loro stessa natura illeciti o non assistiti da adeguate misure di sicurezza, il rischio più rilevante nel momento in cui il datore di lavoro, spinto da questa situazione emergenziale, decida di implementare dei nuovi strumenti tecnologici che prevedano il trattamento dei dati personali dei dipendenti per la finalità di tutela dell’incolumità degli stessi, è che questi con il passare del tempo finiscano per essere asserviti a scopi diversi ed ulteriori (se non in diretto contrasto) rispetto a quello originario. La telecamera che verifica che il dipendente indossi correttamente la mascherina potrebbe essere impiegata per regolamentare gli accessi all’azienda sulla base di dati biometrici, i dispositivi wearable e le app venire modificate per tracciare gli spostamenti dei dipendenti e misurarne la produttività, la profilazione essere estesa ad ambiti totalmente diversi rispetto al rischio di contagio.

Per evitare questa “degenerazione” dei trattamenti, è opportuno che il datore di lavoro, sin da subito, si impegni:

  1. a non utilizzare i dati per finalità diverse da quelle originariamente previste e cristallizzate nella valutazione d’impatto e nell’informativa fornita ai lavoratori;
  2. a limitare la conservazione dei dati alla luce delle reali esigenze e solo per la durata della crisi legata al COVID-19, provvedendo successivamente alla cancellazione o anonimizzazione dei dati;
  3. a ripristinare lo status quo ante non appena cessato il contesto straordinario legato alla pandemia.

Si ricorda che, nel caso in cui il datore di lavoro intendesse proseguire alcuni dei trattamenti anche successivamente alla cessazione della fase emergenziale, o a modificare natura e finalità dei trattamenti durante la stessa avviati, sarebbe tenuto a ripercorrere tutto il processo sinora descritto, a partire dall’assessment preventivo per concludere con la riorganizzazione interna.

Conclusioni

L’impianto legislativo ad oggi applicabile in materia di data protection risulta connotato da una flessibilità tale da consentire ai datori di lavoro di adottare un’ampia varietà di misure in assenza di particolari restrizioni, facendo leva sulla riconosciuta necessità di proteggere il patrimonio aziendale e la tutela e l’incolumità dei lavoratori. Ciononostante, la situazione emergenziale derivante dalla pandemia globale non rappresenta una valida giustificazione per derogare in toto ai principi fondamentali in materia di protezione dei dati di cui all’art. 5 del GDPR, favorendo l’avvio di processi di monitoraggio intrusivo ed incontrollato dell’attività degli interessati che trascendano dalla precipua finalità di prevenire il contagio: il trattamento dei dati sul posto lavoro, dopotutto, deve sempre configurare una risposta proporzionata ai rischi che il datore di lavoro si trova a gestire.

Il rispetto degli step descritti nel presente articolo consente di porre in essere un efficiente processo di selezione e implementazione di soluzioni tecnologiche innovative dedicate al contrasto al coronavirus, idoneo ad assicurare la conformità dello strumento prescelto alla vigente normativa di data protection, razionalizzando allo stesso tempo l’impiego di risorse economiche ed umane richiesto a tal fine.

  1. In tal senso v. ex multis il “Parere 2/2017 sul trattamento dei dati sul posto di lavoro” dell’8 giugno 2017 adottato dall’oggi soppresso Gruppo di lavoro articolo 29 per la protezione dei dati.
  2. In tal senso v. le “Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19” del 21 aprile 2020 adottate dal Comitato Europeo per la Protezione dei Dati.
  3. “è estremamente improbabile che il consenso costituisca una base giuridica per il trattamento dei dati sul posto di lavoro, a meno che i dipendenti non possano rifiutarsi di concederlo senza subire conseguenze negative”, Gruppo di lavoro articolo 29 per la protezione dei dati, op. cit..
  4. Cfr. “Lettera della Presidente del Comitato Europeo per la Protezione dei Dati alla Commissione europea sul Progetto di linee-guida in materia di app per il contrasto della pandemia dovuta al Covid-19” del 14 aprile 2020.
  5. V. provvedimento del Garante per la protezione dei dati personali n. 467 dell’11 ottobre 2018.
  6. A tal proposito v. il “Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE” del 9 aprile 2014 adottato dal Gruppo di lavoro articolo 29 per la protezione dei dati.
  7. Art. 4, Legge 20 maggio 1970, n. 300.
  8. Come confermato dal “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020 e s.m.i..

@RIPRODUZIONE RISERVATA

Articolo 1 di 3