Stampa

Pandemia, privacy, lavoro agile


gdpr compliance
icona

1.Pandemia e privacy

Da quando è iniziata la Pandemia, vi è stato qualcuno che ha dubitato della sopravvivenza del diritto alla protezione dei dati personali (la cosiddetta privacy) attese le limitazioni introdotte ed imposteci dal lockdown (si pensi alla tracciatura dei dati sanitari tra tamponi e contagi, agli incroci delle informazioni a scopo di studio epidemiologico, alle comunicazioni tra enti pubblici e privati dei dati dei cittadini positivi al COVID-19, etc).

La risposta delle Autorità Garanti europee, compreso il Comitato Ue per la protezione dei dati, lo European Data Protection Board (“EDPB”), è stata unanime: il diritto alla privacy è un diritto ineliminabile, comprimibile forse, da bilanciare con altri diritti quale quello della salute, ma non eliminabile. Non è infatti necessario rinunciare alle sue tutele: il Regolamento Generale UE 679/2016 (“GDPR”) sulla protezione dei dati personali prevede già meccanismi atti a rendere applicabile la protezione dei dati anche in contesti emergenziali.

2.Il caso Ungheria

Eppure, solo qualche giorno fa è stata pubblicata la notizia che il governo ungherese ha “sospeso la privacy”. Un decreto del Governo in data 4 maggio ha previsto la sospensione di alcuni fondamentali diritti previsti dal GDPR tra i quali l’esercizio dei diritti degli interessati, il cuore della tutela della persona del nuovo regolamento europeo. Durante la sessione dell’8 maggio 2020, l’EDPB ha chiesto all'autorità per la privacy ungherese di "fornire ulteriori informazioni sulla portata e la durata delle misure legislative adottate dal governo durante lo stato di emergenza per il coronavirus". Così in una nota l'Edpb invita il Garante per la privacy dell'Ungheria a esprimere un parere sulla "necessità e proporzionalità" delle misure intraprese dal governo e se ne discuterà nella imminente nuova riunione del Comitato Europeo.

La questione dunque non è del tutto chiusa, ma al momento pare essere isolata in Europa.

E l’Italia?

3.Italia e Covid -19

L’Italia invece, in un clima di incessante produzione legislativa emergenziale, ha addirittura voluto regolamentare nel famoso Protocollo Condiviso del 14 marzo 2020, integrato il 24 aprile scorso , il trattamento dei dati personali legato alla misurazione della temperatura disciplinando direttamente anche il contenuto della relativa informativa (siamo quasi all’eccesso di regolamentazione, non del tutto in linea con il ben noto principio di accountability che permea tutto il GDPR). Ma la tutela c’è, in linea con il GDPR che ha la suo centro la persona fisica in sé, una tutela democraticissima, che non fa differenze di ruolo o posizioni, mai, se non rispetto ai minori che vengono semmai vieppiù attenzionati.

Davvero una prova di democrazia dei nostri legislatori che permea oramai la vita delle istituzioni e delle aziende private.

Ebbene, se si è sempre potuto pensare che privacy volesse dire solo protezione dei dati del singolo, del suo diritto a poter decidere della sorte dei propri dati personali – “merce” divenuta in epoca di Big Data di un valore inestimabile - , non si vede dimenticare che privacy vuol dire anche tutela del lavoratore nei luoghi di lavoro, soprattutto in epoca di pandemica emergenza.

4.Statuto dei Lavoratori e legislazione emergenziale

A ricordarcelo l’Audizione del Presidente del Garante per la protezione dei dati personali del 13 maggio 2020 , che interviene sul tema delle implicazioni nel mondo del diritto del lavoro del GDPR in cui viene data, o meglio ricordata, una visione ben più “alta” del valore della privacy che dal singolo si sposta verso una dimensione altra, diventando – possibile - elemento di equilibrio tra i lavoratori ed il datore di lavoro. In un momento storico in cui si discute delle iniziative delle aziende di offrire “su base volontaria” a tappeto test sierologici a tutti i dipendenti, in cui si parla di strumenti che possono far suonare un allarme ove il distanziamento tra i lavoratori non sia rispettato, di app che possono seguire ogni starnuto dell’utilizzatore per poter valutare il suo “indice di rischiosità”, il nostro Garante dichiara che la scelta “… di focalizzare l’analisi sulla protezione dei dati dei lavoratori è ancor più significativa, perché sottende la consapevolezza della particolare vulnerabilità di tali soggetti, parti di un rapporto strutturalmente asimmetrico”.

E’ un revamping di principi noti, ma oggi, in quest’epoca di perenne ansia da contagio, quasi dimenticati.

Il Garante richiama lo Statuto dei Lavoratori creando un filo diretto tra il 1970 ed il 2020, un bel salto temporale, per ricordare che “…non a caso, le prime norme a tutela dell’autodeterminazione informativa sono state introdotte, nel nostro Paese, con lo Statuto dei Lavoratori”, per affermare che nel contesto in cui stanno vivendo le aziende oggi, in cui certamente è importante valutare le conseguenze del rischio sanitario da proteggere ai sensi dell’art. 2087 del codice civile oltre che del dlgs 81/08, non va dimenticata la “privacy” come forte elemento bilanciatore di disuguaglianze che un contesto emergenziale non può non produrre.

Dichiara che “ …la valenza garantista della protezione dati, in particolare in ambito lavorativo, è se possibile ancor più determinante, in ragione dell’estensione dei poteri datoriali per fini anzitutto di prevenzione dei contagi”.

E da qui una serie di altre considerazioni sul filo di quanto previsto dal 1970 in poi anche nelle ancora attualissime Linee Guida del Garante del 2007 sulla posta elettronica ed internet ( ) dove si legge nell’incipit “ compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d´uso nell´organizzazione dell´attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali”.

 

5.Oltre l’emergenza: esperienze aziendali di smart working da riprendere

Durante la fase di più acuta emergenza, lo smart working, per sue intrinseche e generali caratteristiche, è tornato particolarmente utile nel favorire la continuazione del lavoro con minimizzazione del rischio del contagio.

Ciò sia con riferimento ad aziende abilitate a continuare l’attività anche in tale fase che ad aziende la cui attività era sospesa e che solo avvalendosi del lavoro a distanza potevano continuare a produrre.

Come nella medesima fase si sia concretamente e nei fatti sviluppato lo smart working, non è dato sapere fino in fondo.

Per saperne di più, bisognerebbe procedere a delle specifiche indagini.

Pur in mancanza di una descrizione fattuale di quanto avvenuto, sul piano normativo è comunque possibile ed opportuno riflettere su più aspetti.

Nella fase di emergenziale, varie fonti normative - dpcm, norme legislative - hanno abilitato i datori di lavoro ad attivare lo SW anche in mancanza di accordi con i singoli lavoratori.

Nondimeno, gli accordi individuali sono rimasti una possibilità e, quindi, non può escludersi che ne siano stati stipulati.

Ove questo si sia verificato, anche in concomitanza con l’assenza di accordi collettivi in materia, significa che si è impiegato lo SW con l’ausilio solo della Legge. n. 81/2017.

Legge che, nel disciplinare lo smart working, da una parte, apporta direttamente degli adattamenti alla normale disciplina del rapporto di lavoro subordinato e, dall’altra, rinvia vari profili dello smart working a “fonti” negoziali e, in primo luogo, agli accordi individuali.

A fronte del timore che poteva accompagnarsi all’uscire da casa per andare al lavoro nel periodo di maggiore diffusione del virus, è facile che il consenso del lavoratore, di fatto, non sia mancato anche in assenza di un atto bilaterale scritto.

Invero, i rinvii operati dalla legge sono quanto meno ridondanti e, per qualche aspetto, anche impropri se intesi come mero rinvio all’autonomia individuale.

Ove invece si sia proceduto in carenza di accordi individuali, che secondo la l. n. 81/2017 sono da stipulare “… per iscritto ai fini della regolarità amministrativa e della prova …”, sono mancate regole condivise riguardo ad una serie di profili.

L’assenza di accordi individuali e anche di accordi collettivi infatti, quando ricorrente, può aver lasciato scoperti o, quanto meno, di incerta regolazione profili come, solo per fare un esempio, “…i tempi di riposo del lavoratore nonché le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro”.

Tornare alla normalità, per quanto riguarda lo smart working, richiede, pertanto, che si affronti, con piena consapevolezza, la questione di una sua adeguata regolazione.

Nella fase precedente l’emergenza, sono state diverse le aziende che hanno introdotto lo smart working con accordi aziendali o di gruppo di indubbia qualità, in cui lo smart working non è stato inteso come una mera modifica del luogo di lavoro ma, piuttosto, come un momento di riconsiderazione dell’organizzazione e dei processi lavorativi come dei ruoli e delle responsabilità rispetto ai risultati.

La lettura di questi accordi conforta l’idea, che in termini generali è enunciata della legge, secondo cui tramite lo smart working si può efficacemente realizzare lo “… scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro …”.

Pensare a nuovi accordi sullo smart working e individuare aggiustamenti eventualmente da introdurre ad accordi introdotti in via sperimentale, in modo da rafforzarli e metterli a regime trova, a ben vedere, ulteriori ragioni nella emergenza vissuta dal Paese e, in particolare, dalle imprese e dalle persone che con le imprese collaborano.

In queste prospettiva, ci sono buone pratiche a cui ispirarsi, ma anche aree di regolazione a cui prestare particolare attenzione.

L’avvento dell’emergenza ha consentito ai datori di lavoro di autorizzare il lavoro agile in tempi molto rapidi; l’emergenza, però, non ha permesso agli stessi, almeno nella gran parte dei casi, di organizzarsi in modo sicuro, addirittura portando a richiedere ai dipendenti l’utilizzo dei propri dispositivi personali in luogo dei dispositivi aziendali.

Ora, le aziende devono prendere forte coscienza del proprio ruolo di titolari del trattamento dei dati e valutare soluzioni in grado di “controllare” e quindi “regolamentare” i flussi di dati personali e i relativi trattamenti, a prescindere dalla proprietà e/o disponibilità materiale del device sul quale avvengono.

E’ fondamentale adottare, di conseguenza, adeguate procedure che disciplinino le modalità di svolgimento dell’attività lavorativa in smart working, per assicurare la sicurezza delle informazioni aziendali, ma anche per impedire ogni uso improprio dello stesso che possa portare a scenari di controllo sui dipendenti.

Concludendo l’audizione a cui si è fatto cenno, il Presidente dell’Autorità Garante Privacy ha ricordato che “Il ricorso intensivo alle nuove tecnologie per rendere la prestazione lavorativa non può, allora, rappresentare l’occasione per il monitoraggio sistematico e ubiquitario del lavoratore, ma deve avvenire nel pieno rispetto delle garanzie sancite dallo Statuto a tutela dell’autodeterminazione, che presuppone anzitutto un’adeguata formazione e informazione del lavoratore in ordine al trattamento cui i suoi dati saranno soggetti”.

Il diffuso ricorso allo smart working - generalmente necessitato e improvvisato - ha poi catapultato una quota significativa della popolazione in una dimensione delle cui implicazioni non sempre si ha piena consapevolezza e di cui va impedito ogni uso improprio.

Nel Discorso reso pubblico insieme alla Relazione sull’attività espletata dal medesimo Garante nel 2019, il tema dello smart working è ampiamente ritornato, con sensibilità verso le sue positive potenzialità ma anche richiamando condizioni e garanzie ritenute necessarie: “Potendo favorire una nuova articolazione dei processi produttivi in grado di accrescere efficienza e flessibilità, lo smart working potrebbe ragionevolmente divenire una forma diffusa, effettivamente alternativa, di organizzazione del lavoro. Per questa ragione andranno seriamente affrontati e risolti tutti i problemi emersi in questi mesi: dalle dotazioni strumentali alla garanzia di connettività, alla sicurezza delle piattaforme, all’effettività del diritto alla disconnessione, senza cui si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa: annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale”.

Un’altra area a cui prestare particolare attenzione è quella della sicurezza sul lavoro.

La redazione e la consegna dell’informativa di cui all’art. 22 della l. n. 81/2017, che può avvalersi del modello predisposto dall’Inail, costituiscono passaggi essenziali, ma è da valutare l’opportunità che gli accordi in ipotesi stipulati contengano appropriate clausole anche sul tema della sicurezza.

Francesca Gravili Partner Fieldfisher Angelo Pandolfo Partner Fieldfisher