“Coronavirus, fase 2: attenzione alle iniziative ‘fai da te’ nel trattamento dei dati personali”, Il Fatto Quotidiano.
Il Fatto Quotidiano, 23 aprile 2020.
È notizia di questi giorni che la Ferrari adotterà, in previsione della riapertura dei propri stabilimenti, un Piano post emergenza sanitaria, denominato “Back on track”, che garantirà, secondo quanto dichiarato dall’azienda, la continuità dei processi produttivi nel rispetto del diritto alla salute e alla privacy dei propri dipendenti.
Con specifico riferimento alla privacy, il piano prevederà uno screening dei dipendenti su base volontaria, con esami del sangue diretti a verificare il loro stato di salute in relazione all’eventualità di un possibile contagio da Coronavirus, estendibile ai familiari e ai conviventi dei lavoratori, oltre alla successiva possibilità, per ciascun collaboratore, di servirsi di una App che garantirà la tutela dei dipendenti mediante il tracciamento dei contatti dei singoli lavoratori.
Tutto ciò, dichiara l’azienda, nel rispetto della privacy individuale, assicurata da una gestione dell’applicazione esterna ed estranea a Ferrari.
Pur in mancanza di ulteriori dettagli tecnici che consentano di esprimersi sulla conformità del piano Back on Track alla normativa sulla protezione dei dati personali, l’annuncio sopra riportato offre comunque lo spunto per alcune brevi riflessioni.
In primo luogo, anche se si tratta di un atto privo di valore cogente, è utile prendere le mosse dal comunicato stampa dell’Autorità Garante per la protezione dei dati personali del 2 marzo 2020, il quale, in relazione all’attuale emergenza da Covid-19, diffida i datori di lavoro “dall’effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”.
L’obbiettivo, tra gli altri, è quello di evitare che le aziende arrivino a disporre, direttamente o indirettamente, di informazioni dei propri dipendenti inerenti allo stile di vita, alle patologie in corso, alla predisposizione genetica a contrarre malattie, alla possibilità di procreazione etc.
Pertanto, nella predisposizione dei modelli organizzativi necessari ad affrontare la crisi sanitaria, i datori di lavoro dovranno attenersi scrupolosamente ai principi stabiliti dalla legge.
Anzitutto, il principio di “limitazione del trattamento”, previsto dall’art. 5 co. 1 lett. b GDPR, in osservanza del quale il datore di lavoro ha l’obbligo di trattare i dati sensibili raccolti nell’ambito dell’attuale emergenza limitatamente al fine di evitare il contagio dei lavoratori.
A tal fine, sarà necessario che le aziende predispongano un sistema di misure tecniche che consenta, come impostazione predefinita, di estrarre dati limitati e pertinenti a quest’unica finalità, con immediata cancellazione dei dati inconferenti con il rischio di contagio da Coronavirus (art. 25 GDPR).
Va detto, inoltre, che il datore di lavoro, in qualità di titolare del trattamento, è responsabile nei confronti dei propri dipendenti non solo per i trattamenti illeciti svolti nell’ambito della propria organizzazione aziendale, ma altresì per quelli svolti da enti esterni nominati a farlo per suo conto, i quali, non di rado, sono enti privati che hanno nella data analysis il proprio core business.
In particolare, il datore di lavoro, dopo essersi assicurato che questi soggetti prestino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR), dovrà stabilire la durata, la natura e la finalità del trattamento.
Un ulteriore profilo di analisi è quello relativo al consenso.
A questo proposito, con specifico riferimento all’ambito lavorativo, il Comitato Europeo per la Protezione dei Dati ha affermato che il consenso non può essere considerato espressione di una volontà libera, poiché il diniego del lavoratore “potrebbe causare allo stesso un pregiudizio reale o potenziale”, suggerendo invece di valutare quale base legale del trattamento, tra l’altro, il ricorso a disposizioni normative o contrattuali (Opinion 2/2017).
Laddove pertanto un’azienda intenderà predisporre un piano di sicurezza anti contagio che preveda la raccolta dei dati personali dei propri dipendenti, non potrà essere il consenso la base giuridica su cui fondare il trattamento, ma occorrerà eventualmente individuare una disposizione di legge che la autorizzi espressamente.
Senonchè, ad oggi, le uniche disposizioni autorizzative di trattamenti di dati dei lavoratori finalizzate al contenimento del contagio sono quelle contenute nel Protocollo sottoscritto dal Governo e dalle parti sociali il 14/3/2020, le quali si limitano a prevedere la facoltà (obbligo, in ipotesi di cantieri edili) per il datore di lavoro di rilevare la sola temperatura corporea dei dipendenti.
Si versa pertanto in una fase particolarmente caotica e mutevole dell’emergenza, in considerazione della quale sembra consigliabile, anche sulla scorta di quanto affermato dall’Autorità Garante con il comunicato stampa del 2 marzo 2020, operare nei limiti di quanto consentito dal Protocollo, senza “fughe in avanti” di sorta.
Ciò, anche al fine di consolidare un metodo di contenimento del virus nei luoghi di lavoro efficace ed uniformemente applicabile in ogni azienda, pur con i necessari adattamenti alle singole realtà produttive, evitando nel contempo che i dati dei cittadini e dei lavoratori divengano valore di scambio per il soddisfacimento di interessi privati.