PRIVACY E LAVORO AL TEMPO DELLA PANDEMIA

La pandemia che da settimane investe anche il nostro paese, più nota come Covid-19, ha avuto un’incidenza inevitabile anche sui rapporti di lavoro, in special modo sulla privacy dei lavoratori subordinati. Invero alla luce del protocollo sottoscritto in data 14 marzo 2020 tra le parti sociali e la Presidenza del Consiglio dei Ministri concernente le misure di sicurezza da attuare all’interno dei luoghi di lavoro, molte realtà aziendali hanno per contro optato per il lavoro agile, c.d. Smart Working, legittimo compromesso atto a consentire il rispetto della normativa privacy e la garanzia di tutele primarie dei lavoratori.

È del 9 aprile 2020 e disponibile sul sito dell’Autorità Garante Privacy al link garanteprivacy la versione aggiornata della “Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da

Covid-19 aventi implicazioni in materia di protezione dei dati personali, la quale tra le varie sezioni ricomprende quella dedicata al Lavoro.

La tematica del lavoro è evidentemente molto delicata sotto molteplici profili, in particolare però, con riferimento al trattamento dei dati personali nei luoghi di lavoro; a tal proposito è utile dare conto di alcuni aggiornamenti concernenti i provvedimenti varati da parte del Governo e del Garante Privacy, da ultimo la Sezione “Lavoro” contenuta nella Raccolta sopramenzionata, la quale risulta, almeno per il momento, l’ultimo tassello. Di seguito si elencano i più rilevanti:

  • "Comunicato stampa" del Garante sul trattamento di dati personali in relazione alla prevenzione del cd. “Coronavirus” del 2 marzo 2020;
  • successivi provvedimenti d’urgenza adottati dal Governo (in particolare, il D.L. 23 febbraio 2020, n. 6 e i relativi DPCM dell’8 e 9 marzo 2020);
  • D.L. 9 marzo 2020, n. 14 che, precisa al secondo comma che “la comunicazione dei dati personali a soggetti pubblici e privati diversi da quelli di cui al comma 1” (ossia i soggetti operanti nel Servizio nazionale di Protezione civile) “nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del GDPR” (trattasi cioè di dati comuni che non sono categorie particolari – sensibili- di dati, come lo sono, nella fattispecie, quelli relativi alla salute) “è effettuata nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto”;
  • il DPCM dell’11 marzo ed in particolare l’art. 1 n. 7;
  • il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo”che ha previsto al comma 2, tra molteplici misure da adottare a cure delle imprese, che “Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro”.
  • infine, “Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali” aggiornata al 9 aprile, che alle pagg. 80-107 è dedicata al “Lavoro”.

Di certo emerge da tale susseguirsi di interventi legislativi e non, volti a contemperare gli interessi in gioco, quali il diritto alla salute del lavoratore e la privacy, che si tratta di una tematica non facile da regolamentare nel dettaglio per le sue numerose implicazioni.

In questo intervento tuttavia, per questioni di brevità, si andrà ad approfondire la tematica della tutela della privacy in relazione alla sicurezza dei dati aziendali in regime di lavoro agile.

Il Protocollo condiviso tra parti sociali e il Governo siglato in data 14 marzo 2020 è intervenuto infatti a normare il contrasto e il contenimento della diffusione del virus COVID 19 nei luoghi di lavoro e ha previsto nell’ambito dello stesso anche il lavoro agile, formula inusitata nel nostro paese fino almeno a poche settimane fa, ma che in realtà nel nostro ordinamento era stata disciplinata con la legge 81/2017.

L’art. 1 n.7 lett. a) del DPCM 11 marzo 2020, poi trasposto nell’art. 8 del Protocollo, rubricato “Organizzazione Aziendale (Turnazione, Trasferte E Smart- Work, Rimodulazione Dei Livelli Produttivi)” prevede l’utilizzo dello smart - working, “da parte delle imprese, per tutte quelle attività che possono essere svolte presso il domicilio o a distanza […]”.

Come si diceva, la legge 81/2017 all'art. 21 definisce il lavoro agile o “smart- working” come quella forma di svolgimento dell’attività da parte del lavoratore subordinato in assenza di vincoli di orario e di luogo di lavoro, a seguito della sottoscrizione di uno specifico accordo con il datore. A questo proposito va fatto notare che l’attuazione di questo modello lavorativo da parte di molte aziende, almeno nella maggioranza dei casi, è avvenuto con tutta probabilità in assenza dell’accordo richiesto, ragion per cui il datore dovrà fare attenzione ad apportare le debite integrazioni con la normativa privacy in ordine al trattamento dei dati personali rifacendosi al Regolamento UE 2016/679 (GDPR) e al D.lgs. n. 196/2003 e ss. mm. ii.

Venendo poi agli aspetti di attuazione pratica di tale schema contrattuale, al fine di creare le condizioni più confacenti per lavorare a distanza e espletare gli obblighi lavorativi discendenti da un contratto di lavoro subordinato, il datore di lavoro è chiamato a fornire al proprio dipendente gli strumenti tecnici e non, contenenti la documentazione come ad esempio cartelle di lavoro raccoglitori ovvero files, sia quindi le informazioni indispensabili, minimizzando così l’uso dei dati personali allo stretto necessario, in ossequio ai principi espressi dalla normativa europea in materia di privacy. Ciò infatti è cosa demandata al datore di lavoro, il quale secondo la normativa europea, si configura come il titolare del trattamento o data controller, ossia colui che “[…]  determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR) e in questo senso, aggiungerei, le misure di protezione tese a realizzare gli scopi per cui i dati vengono acquisiti nel rispetto della riservatezza dei terzi titolari dei dati in senso stretto.

In questo nuovo approccio responsabilizzante per il datore che agisce in qualità di Titolare del trattamento ex art. 4. par. 1, n. 7 GDPR, egli può farsi assistere da altre figure parimenti previste nel Regolamento UE 2016/679, ossia il Responsabile del Trattamento e il Responsabile della Protezione dei dati o Data Protection Officer, rispettivamente disciplinati agli artt. 28-29 e 37-39 GDPR.

In più, dal punto di vista degli strumenti che concretamente vengono in soccorso al datore di lavoro si segnalano il Registro dei Trattamenti, ex art. 30 GDPR e, nei casi più complessi, la Valutazione d’Impatto dei trattamenti, ex art. 35 del GDPR.

Nell’ipotesi di smart working, infatti, l’applicazione di queste misure tecniche e organizzative combinata con determinati apparecchi di sicurezza si possono rivelare degli abili aiuti per il datore, considerando che l’aspetto che impatta sulla privacy risiede proprio nella condivisione delle cartelle e files (mediante VPN o Cloud), il cui utilizzo da parte del dipendente non può essere direttamente supervisionato dal datore, contrariamente alla normalità.

Chiaro è che i sistemi di protezione quali ad esempio antivirus o firewall, ormai tra i più “elementari” adottati nei luoghi di lavoro, rimangono pur sempre più sicuri e “sofisticati” di quelli installati sui dispositivi ad uso domestico come il tablet o lo smartphone.

Certamente, trattasi di un riaffiorare di questioni, già sorte nel 2017 e disciplinate al tempo mediante un “accordo di lavoro agile” ex art. 21 della l. 81/2017 e/o con la previsione di policy aziendali ad hoc; oggi tuttavia, data l’emergenza COVID-19 che ha richiesto per ragioni di sicurezza il ricorso al lavoro agile, ci si chiede se effettivamente si riesca ad attuare queste regole base poste a garanzia del diritto fondamentale dell’individuo alla protezione dei dati, ovvero se nella ponderazione degli interessi sottesi si stia assistendo ad una soccombenza di uno sull’altro, con conseguente rischio, peraltro, di incorrere nel c.d. Data Breach (artt. 33-34 GDR), ossia nella violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione di tal guisa, sarebbe infatti pregiudizievole per la riservatezza, l’integrità ma anche la disponibilità di dati personali acquisiti per determinate finalità da parte del titolare del trattamento. 

In chiusura pertanto e con l’auspicio che questo intervento possa contribuire a fare applicare le misure necessarie nonché a rivolgersi agli addetti ai lavori, si segnalano degli accorgimenti che il lavoratore in regime Smart dovrebbe mettere in campo, e il datore di lavoro, dovrebbe mettere a sistema:

  • password alfanumerica personale del devicee dell’account (sequenza di numeri e lettere di almeno 8 caratteri da modificare con cadenza periodica);
  • non permettere ad altri utenti di utilizzare il proprio account;
  • non salvare sul proprio devicei file aziendali.
  • lock screen del devicenel caso di allontanamento dallo stesso;
  • aggiornamento del software antivirus aziendale, se possibile fornito anche ai lavoratori;
  • non utilizzare supporti esterni (es. usb, a limite possono essere consentite quelle criptate);
  • in caso di perdita dei dati (es. smarrimento, furto deldevice) il lavoratore deve avvisare il Titolare del Trattamento, che notificherà la violazione all'autorità di controllo entro 72 ore (v. Art. 33 GDPR). Deve essere avvertito l’interessato se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (v. Art. 34 GDPR).

La chiosa del discorso è la seguente: con una giusta dose di senso di responsabilità del datore e dei propri dipendenti si può evitare il rischio che i dati trattati a distanza vengano trafugati, è sufficiente a tal proposito adottare condotte idonee da parte dei soggetti coinvolti e dotarsi di strumenti tecnici e organizzativi all’altezza della tutela dei dati di tutti.

  Foligno 10/04/2020                                                                                                                   AVV. Chiara Brilli
                                                                                                                                                Studio Legale Ficola