“Obbligo vaccinale: come si agirà nei settori non sanitari? Ecco cosa prevede il decreto”. Il Fatto Quotidiano.

Il Fatto Quotidiano, 26 maggio 2021.

Con il d.l. 44/2021, dopo settimane di dibattito, il legislatore ha infine accontentato coloro che richiedevano a gran voce l’introduzione dell’obbligo vaccinale anti Covid-19 in ambito lavorativo. La disposizione in commento, contenuta nell’articolo 4 del decreto, è espressamente destinata alle strutture sanitarie, socio sanitarie e socio assistenziali. Si stabilisce inoltre che l’inosservanza di tale obbligo, quando l’assegnazione a mansioni diverse non è possibile, determina la sospensione dal diritto di svolgere prestazioni o mansioni che implicano contatti interpersonali.

Dal tenore di tali disposizioni, esplicitamente dedicate alle professioni sanitarie e affini, sembra quindi discendere che il legislatore abbia definitivamente inteso escludere la possibilità di ricorrere alla sospensione del rapporto di lavoro per ogni altra categoria di impiego. Relativamente all’attuale fase vaccinale, allora, quale situazione si profila per i datori di lavoro del comparto non sanitario dal punto di vista della normativa antinfortunistica?

Prima di rispondere a questa domanda, è necessario segnalare che il 6 aprile scorso è stato sottoscritto dal Governo e dalle Parti Sociali il protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione, che per l’appunto darà il via al piano di somministrazione vaccinale nei luoghi di lavoro.

Sebbene il Protocollo stabilisca il principio dell’adesione volontaria, in base al quale l’impresa può scegliere se adottare o meno piani aziendali finalizzati alla vaccinazione, va al riguardo osservato quanto stabilito dalla normativa antinfortunistica. È noto in particolare come ogni datore di lavoro è comunque tenuto a valutare tutti i rischi per la sicurezza e la salute durante l’attività lavorativa. Si tratta di rischi che possono profilarsi non necessariamente a causa dell’attività lavorativa, bensì “durante” l’attività lavorativa.

Lo dice espressamente l’art. 28 co. 2 lett. a) d.lgs. 81/08 e lo conferma la direttiva Ue 739/2020 (già recepita nel nostro paese), la quale classifica la Sars-Cov-2 come patogeno per l’uomo del gruppo di rischio 3, ed estende al Covid-19 le misure di prevenzione previste nella Direttiva 2000/54/CE dedicata alla protezione dei lavoratori contro i rischi derivanti da un’esposizione ad agenti biologici durante il lavoro, adottate in Italia nel titolo X del d.lgs. 81/08. Prime fra tutte, per quanto ci riguarda, la sorveglianza sanitaria e le vaccinazioni.

In particolare, l’art. 279 d.lgs. 81/08 prescrive in capo al datore di lavoro la necessità di mettere a disposizione vaccini efficaci per quei lavoratori che non sono già immuni all’agente biologico presente nella lavorazione, fino a disporre il collocamento del lavoratore ad altra mansione, laddove il Medico Competente valuti un’inidoneità alla mansione specifica. Pertanto, alla luce di quanto stabilito dal citato articolo 279, anche per il datore di lavoro del settore non sanitario permane la necessità di mettere a disposizione i vaccini anti Covid-19 per i propri dipendenti.

Ciò, tuttavia, con alcune complicazioni in più rispetto al settore sanitario e ospedaliero, relative al caso in cui il lavoratore si rifiuti di aderire alla campagna vaccinale. Ci si riferisce in particolare a due fondamentali aspetti. Anzitutto, come anticipato, il d.l. 44/2021 non sembra consentire al datore di lavoro del comparto non sanitario, nell’impossibilità di adibire il lavoratore ad altra mansione, di disporre la sospensione temporanea del rapporto di lavoro (come invece consentito nel settore sanitario). In secondo luogo, relativamente alle valutazioni del Medico Competente, appare difficile sostenere che un lavoratore idoneo alla mansione specifica in assenza di vaccini divenga inidoneo alla stessa mansione per il solo fatto che i vaccini siano ora disponibili.

Ne conseguirebbe per il datore di lavoro una sorta di impasse funzionale: da un lato impossibilitato a vaccinare il lavoratore, dall’altro, nel caso in cui questi non intenda sottoporsi al trattamento sanitario, impossibilitato ad allontanarlo dalla fonte di pericolo. Ciò, per ragioni a lui non imputabili. La scelta del lavoratore di non sottoporsi al trattamento vaccinale, pertanto, pur costituendo l’esercizio di un diritto riconosciuto dall’art. 32 della Costituzione, assumerebbe un ruolo rilevante nella genesi di un eventuale contagio da Covid-19 sul luogo di lavoro, potendo infatti integrare la violazione dell’art. 20 d.lgs. 81/08, a mente del quale ogni lavoratore deve prendersi cura della propria salute e sicurezza, oltre a dover collaborare con il datore di lavoro all’adempimento degli obblighi previsti a tutela della salute dei lavoratori.

Dal punto di vista delle responsabilità penali connesse all’eventuale contagio del lavoratore, ne discenderebbero importanti conseguenze. Infatti, una volta ritenuta necessaria la vaccinazione, quale misura di prevenzione “massima tecnologicamente possibile” individuata e disposta dal datore di lavoro all’esito della valutazione dei rischi, la scelta del lavoratore di non sottoporsi al trattamento sanitario potrebbe costituire, in caso di contagio sul luogo di lavoro, comportamento interruttivo del nesso di condizionamento, in quanto eccentrico rispetto al rischio lavorativo che il garante della sicurezza è chiamato a governare (cfr. Cass. S.U., 24 aprile 2014, n. 38343).

In altre parole, ferma restando la necessità di valutare le peculiarità dei casi concreti, la mancata riduzione del rischio specifico da contagio entro i limiti consentiti dal progresso tecnico, come imposto tra l’altro dall’art. 15 co. 1 lett. c) d.lgs. 81/08, non sarebbe riconducibile (o non solo) a una carenza del sistema di prevenzione, bensì a una concorrente determinazione del lavoratore. Ciò, peraltro, con inevitabili ricadute anche sul piano risarcitorio, in quanto la scelta del lavoratore di rifiutare il trattamento vaccinale potrà comunque costituire oggetto di prova in ordine all’eventuale sussistenza di un concorso di colpa della persona offesa ai fini della quantificazione del danno (cfr. Cass. pen. Sez. IV, 16/05/2017, n. 42288).

L’auspicio, in conclusione, è che le diverse sensibilità e convinzioni personali inerenti al tema in esame, pur tutelate dalla Costituzione, non si impongano rispetto all’urgenza di soddisfare un bisogno di carattere primariamente pubblico: il superamento della crisi sanitaria. Mai come in questi mesi, infatti, è apparso chiaro il rapporto di naturale circolarità tra la salute individuale e quella collettiva, costantemente insidiato, come purtroppo noto, da scellerate politiche pubbliche finalizzate a reciderlo.

Fabio Savoldelli

“Smartworking e potere di controllo del datore di lavoro: cosa prevede il GDPR?”, Il Fatto Quotidiano.

Il Fatto Quotidiano, 27 maggio 2020.

Il lavoro agile, detto smartworking, costituisce una modalità di esecuzione del rapporto di lavoro caratterizzata dall’assenza di vincoli di orario o di luogo di lavoro, oggi particolarmente caldeggiata dal Governo per assicurare il distanziamento sociale tra i lavoratori ed evitare una nuova diffusione di massa del Covid-19.

Anche nell’ambito dello smartworking, tuttavia, non viene meno l’interesse del datore di lavoro a verificare, nei limiti di quanto previsto dalla disciplina giuslavoristica di riferimento e soprattutto dall’art. 4 dello Statuto dei Lavoratori, che la prestazione oggetto del rapporto di lavoro sia effettivamente adempiuta.

Ed in effetti, il datore di lavoro potrà facilmente disporre di strumenti tecnologici a tal fine (sul mercato sono già presenti tecnologie che, ad esempio, consentono di registrare la durata di utilizzo delle applicazioni oppure i movimenti del mouse), ma la circostanza che la prestazione, in questo caso, si svolga prevalentemente presso la dimora privata del lavoratore, pone alcune importanti problematiche non solo sotto il profilo giuslavoristico, ma anche, per quanto di interesse a questo articolo, in materia di privacy.

A tale ultimo proposito, il Comitato Europeo per la Protezione dei Dati ha già affermato che il consenso del lavoratore al trattamento dei propri dati personali non può essere considerato espressione di una volontà libera, poiché il diniego del lavoratore “potrebbe causare allo stesso un pregiudizio reale o potenziale”, suggerendo invece di valutare quale base legale del trattamento: il ricorso a disposizioni normative o contrattuali, l’adempimento di un obbligo di legge oppure il legittimo interesse del datore di lavoro (Opinion 2/2017 on data processing at work).

Il controllo dell’effettivo svolgimento dell’attività lavorativa rientra proprio nell’ultima ipotesi, quella del legittimo interesse del datore di lavoro.

Senonchè, nella scelta degli strumenti individuati a tal fine, il datore di lavoro dovrà assicurarsi che sussista un perfetto equilibrio fra il pregiudizio che patirebbe l’azienda nel non procedere al trattamento e quello che subirebbe il dipendente qualora il trattamento avesse luogo (principio di “proporzionalità”).

In particolare, prima di iniziare il trattamento, il datore di lavoro dovrà sviluppare una valutazione preventiva sulle conseguenze del trattamento dei dati, accertandosi se sussistano rischi elevati per le libertà e i diritti dei lavoratori.

Nell’ambito dello smartworking, infatti, il trattamento dei dati personali può avere ad oggetto dati sensibili, avvenire su larga scala e mediante l’utilizzo di nuove soluzioni tecnologiche, tutti elementi che suggeriscono di procedere con una valutazione d’impatto in base all’art. 35 GDPR, al fine di valutare i rischi connessi al trattamento ed adottare, nel rispetto dei principi di necessità e proporzionalità, le misure di sicurezza idonee a ridurli o eliminarli.

Nel caso in cui tali misure non risultassero sufficienti a eliminare o ridurre il rischio per i diritti dei dipendenti, il titolare dovrà consultare l’Autorità Garante per la privacy, che indicherà le ulteriori misure di sicurezza eventualmente da implementare per procedere con il trattamento.

Ogni trattamento, poi, dovrà svolgersi nel rispetto del principio di trasparenza.

Dovranno quindi essere predisposte policies chiare e facilmente comprensibili per tutti i lavoratori in ordine al tipo di trattamenti che saranno svolti nell’ambito dello smartworking, alle finalità, ai tempi di conservazione dei dati e alle misure di sicurezza adottate per garantire che la vita privata dei dipendenti non sia violata.

Ciò vale ancor di più nel caso di trattamenti svolti per finalità di legittimo interesse, come nel caso del datore di lavoro interessato a verificare che l’attività lavorativa sia effettivamente svolta anche dal dipendente “in smartworking”.

Infatti, il Considerando n. 47 del regolamento precisa che “gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”.

L’inottemperanza del dovere di informare i lavoratori dell’attività di controllo svolta dal datore di lavoro potrebbe pertanto determinare, nel nostro caso, non solo una violazione del dovere di trasparenza stabilito dagli artt. 12 e seguenti del GDPR, ma altresì la mancanza stessa della base giuridica del legittimo interesse su cui si fonda il trattamento.

Alla luce di quanto sopra, e in conclusione, potrebbe sembrare che nella predisposizione delle privacy policies aziendali in tema di smartworking la normativa ponga ostacoli e problemi a ogni passo.

In realtà, è vero l’esatto contrario.

Il GDPR, infatti, come abbiamo visto, garantisce al datore di lavoro un’ampia autonomia rispetto alla scelta delle finalità e delle misure tecniche e organizzative da adottare nell’ambito della tutela della privacy dei lavoratori in smartworking, con l’unica avvertenza di bilanciare responsabilmente i contrapposti interessi.

Una flessibilità che ha dunque un’importante contropartita: la responsabilità del datore di lavoro di saper dimostrare la legittimità delle decisioni assunte.

avv. Fabio Savoldelli

“Coronavirus, fase 2: attenzione alle iniziative ‘fai da te’ nel trattamento dei dati personali”, Il Fatto Quotidiano.

Il Fatto Quotidiano, 23 aprile 2020.

È notizia di questi giorni che la Ferrari adotterà, in previsione della riapertura dei propri stabilimenti, un Piano post emergenza sanitaria, denominato “Back on track”, che garantirà, secondo quanto dichiarato dall’azienda, la continuità dei processi produttivi nel rispetto del diritto alla salute e alla privacy dei propri dipendenti.

Con specifico riferimento alla privacy, il piano prevederà uno screening dei dipendenti su base volontaria, con esami del sangue diretti a verificare il loro stato di salute in relazione all’eventualità di un possibile contagio da Coronavirus, estendibile ai familiari e ai conviventi dei lavoratori, oltre alla successiva possibilità, per ciascun collaboratore, di servirsi di una App che garantirà la tutela dei dipendenti mediante il tracciamento dei contatti dei singoli lavoratori.

Tutto ciò, dichiara l’azienda, nel rispetto della privacy individuale, assicurata da una gestione dell’applicazione esterna ed estranea a Ferrari.

Pur in mancanza di ulteriori dettagli tecnici che consentano di esprimersi sulla conformità del piano Back on Track alla normativa sulla protezione dei dati personali, l’annuncio sopra riportato offre comunque lo spunto per alcune brevi riflessioni.

In primo luogo, anche se si tratta di un atto privo di valore cogente, è utile prendere le mosse dal comunicato stampa dell’Autorità Garante per la protezione dei dati personali del 2 marzo 2020, il quale, in relazione all’attuale emergenza da Covid-19, diffida i datori di lavoro “dall’effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”.

L’obbiettivo, tra gli altri, è quello di evitare che le aziende arrivino a disporre, direttamente o indirettamente, di informazioni dei propri dipendenti inerenti allo stile di vita, alle patologie in corso, alla predisposizione genetica a contrarre malattie, alla possibilità di procreazione etc.

Pertanto, nella predisposizione dei modelli organizzativi necessari ad affrontare la crisi sanitaria, i datori di lavoro dovranno attenersi scrupolosamente ai principi stabiliti dalla legge.

Anzitutto, il principio di “limitazione del trattamento”, previsto dall’art. 5 co. 1 lett. b GDPR, in osservanza del quale il datore di lavoro ha l’obbligo di trattare i dati sensibili raccolti nell’ambito dell’attuale emergenza limitatamente al fine di evitare il contagio dei lavoratori.

A tal fine, sarà necessario che le aziende predispongano un sistema di misure tecniche che consenta, come impostazione predefinita, di estrarre dati limitati e pertinenti a quest’unica finalità, con immediata cancellazione dei dati inconferenti con il rischio di contagio da Coronavirus (art. 25 GDPR).

Va detto, inoltre, che il datore di lavoro, in qualità di titolare del trattamento, è responsabile nei confronti dei propri dipendenti non solo per i trattamenti illeciti svolti nell’ambito della propria organizzazione aziendale, ma altresì per quelli svolti da enti esterni nominati a farlo per suo conto, i quali, non di rado, sono enti privati che hanno nella data analysis il proprio core business.

In particolare, il datore di lavoro, dopo essersi assicurato che questi soggetti prestino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR), dovrà stabilire la durata, la natura e la finalità del trattamento.

Un ulteriore profilo di analisi è quello relativo al consenso.

A questo proposito, con specifico riferimento all’ambito lavorativo, il Comitato Europeo per la Protezione dei Dati ha affermato che il consenso non può essere considerato espressione di una volontà libera, poiché il diniego del lavoratore “potrebbe causare allo stesso un pregiudizio reale o potenziale”, suggerendo invece di valutare quale base legale del trattamento, tra l’altro, il ricorso a disposizioni normative o contrattuali (Opinion 2/2017).

Laddove pertanto un’azienda intenderà predisporre un piano di sicurezza anti contagio che preveda la raccolta dei dati personali dei propri dipendenti, non potrà essere il consenso la base giuridica su cui fondare il trattamento, ma occorrerà eventualmente individuare una disposizione di legge che la autorizzi espressamente.

Senonchè, ad oggi, le uniche disposizioni autorizzative di trattamenti di dati dei lavoratori finalizzate al contenimento del contagio sono quelle contenute nel Protocollo sottoscritto dal Governo e dalle parti sociali il 14/3/2020, le quali si limitano a prevedere la facoltà (obbligo, in ipotesi di cantieri edili) per il datore di lavoro di rilevare la sola temperatura corporea dei dipendenti.

Si versa pertanto in una fase particolarmente caotica e mutevole dell’emergenza, in considerazione della quale sembra consigliabile, anche sulla scorta di quanto affermato dall’Autorità Garante con il comunicato stampa del 2 marzo 2020, operare nei limiti di quanto consentito dal Protocollo, senza “fughe in avanti” di sorta.

Ciò, anche al fine di consolidare un metodo di contenimento del virus nei luoghi di lavoro efficace ed uniformemente applicabile in ogni azienda, pur con i necessari adattamenti alle singole realtà produttive, evitando nel contempo che i dati dei cittadini e dei lavoratori divengano valore di scambio per il soddisfacimento di interessi privati.

Covid-19 e nuove misure di sicurezza anti-contagio. Brevi riflessioni sugli interventi da compiere nel processo di valutazione dei rischi.

In questa fase di emergenza sorge la necessità, per imprese e lavoratori, di interpretare i diversi provvedimenti e protocolli assunti dal Governo per la tutela della salute pubblica, al fine di comprendere come il mondo del lavoro, prima ancora di scoprire cosa ci riserverà il futuro, sia già sensibilmente cambiato.

Sul fronte della sicurezza sul lavoro, ci si domanda in particolare se a seguito della sottoscrizione, da parte del Governo e delle parti sociali, del Protocollo del 14/3/2020 per il contenimento della diffusione del Covid-19 negli ambienti di lavoro, occorra intervenire o meno sul Documento di Valutazione dei Rischi.

Infatti, all’indomani dell’esplosione dell’epidemia del virus Sars-CoV-2 è emerso il problema relativo all’eventuale necessità di aggiornare la valutazione dei rischi, la quale, come prevede l’art. 29 co. 3 d.lgs. n. 81/2008, “deve essere immediatamente rielaborata (…) in occasione di modifiche del processo produttivo o della organizzazione del lavoro significative ai fini della salute e sicurezza dei lavoratori (…), con il conseguente aggiornamento delle misure di prevenzione”.

Una valutazione dei rischi che rappresenta la “valutazione globale e documentata di tutti i rischi per la salute e sicurezza dei lavoratori presenti nell’ambito dell’organizzazione in cui essi prestano la propria attività (…)” (art. 2 lett. q d.lgs. 81/2008).

A sostegno della tesi, ad oggi maggioritaria, che escluderebbe la necessità di aggiornamento del DVR[1] si pone sostanzialmente il seguente argomento.

Il riferimento operato dall’art. 28 a “tutti i rischi” per la salute e sicurezza dei lavoratori non varrebbe a identificare una gamma indefinita di eventualità pregiudizievoli, ma solo quelle connesse all’attività produttiva, i “rischi professionali”, come indicato dalla definizione di “servizio di prevenzione e protezione” contenuta nell’art. 2 co. 1 lett. l) del d.lgs. 81/2008.

Ciò premesso, a conferma della tesi secondo cui il DVR non andrebbe aggiornato con il rischio biologico da contagio di Covid-19, si evidenzia come, fatte salve le attività lavorative elettivamente destinate a entrare direttamente o indirettamente in contatto con l’agente biologico (ospedali, pronto soccorso, laboratori), negli altri casi non si tratterebbe di un rischio professionale, ma di un rischio generico, equamente distribuito fra l’intera popolazione.

A fronte di tale argomento, per quanto fondato, ci preme tuttavia proporre alcune brevi riflessioni di segno contrario.

In via preliminare, occorre evidenziare che la Commissione Interpelli ha già avuto modo di precisare che l’analisi dei rischi prevista dall’art. 28 del D.Lgs. 81/2008 deve comprendere non solo i rischi professionali, ma anche “l’analisi di tutti i potenziali e peculiari rischi ambientali legati alle caratteristiche del Paese in cui la prestazione lavorativa dovrà essere svolta, quali a titolo esemplificativo, i cosiddetti «rischi generici aggravati», legati alla situazione geopolitica del Paese (es. guerre civili, attentati, ecc.) e alle condizioni sanitarie del contesto geografico di riferimento, non considerati astrattamente, ma che abbiano la ragionevole e concreta possibilità di manifestarsi in correlazione all’attività lavorativa” (Interpello n. 19841 del 25/10/2016).

Occorre quindi stabilire se effettivamente vi siano attività lavorative esposte a un rischio generico aggravato, ovvero se, fatta eccezione per quelle esposte a rischio professionale, tutte le altre siano esposte a un rischio generico equamente distribuito tra l’intera popolazione.

Ebbene, considerato che l’odierna emergenza sanitaria mostra senza troppi indugi di voler modificare stabilmente, oltre al nostro stile di vita, anche i modi e le forme del lavoro, si ritiene che ogni valutazione intorno all’effettività del rischio da contagio nei luoghi di lavoro debba essere particolarmente ponderata.

Sebbene infatti sia stata dichiarata la pandemia e il virus sia diffuso in tutto il paese, non in ogni luogo del paese, come noto, il virus è diffuso allo stesso modo, se solo si pensa alla gravità del numero di contagi che si registrano in Lombardia rispetto al resto d’Italia.

Allo stesso modo, limitare il rischio da contagio rilevante ai fini della valutazione dei rischi alle sole attività sanitarie pare inopportuno, poiché vi sono attualmente molti settori del terziario soggetti a un notevole aggravamento del rischio da contagio strettamente connesso alle condizioni ambientali in cui viene svolta l’attività lavorativa e al tipo di mansioni da eseguire: è il caso dei lavoratori delle Forze dell’Ordine, dei servizi portuali e aeroportuali, degli operatori ecologici, dei servizi socio assistenziali e si potrebbe andare oltre con l’elenco.

Se è vero, quindi, come è vero, che l’eventualità di contagio da Covid-19 non può essere considerata, fatte salve le ipotesi già citate, un rischio professionale di tutte le aziende, è altrettanto vero che lo stesso rischio non può essere indistintamente ricondotto, per ogni attività non sanitaria, nel vacuo paradigma del rischio generico.

Inoltre, l’art. 29 co. 3 d.lgs. 81/2008 stabilisce che in occasione di modifiche del processo produttivo o della organizzazione del lavoro significative ai fini della salute e sicurezza dei lavoratori, come quelle imposte dal Protocollo e dai provvedimenti che si sono susseguiti nelle ultime settimane, la valutazione dei rischi deve essere rielaborata e aggiornata.

Nell’osservanza di detti provvedimenti, infatti, le imprese dovranno assicurare in ogni momento della giornata lavorativa la distanza di almeno 1 metro fra i lavoratori, che comporterà la necessità di ridisegnare le modalità di ingresso e di uscita dai locali di lavoro, di riorganizzazione delle mense e degli orari di pausa.

Ma non solo.

Vi saranno realtà aziendali in cui, al fine di garantire la sicurezza dei lavoratori, si dovrà ricorrere alla turnazione del personale dipendente e all’uso dello smartworking, con conseguente rimodulazione dei livelli produttivi.

Anche solo per questo, sarà necessario per queste aziende aggiornare la propria valutazione dei rischi.

Lo smartworking e il telelavoro sono infatti modalità di esecuzione della prestazione lavorativa regolate dagli artt. 3 co. 10 e 174 d.lgs. 81/2008, in materia di uso di “attrezzature munite di videoterminali”, ove si dispone la necessità di procedere alla valutazione dei rischi specifici per il tipo di mansione svolta.

In conclusione, si ritiene che la tesi secondo cui il rischio da contagio da Covid 19 non assumerebbe rilevanza ai fini del procedimento di valutazione dei rischi, per quanto ragionevole, si caratterizzi per un eccesso di formalismo, a seguito del quale, riconosciuto il rischio professionale alle sole attività sanitarie, si qualifica come “rischio generico” tutto il resto, senza distinzione in ordine all’aggravamento del rischio che tali ulteriori attività lavorative potrebbero determinare per la salute dei lavoratori.

Al contrario, l’inizio della cosiddetta “fase 2” dell’emergenza, quella deputata a ordinare una prudente convivenza con il virus, dovrebbe essere accompagnata da un approccio maggiormente ponderato sul tema della gestione del rischio da contagio nei luoghi di lavoro, al fine di uscire dalla logica “emergenziale” che ha caratterizzato le prime settimane della crisi, con la sottoscrizione del Protocollo, e individuare le prassi operative più efficaci per garantire la salute dei lavoratori.

[1] Comunicazione del Direttore dell’Ispettorato nazionale del Lavoro, avente a oggetto “Adempimenti datoriali-valutazione rischio emergenza coronavirus”, del 13.3.2020 / Michele Lepore, “Sui rischi il datore applica le leggi speciali”, il Sole 24 Ore, 18-3-2020, p. 33.

Avv. Fabio Savoldelli

Covid-19 e nuove misure di sicurezza. Brevi istruzioni operative sull’attuazione del Protocollo del 14/3/2020

L’obbiettivo di questo lavoro è quello di proporre una lettura, dal punto di vista strettamente pratico, del Protocollo condiviso per il contrasto e il contenimento della diffusione del virus nei luoghi di lavoro “non sanitari”, sottoscritto dal Governo e dalle parti sociali il 14/3/2020, letto alla luce dei precedenti dpcm, soprattutto quello dell’11/3/2020, che stabilisce quali sono le attività ritenute non essenziali, che devono, o dovrebbero, per ciò stesso essere sospese.

Ebbene, le attività ad oggi “non essenziali” sono quelle indicate nel dpcm 11/3/2020, all’art. 1 n. 1 e 2. Vale a dire, in buona sostanza, il commercio al dettaglio, i mercati, i servizi alla persona (parrucchieri, barbieri, estetisti) e la ristorazione.

Tutte le altre attività, comprese le attività produttive, sono considerate essenziali e possono proseguire.

Ma a quali condizioni?

Il Governo lo definisce nel Protocollo del 14/3/2020.

Prima di affrontare le singole misure di sicurezza, il documento in esame fissa tuttavia un principio, che deve essere tenuto in considerazione nell’interpretazione delle singole norme che lo compongono: la prosecuzione delle attività produttive può avvenire solo in presenza di condizioni che assicurino alle persone che lavorano “adeguati livelli di protezione”, che verranno di seguito esposti.

In secondo luogo vale un’ulteriore considerazione.

Se l’azienda non riesce o non può assicurare l’adozione delle misure di sicurezza descritte nel Protocollo, fra tutte, ineludibili, l’uso dei dispositivi di protezione individuale e/o il mantenimento della distanza di almeno 1 metro tra i lavoratori in ogni momento della giornata lavorativa, l’attività deve essere sospesa.

Con questo obbiettivo, il Governo si è infatti impegnato anche a garantire il ricorso agli ammortizzatori sociali al fine di permettere alle imprese, all’occorrenza, di ridurre o sospendere l’attività lavorativa fino all’implementazione delle misure di sicurezza stabilite dal Protocollo.

Inoltre, tra le premesse, si precisa che deve essere attuato il massimo utilizzo del lavoro agile (o smart working). Questo non significa che al datore di lavoro è demandata la valutazione dell’opportunità di adibire o meno i suoi dipendenti allo smart working, ma che, laddove ciò sia possibile, l’azienda è obbligata a farvi ricorso.

I punti trattati nel protocollo sono 12.

Al punto 1) si trattano i doveri di informazione del personale.

Questo dovere, previsto anche dall’art. 36 d.lgs. 81/08, impone al datore di lavoro di predisporre tutti gli strumenti necessari a informare il lavoratore dei rischi non solo relativi alle peculiarità della propria mansione, ma nello specifico delle misure di sicurezza previste Protocollo.

Ciò riguarda non solo i dipendenti, ma anche i soggetti esterni o clienti che hanno accesso nei locali di lavoro: pensiamo alla grande distribuzione, dove insieme ai dipendenti c’è la presenza della clientela.

Ebbene, anche la clientela deve essere informata delle misure di sicurezza vigenti sul luogo di lavoro, in quanto la mancata conoscenza di tali norme mette a repentaglio sia la salute del lavoratore, sia quella del cliente.

Pertanto, sarà opportuno che nei locali siano affissi cartelli e informative in posti visibili a tutti.

Il Protocollo tratta inoltre le modalità di ingresso in azienda.

Il datore di lavoro dovrà evitare che si formino assembramenti, in ingresso e in uscita, dai luoghi di lavoro. Per quanto abbiamo avuto modo di sapere, alcune aziende si stanno organizzando per regolare l’accesso in azienda lungo un arco temporale di mezz’ora, un’ora, al fine di diluire nel tempo la presenza contemporanea di persone nei pressi dei luoghi di lavoro.

Questi tempi potranno espandersi ulteriormente se in azienda si organizzano presidi infermieristici per misurare la temperatura corporea dei dipendenti in entrata.

A questo proposito, il protocollo fa riferimento ad alcuni accorgimenti in materia di trattamento dei dati personali che devono essere adottati dal datore di lavoro al momento della misurazione della temperatura corporea dei dipendenti: fra tutti, il divieto di registrare il dato, salvo che la temperatura non sia superiore ai 37,5°.

In questo caso il dato potrà essere registrato, ma utilizzato esclusivamente per le finalità di prevenzione dell’emergenza sanitaria da Covid-19, e potrà essere comunicato esclusivamente all’Autorità sanitaria, che di concerto con il medico competente procederà a un’indagine al fine di accertare i tipi di contatto che il lavoratore presuntivamente contagiato abbia avuto nei giorni precedenti.

Si tenga presente che la finalità del trattamento dei dati personali come sopra descritto, secondo quanto stabilito dal Protocollo, è solo e soltanto la prevenzione del contagio da Covid-19.

Pertanto, un utilizzo dei dati sanitari del personale dipendente che non sia strettamente limitato al perseguimento di tale finalità costituirebbe un trattamento illecito di dati personali ai sensi dell’art. 5 lett. b) reg. UE 679/16, che stabilisce il principio di limitazione delle finalità, oltre a integrare, se realizzato a fini discriminatori, l’ipotesi di reato di cui all’art. 167 d.lgs. 196/2003.

Il Protocollo tratta ancora le modalità di accesso in azienda dei fornitori esterni.

Anche in questo caso (si pensi ai lavoratori della logistica, che per la peculiarità delle loro mansioni, sono spesso obbligati a fare ingresso nelle aziende ove è previsto lo scarico della merce trasportata), devono essere assolutamente ridotti al minimo i contatti tra persone, possibilmente, nel caso della logistica, evitando di scendere dall’automezzo.

Se si tratta invece di ditte in appalto che lavorano all’interno dei locali di un’altra azienda, anche alla presenza del personale del committente, gli stessi dovranno sottostare alle regole aziendali previste dal committente, anche in riferimento alle modalità di entrata ed uscita in azienda.

A ciò si aggiunga che laddove si operi in presenza di personale appartenente a più imprese, il Coordinatore per la sicurezza in fase di esecuzione (CSE), dopo avere acquisito dall’impresa la valutazione del rischio riferita all’emergenza in essere, predispone una procedura volta ad integrare il piano di sicurezza e coordinamento (PSC) con il tipo di rischio da contagio di Covid-19, condividendola con il Responsabile dei Lavori.

In tale aspetto si inserisce tuttavia la problematica dell’eventuale aggiornamento del documento di valutazione dei rischi (DVR) da parte del datore di lavoro, da mettere a disposizione del Coordinatore per la sicurezza, affinchè gestisca il rischio da contagio determinato dall’interferenza di più attività lavorative.

Per ragioni che si avrà modo di affrontare in un prossimo contributo noi riteniamo che il rischio da Covid-19 costituisca un rischio generico aggravato, e come tale debba essere valutato in sede di valutazione dei rischi, con un aggiornamento del documento ovvero con una semplice integrazione contenuta in un addendum a parte, che preveda, quantomeno, le modalità di applicazione delle direttive pubbliche contenute nel Protocollo.

Al punto 4, si impone l’obbligo di pulizia e sanificazione dell’azienda.

La pulizia dei locali, degli ambienti e delle aree comuni deve essere garantita con frequenza giornaliera, mentre la sanificazione di uffici, reparti produttivi, pc, tastiere, mouse e ogni altro locale o oggetto che entra in contatto con il personale, deve essere fatta periodicamente.

In mancanza di ulteriori specificazioni circa il significato del termine “periodicamente”, è lecito ritenere che l’intervallo di tempo che può intercorrere tra gli interventi di sanificazione dipenda dalla durata dell’effetto antivirale dei prodotti utilizzati nell’ambito di ciascuno di questi interventi.

Sarà quindi demandato al datore di lavoro, pur nell’attuale clima di incertezza in ordine alla necessità di aggiornare o meno il DVR, l’onere di valutare il fattore di rischio costituito dall’efficacia temporale degli interventi di sanificazione ed adottare le misure necessarie a prevenirlo.

Vi è poi un problema di ordine pratico, quello dell’approvvigionamento dei materiali di sanificazione, che sul mercato si stanno esaurendo.

In questo caso, lo abbiamo ricordato in premessa, il Protocollo vieta il proseguimento dell’attività, la quale dovrà per ciò essere sospesa ed eventualmente ripresa solamente una volta ripristinate le condizioni di sicurezza per i lavoratori.

Un tema molto discusso è poi quello riguardante i Dispositivi di protezione individuale.

Per chiarezza, le mascherine si dividono in DPI “Dispositivi di Protezione Individuale” e “mascherine Medicali”, dette “chirurgiche”.

I DPI in commercio, di qualunque tipo o categoria essi siano, devono presentare la marcatura CE.

Fra i DPI, il tipo di maschere filtranti richieste per evitare il contagio da Coronavirus (classificato come “rischio biologico”), sono regolate dalla norma europea UNI EN 149.

Tale norma, a seconda dell’efficienza filtrante, classifica le maschere in FFP1, FFP2, FFP3.

Le “mascherine chirurgiche” svolgono una differente funzione rispetto ai DPI.

Esse hanno come caratteristica quella di limitare la diffusione di agenti biologici nell’atmosfera circostante. Queste mascherine, le cui caratteristiche sono diverse da quelle delle citate FFP2 o FFP3 possono, quindi, evitare che il portatore diffonda il contagio, ma non proteggono lo stesso adeguatamente dal contagio di provenienza altrui.

Ciò detto, il Protocollo prevede che l’adozione dei dispositivi di protezione individuale (dpi FFP2, FFP3) è fondamentale, ma che “questa è legata evidentemente all’approvvigionamento sul mercato”.

A causa quindi delle difficoltà di approvvigionamento il Governo ha stabilito che possano essere usate anche le mascherine chirurgiche, in mancanza d’altro.

Tale decisione è stata confermata con il d.l. del 17 marzo 2020 n. 18, che ha previsto la possibilità di utilizzare anche mascherine prive del marchio CE e quindi della certificazione di qualità.

Quindi, in attesa di un intervento pubblico finalizzato a risolvere il problema dell’indisponibilità sul mercato di dispositivi adeguati alla tutela della salute dei soggetti più esposti al contagio, sarà essenziale che fra le misure di sicurezza utilizzate dal datore di lavoro, vi sia la predisposizione di un sistema che eviti sistematicamente che i lavoratori possano avvicinarsi a meno di un metro uno dall’altro o con la clientela.

E questo, in qualsiasi locale frequentato dai lavoratori: anche nelle mense, negli spogliatoi e nei locali adibiti alla pausa, determinando la necessità per l’azienda di modificare radicalmente l’organizzazione del lavoro e quindi, anche in questo, secondo quanto previsto dall’art. 29 co. 3 d.lgs. 81/2008, il Documento di Valutazione dei Rischi.

In mancanza di questi adeguamenti organizzativi (cui possono essere ricondotti altresì gli obblighi previsti dal successivo punto 7 del Protocollo in ordine alla “gestione degli spazi comuni”), iscritti o no, per il momento, nell’aggiornamento al DVR, l’attività lavorativa deve essere sospesa.

A questo proposito, i lavoratori devono sapere che l’art. 44 d.lgs 81/81 prevede che il lavoratore il quale, in caso di pericolo grave, immediato e non evitabile, si allontana dal posto di lavoro o da una zona pericolosa, non può subire pregiudizio alcuno e deve essere protetto da qualsiasi conseguenza dannosa.

Oltre alla contrattazione sindacale, i lavoratori devono quindi tenere presente che possono anche ricorrere a questo strumento, poiché un eventuale provvedimento sanzionatorio adottato nei loro confronti sarebbe da considerare discriminatorio.

Da ultimo, il Protocollo tratta il tema della sorveglianza sanitaria.

Sul punto si registrano alcune divergenze, tra quanto contenuto nel Protocollo, circa la necessità di proseguire con visite le periodiche dei lavoratori da parte del medico competente, ed alcune ATS, fra tutte l’ATS Insubria, secondo le quali le visite periodiche vanno rinviate alla cessazione dell’emergenza sanitaria.

Ebbene, si ritiene del tutto condivisibile quanto contenuto nel Protocollo, in riferimento all’utilità che può assumere la sorveglianza sanitaria periodica per intercettare possibili casi e sintomi sospetti del contagio, oltre all’informazione e alla formazione che il medico competente può fornire ai lavoratori per evitare la diffusione del contagio.

È necessario quindi che gli RLS e gli RLST pretendano dal datore di lavoro la presenza del medico competente in azienda per le visite periodiche, anche al fine di concordare con l’azienda le strategie di tutela della salute dei soggetti portatori di patologie attuali o pregresse che li rendono maggiormente esposti al rischio di contagio del Covid-19.

La situazione, come noto, è in costante evoluzione.

Si registra infatti, alla data di scrittura del presente articolo, 19/3/2020, la richiesta al Governo, da parte del Governatore della Lombardia, di sospendere ogni attività produttiva non strettamente connessa al soddisfacimento di esigenze primarie della popolazione.

Per tale ragione, ulteriori modifiche alla legislazione di emergenza che dovessero intervenire saranno oggetto di eventuali nuovi contributi.

avv. Fabio Savoldelli – arch. Francesca Savoldelli

“Come lo scudo penale ridisegna il futuro dell’ex Ilva”, Il Fatto Quotidiano.

Il Fatto Quotidiano, 18 dicembre 2019.

Da diverse settimane si discute con gran fervore circa l’opportunità di reintrodurre il cosiddetto scudo penale nella normativa “salva Ilva”. Ma cos’è esattamente lo scudo penale? Lo scudo penale, introdotto dal dl 1/2015, prevedeva testualmente che le condotte poste in essere in attuazione del Piano ambientale imposto all’ex Ilva non potessero dare luogo a responsabilità penale o amministrativa del commissario straordinario, dell’affittuario o acquirente e dei soggetti da questi funzionalmente delegati.

Piano ambientale che – lo si ricorda – fa riferimento al “Piano delle misure e delle attività di tutela ambientale e sanitaria”, adottato con un decreto del presidente del Consiglio dei ministri il 14 marzo 2014. Questo piano prevede le azioni e i tempi necessari per garantire il rispetto delle prescrizioni di legge e costituisce “adempimento delle migliori regole preventive in materia ambientale, di tutela della salute e dell’incolumità pubblica e di sicurezza sul lavoro”, secondo quanto stabilito dall’art. 2 co. 6 del dl 1/2015.

In altre parole, l’introduzione dello scudo penale significava il venire meno sia della responsabilità penale dei diversi amministratori (lo stesso articolo su indicato recitava: “del Commissario straordinario, dell’affittuario o acquirente e dei soggetti da questi funzionalmente delegati”) per gli eventuali reati commessi nell’esercizio delle loro funzioni in attuazione del Piano ambientale, sia la “responsabilità amministrativa dell’ente”, ovvero dell’azienda (come previsto dal d.lgs. 231/01) che si configura, tra l’altro, laddove venga accertata la commissione di un reato (fra quelli elencati nel d.lgs. 231/2001) da parte di un soggetto interno all’azienda stessa ad interesse o a vantaggio dell’impresa.

A tale ultimo proposito, per comprendere la rilevanza della scelta di eliminare la “responsabilità amministrativa dell’ente” dalla normativa “salva Ilva”, si pensi che l’applicazione del d.lgs. 231/2001 permetterebbe all’Autorità giudiziaria ciò che la norma penale, destinata alla repressione dei reati commessi dalle sole persone fisiche, non può consentire: vale a dire la possibilità di disporre il sequestro e l’eventuale confisca dei beni nella disponibilità dell’azienda, che spesso costituiscono patrimoni di ingentissimo valore.

Nel giugno del 2017 la società Arcelor Mittal è subentrata nella gestione dell’impianto siderurgico, ma nel contratto di affitto sottoscritto con il governo – è bene precisarlo – non era previsto alcuno specifico impegno da parte del governo di garantire per il futuro la permanenza dello scudo penale, ma solo la possibilità per la Arcelor Mittal di svincolarsi dall’impegno contrattuale qualora fossero intervenute modifiche alla normativa ambientale. Non penale quindi, ma ambientale.

In conclusione, se la permanenza dello scudo penale non era stato oggetto di specifico accordo fra la multinazionale franco-indiana e il governo, qual è la vera ragione per cui la Arcelor Mittal intende sottrarsi dalla gestione dello stabilimento siderurgico? Difficile dirlo, ma con la presentazione del ricorso al Tribunale di Milano volto alla risoluzione del contratto, la società ha già ottenuto la disponibilità del governo a ridiscutere le condizioni del contratto a suo tempo concordate, soprattutto in riferimento ai costi della bonifica dell’area ex Ilva, per cui Arcelor Mittal ora chiede che intervengano investimenti pubblici per circa un miliardo di euro.

Peraltro, è notizia di questi giorni che i Commissari straordinari che hanno sottoscritto il contratto di affitto dello stabilimento siderurgico con Arcelor Mittal hanno presentato ricorso al Tribunale civile di Milano, oltre a un esposto alla Procura della Repubblica di Taranto, in quanto la multinazionale starebbe cercando di perseguire l’“illegittimo intento” di sciogliere il contratto d’affitto, adottando comportamenti preordinati a “recare un livello di offensività devastante tanto per la produzione di settore quanto per l’intera economia nazionale”.

Gli stessi Commissari denunciano, tra l’altro, che in base al contratto d’affitto, è stato consegnato alla Arcelor Mittal un magazzino per un valore di 500 milioni di euro di materie prime che, però, nel tempo sarebbe stato svuotato.

Per il momento, va detto, si tratta solo di ipotesi di reato, ma dinanzi ai rischi legati alla salute pubblica e all’occupazione, oltre alla necessità per il Paese di garantire la sopravvivenza del proprio stabilimento siderurgico, sarebbe prudente che la politica valutasse attentamente le reali intenzioni della multinazionale franco-indiana, per evitare la creazione di aree di impunità intorno a investimenti che perseguono unicamente il soddisfacimento di interessi privati.

Avv. Francesca Garisto

Avv. Fabio Savoldelli

“Stalking e violenza di genere, quando il datore di lavoro ha il potere di ricattare”, Il Fatto Quotidiano.

Il Fatto Quotidiano, 26 ottobre 2017.

Tanto scrivono e tanto parlano i nostri media istituzionali di “violenza di genere” e di “violenza degli uomini sulle donne”, attraverso voci che condannano rumorosamente il fenomeno e che puntano il dito sugli autori degli efferati delitti in cui nessuno sembra riconoscersi. Ciò senza impiegare una seria riflessione riguardo alla cultura in cui nascono e proliferano, così che il dibattito politico resta ancorato agli effetti e indifferente alle cause.

Quando poi questa violenza avviene nel contesto lavorativo, l’analisi deve considerare anche i rapporti di potere tipici della gerarchia nelle organizzazioni aziendali che troppo spesso portano a travalicare ogni limite consentito e accettabile.

Ci riferiamo a comportamenti che inducono gravissime ripercussioni sulla salute delle lavoratrici e che, oltre ad avere rilevanza dal punto di vista del diritto civile e del lavoro, possono costituire violazioni di norme penali e integrare reati come quello di “maltrattamento”, di “atti persecutori”, di “violenza privata” e altri ancora. Reati la cui componente violenta si trova anche nel malcelato ricatto che ha per oggetto la conservazione del posto di lavoro, in un’epoca in cui le garanzie dei lavoratori al riguardo vanno sempre più riducendosi.

Un caso paradigmatico in tal senso è quello oggetto della sentenza della Corte di Cassazione penale n. 35588/2017, emessa nell’ambito di un procedimento in cui abbiamo assistito la parte offesa, dipendente di un Ente locale e vittima di atti persecutori (stalking) da parte del proprio superiore gerarchico, anche fuori dall’orario e dal luogo di lavoro.

L’imputato esercitava nei confronti della persona offesa compiti di direzione, vigilanza e controllo, dei quali abusava in ogni momento della giornata, al fine di ottenere contatti con la dipendente, fino a farla sprofondare in un grave stato depressivo e di paralizzante prostrazione. Tali poteri direttivi, oltre a consentire all’imputato la possibilità di accesso illimitato al luogo di lavoro della dipendente, attribuivano efficacia autoritativa anche alle condotte persecutorie realizzate fuori dall’orario o dal luogo di lavoro, rendendo “l’assedio” sofferto dalla persona offesa sempre più pervasivo e soffocante.

La Corte di Cassazione, dopo aver confermato la condanna dell’autore dello stalking, ha postulato i requisiti per il riconoscimento della responsabilità civile del datore di lavoro, in quel caso la Pubblica amministrazione, ovvero la connessione tra il fatto dannoso del dipendente (autore dello stalking) e le mansioni da questi espletate nell’ambito del rapporto di lavoro (cosiddetto rapporto di “occasionalità necessaria”).

Tale imprescindibile condizione è stata in passato ritenuta integrata dalla Cassazione, qualora siano state le mansioni svolte dal dipendente ad agevolare o rendere possibile il reato, e ciò anche se il dipendente abbia operato oltre i limiti delle proprie incombenze, o persino trasgredendo gli ordini ricevuti, purché entro l’ambito delle proprie mansioni (Cass. civ. n. 2574/1999).

Ma non solo.

La Cassazione aveva già stabilito che quando il reato è stato commesso dal dipendente nell’esercizio delle proprie funzioni, la responsabilità del datore di lavoro non viene meno neppure nell’ipotesi in cui il soggetto abbia agito per il perseguimento di finalità esclusivamente personali (Cass. civ. 13799/2015). Ciò purché vi sia un collegamento fra il reato del dipendente e le mansioni da questo svolte.

Nel caso della nostra lavoratrice, invece, la Corte di Cassazione penale, con la recentissima pronuncia sopra indicata, è andata oltre e ha affermato la sussistenza del rapporto di “occasionalità necessaria” tra il reato e le mansioni svolte, anche in riferimento alle condotte realizzate dal superiore gerarchico (e stalker) fuori dall’orario di lavoro.

Infatti, la Corte di Cassazione in questo caso ha affermato il principio di diritto secondo il quale sussiste la responsabilità civile della Pubblica amministrazione, in qualità di datore di lavoro, anche per le condotte del dipendente che travalicano i compiti a questo assegnati, quali ad esempio le condotte realizzate in pausa pranzo o fuori dall’orario di lavoro, in quanto “l’esercizio delle funzioni pubbliche ha comunque agevolato la produzione del danno in capo alla persona offesa”.

In buona sostanza, la Corte ha riconosciuto che l’autorità conferita all’imputato dal proprio ruolo di superiore gerarchico ricoperto nell’ambito dell’Amministrazione in questione, ha costituito il presupposto essenziale della condotta persecutoria oggetto di contestazione.

In casi simili pertanto, le lavoratrici e i lavoratori che dopo aver denunciato il proprio persecutore, autore di condotte talmente moleste o violente da integrare un reato, intendano costituirsi parti civili nel processo penale che ne seguirà, potranno citare in giudizio nel processo penale anche il datore di lavoro come responsabile civile, che dovrà rispondere patrimonialmente per il fatto dannoso del dipendente. Limitando così il rischio che al buon esito del processo penale, il diritto al risarcimento della persona offesa rimanga insoddisfatto per l’eventuale incapienza dell’imputato.

Occorre infine considerare che il principio appena illustrato relativo alla responsabilità civile del datore di lavoro, espresso dalla Corte di Cassazione nell’ambito della descritta vicenda di stalking, ha assunto rilevanza penale in considerazione della decisione della persona offesa di presentare denuncia nei confronti del proprio superiore, ma è applicabile a tutti i casi di mobbing e di molestie realizzate nell’ambito del rapporto di lavoro, quand’anche la vittima si limiti a promuovere la sola causa civile per il risarcimento del danno da fatto illecito.

avv. Francesca R. Garisto

avv. Fabio Savoldelli

“Privacy sul lavoro – ecco come tutelare i dati personali sul web. Parte 2”, Il Fatto Quotidiano.

IlFattoQuotidiano.it del 19 luglio 2017

[continua da qui]

Abbiamo già parlato della tutela della privacy, approfondiremo adesso cosa significa per il lavoratore. Oltre a quanto detto, bisogna aggiungere che quello regolamentato dall’art. 167 del codice privato è un reato procedibile d’ufficio, a significare che il procedimento penale può essere originato anche dalla comunicazione della notizia di reato pervenuta alla Procura competente da parte di terzi estranei al trattamento.

Tale circostanza assume particolare rilevanza proprio nell’ambito dei rapporti di lavoro, consentendo al lavoratore oggetto del trattamento illecito di dati di “non esporsi” presso il datore di lavoro con una denuncia all’Autorità giudiziaria, la quale, pertanto, può anche essere sporta dai rappresentanti delle organizzazioni sindacali (Oo. Ss.) all’interno dell’azienda.

L’innovazione tecnologica e l’utilizzo sempre più diffuso di dati personali dei consumatori e dei lavoratori per finalità economiche, impone infatti anche alle organizzazioni sindacali di dirigere i propri sforzi sul tema della privacy nei luoghi di lavoro.

Nonostante la descritta “duttilità” dell’art. 167 cod. privacy, tuttavia, sul punto si registra una scarsa giurisprudenza dei giudici penali italiani, a testimoniare un insufficiente ricorso dei lavoratori e soprattutto delle Oo.Ss. alla denuncia, la quale, per le ragioni sopra esposte, può invece costituire una tutela efficace per la privacy dei lavoratori avverso il trattamento effettuato da persone fisiche, quali ad esempio il datore di lavoro, il dirigente o il collega.

Al fine di colmare tale lacuna e di ricomprendere quindi nel paradigma sanzionatorio così descritto anche il trattamento illecito di dati personali effettuato da persone giuridiche o a vantaggio delle stesse, a decorrere dal 25 maggio 2018, entrerà in vigore il regolamento generale sulla protezione dei dati (General data protection regulation-Regolamento Ue 2016/679, Gdpr), che sostituirà il codice della privacy vigente e con il quale la Commissione europea ha definito una disciplina unitaria per la protezione dei dati personali all’interno dell’Unione europea.

Le novità introdotte con il Regolamento riguarderanno, oltre agli enti pubblici, anche le aziende che, avendo uno stabilimento all’interno dell’Ue, trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’Ue stessa.

Senza entrare nel merito della nuova normativa, vale la pena considerare che, per quanto concerne il sistema sanzionatorio, il Regolamento ha aumentato l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo, rimettendo a ciascuno Stato membro le valutazioni inerenti all’introduzione di sanzioni di tipo penale.

Vedremo dunque nel futuro, in concreto, come verrà recepito questo nuovo impianto normativo all’interno di ciascuno Stato, ma fin d’ora possiamo dire che la particolare afflittività delle sanzioni previste dal Regolamento, determinerà certamente la necessità per le imprese e gli enti pubblici di porre la massima attenzione al rispetto della privacy dei dipendenti e dei consumatori e, al tempo stesso, fornirà ai lavoratori e alle Organizzazioni sindacali uno strumento particolarmente efficace, unitamente a quelli di natura penale già presenti nel nostro ordinamento, per resistere nel confronto che nascerà sul terreno, del tutto nuovo, della tutela dei dati personali nell’epoca dell’industria 4.0.

di Francesca Garisto  e Fabio Savoldelli 

“Privacy sul lavoro – ecco come tutelare i dati personali sul web. Parte 1”, Il Fatto Quotidiano.

IlFattoQuotidiano.it del 12 luglio 2017

L’avvento delle nuove tecnologie e il loro impiego, sempre più massiccio, nei luoghi di lavoro, impone di considerare la tutela della privacy un bene primario della persona, analogamente a quanto avviene per il diritto all’integrità fisica e del patrimonio. Per tale ragione, si rende necessaria la previsione di sanzioni di carattere penale o amministrativo, anche a carico delle imprese utilizzatrici, al fine di prevenire il rischio di trattamenti illeciti, da parte delle stesse, dell’enorme quantità di dati che avranno a disposizione per mezzo di tali tecnologie.

La legge di bilancio 2017 ha approvato, tra l’altro, il piano Industria 4.0: un intervento da 13 miliardi di risorse pubbliche per le micro, piccole e medie imprese che investono nello sviluppo delle nuove tecnologie. Con il termine Industria 4.0 si intende la cosiddetta “quarta rivoluzione industriale”, a seguito della quale si avrà un insieme di tecnologie che, grazie a internet, saranno combinate in modo sistemico in nuovi processi produttivi.

Il conseguente avvicendamento a cui assisteremo fra la risorsa informatica e il lavoro umano, già in atto, andrà compiendosi anche tramite la disponibilità di dispositivi wireless che ricorrono a un impiego sempre più insistente di dati e informazioni, generati non solo dal web, dai dispositivi mobili e dai social media, ma anche dalle stesse macchine: componenti e sistemi meccanici digitalizzati e interconnessi ai fini della produzione (il cosiddetto Internet of thingsIoT).

Tra i problemi più complessi che presenta l’industria 4.0 c’è quello che riguarda la natura dei dati personali che verranno utilizzati nell’organizzazione del nuovo modello di produzione. In particolare, per quanto riguarda le implicazioni che queste tecnologie produrranno sui luoghi di lavoro, le macchine, per mezzo di sensori e telecamere, potranno registrare una quantità enorme di dati, diventando così una sorta di Grande fratello, che osserva il luogo di lavoro e quindi, fosse anche indirettamente, i lavoratori.

Rispetto alla complessità della materia e all’urgenza di individuare una serie di norme che tutelino il diritto alla privacy dei lavoratori a fronte della diffusione di queste nuove tecnologie, il nostro ordinamento giuridico si attarda su una disciplina inadatta a costituire un valido deterrente per le imprese, multinazionali e non, attratte dalla possibilità di disporre di una quantità enorme di dati e informazioni cui attingere per regolare la propria azione sul mercato, ma anche, con tutta probabilità, per scegliere e controllare il proprio personale dipendente.

Infatti, oltre alle norme di diritto civile che intervengono a tutela del lavoratore, laddove questi subisca un danno dal trattamento dei propri dati personali, le sanzioni previste dall’ordinamento per questo tipo di condotte illecite sono ancora troppo blande per contenere l’azione degli operatori del mercato più facoltosi e spregiudicati.

In particolare, tali sanzioni sono rinvenibili nel codice della privacy e, in senso lato, negli articoli 616 e seguenti del codice penale. Per quanto riguarda gli illeciti penali previsti dal codice della privacy, particolarmente rilevante è quello di cui all’art. 167, il quale, sotto la rubrica “trattamento illecito di dati”, punisce il trattamento illecito di dati personali, sensibili o giudiziari, al fine di trarne per sé o altri un profitto, ovvero per arrecare nocumento, un danno, a terzi.

In una recente sentenza della Corte di Cassazione, è stato stabilito che il “nocumento” previsto dall’articolo 167 del codice privato deve essere inteso come un pregiudizio giuridicamente rilevante subito dalla persona alla quale si riferiscono i dati o le informazioni protette, che può essere di natura sia patrimoniale che non patrimoniale (cfr. Cass. pen. n. 15221/2016).

In buona sostanza, l’apertura della giurisprudenza alla tutela delle lesioni di natura non patrimoniale, rende l’art. 167 cod. priv. uno strumento particolarmente flessibile per la tutela della riservatezza dei lavoratori, i quali, diversamente, potrebbero dimostrare l’esistenza di un danno patrimoniale solo in presenza di provvedimenti disciplinari come licenziamento o demansionamento (cioè l’assegnazione di mansioni inferiori alle proprie qualifiche), mentre secondo la citata decisione della Cassazione, sono ricompresi nell’art. 167 cod. priv., a titolo di esempio, anche i danni di natura morale conseguenti il trattamento illecito dei propri dati ad opera del datore di lavoro. Ma di questo aspetto parleremo in modo più approfondito nel prossimo post.

di Fabio Savoldelli e Francesca Garisto.

[CONTINUA…]