La diffusione del coronavirus sul territorio italiano ha determinato il Governo all’adozione di una serie di misure di contenimento che, inevitabilmente, si sono riverberate sulle attività produttive, alterandone sensibilmente la quotidiana operatività.

Nei primi giorni in cui si iniziava a prendere contezza della rapida escalation dei contagi, che avrebbe ben presto determinato la situazione d’emergenza, era già intervenuto sull’argomento il Garante per la protezione dei dati personali, temendo che le aziende potessero attivare delle procedure di controllo del personale dipendente e dei visitatori, e procedere alla raccolta e al trattamento di dati particolari (tali sono i dati relativi alla temperatura corporea e alla provenienza da zone a rischio o al contatto con persone risultate positive al tampone), senza acquisire il consenso degli interessati (necessario se si trattano dati sanitari) e, soprattutto, senza adottare adeguate misure di sicurezza.

Con il provvedimento del 2 marzo 2020, infatti, l’Autorità presieduta, in regime di proroga, da Antonello Soro, aveva ribadito che i datori di lavoro avrebbero dovuto “…astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra-lavorativa…” e che l’esercizio di tali controlli era demandato ai soggetti che istituzionalmente esercitano tali funzioni, rimarcando, chiaramente, le competenze delle autorità sanitarie e di pubblica sicurezza, oltre che della protezione civile.

Nel frattempo, il Governo promulgava uno dei primi provvedimenti per fronteggiare l’emergenza, sollecitando le aziende a far ricorso allo smartworking (lavoro da casa) e al lavoro agile (lavoro con modalità e tempi agevolati, non necessariamente coincidenti con una postazione fissa e con l’orario d’ufficio), al fine di limitare gli spostamenti sul territorio nazionale e i contatti tra le persone.

Al Decreto ha fatto seguito una rapida risposta dei datori di lavoro, pubblici e privati, con la regolamentazione delle attività da svolgere da remoto e con la diffusione di informative per il trattamento dei dati personali dei dipendenti adeguate al nuovo contesto in cui i lavoratori si sarebbero trovati ad operare.

Con il Decreto della Presidenza del Consiglio dei Ministri dell’11 marzo 2020, il Governo disponeva la chiusura della maggior parte delle attività produttive e, successivamente, con l’adozione del Protocollo condiviso con le parti sociali del 14 marzo 2020, venivano concordate le regole per i controlli e le cautele per i lavoratori rimasti in azienda (accordo peraltro già anticipato dallo stesso DPCM appena citato, che all’art. 1.7 prevedeva espressamente la raccomandazione di “assumere protocolli di sicurezza anti-contagio” favorendo in tal senso “intese tra organizzazioni datoriali e sindacali“).

I provvedimenti a promozione e  sostegno dello smartworking e del lavoro agile hanno ottenuto l’effetto positivo di far compiere alle aziende italiane un balzo in avanti, nella concezione del rapporto fiduciario con il lavoratore, che mancava da tempo e che ha portato in breve tempo l’Italia al passo – se non addirittura a livelli superiori – delle altre nazioni europee

L’adozione del lavoro a distanza ha degli indiscutibili benefici per le aziende, per l’ambiente e per i lavoratori, perché riduce i costi degli immobili e delle attrezzature necessari per garantire la prestazione lavorativa, genera una minore quantità di traffico sulle strade e quindi di inquinamento, determina una situazione di maggiore benessere psicofisico per il dipendente che non deve sopportare lo stress della guida o dello spostamento con i mezzi pubblici e può organizzarsi per lavorare in ambienti più confortevoli e con orari adattabili alle sue esigenze personali e familiari.

Il rovescio della medaglia è la mancanza di quella sicurezza, per i dati personali e per le informazioni aziendali, che sarebbero invece garantiti dal lavoro in ufficio.

Innanzitutto le postazioni all’interno delle abitazioni dovrebbero consistere in dispositivi dedicati esclusivamente all’attività lavorativa, meglio ancora se affidati in comodato dal datore di lavoro e dotati di tutti i sistemi di sicurezza idonei a garantire la protezione dei dati memorizzati in locale e trasmessi in rete. Si dovrebbero evitare situazioni di commistione tra i dati aziendali e le attività personali, soprattutto nell’ipotesi in cui il personal computer è condiviso con familiari ed amici, la cui attività, pur ipotizzando un comportamento già virtuoso con la predisposizione di diversi profili utente, potrebbe ugualmente esporre il sistema all’azione di virus e malware. Molto meglio utilizzare un dispositivo aziendale, preconfigurato dagli amministratori di sistema affinché possano utilizzarsi solo le applicazioni essenziali all’attività lavorativa e che possa collegarsi, in VPN o altra modalità protetta, ai server aziendali, consentendo la memorizzazione delle informazioni solo su questi ultimi e non in locale. L’approccio promiscuo è certamente quello che espone il dipendente e l’azienda a maggiori rischi di compromissione della sicurezza, anche perché raramente i dispositivi di rete casalinghi hanno caratteristiche tali da garantire la protezione dall’accesso non autorizzato o dall’intercettazione delle comunicazioni. Se le credenziali di accesso ai server aziendali possono essere configurate da remoto, affinché siano robuste e sostituite con frequenza periodica e ravvicinata, le misure organizzative e la formazione del dipendente devono fare affidamento sulla sua sensibilità al problema della sicurezza informatica e sulla volontà di rispettarle, poiché l’elemento umano è da sempre l’anello debole di ogni catena della sicurezza. Qualsiasi regola o misura può essere vanificata da condotte superficiali come lasciare le credenziali di accesso annotate sul classico post-it adesivo, posizionato sul monitor, confidando nel presunto disinteresse di familiari ed amici e sull’assenza di rischi all’interno dell’abitazione.

E’ quindi molto importante, da parte del datore di lavoro, l’adozione di adeguate misure di sicurezza volte a garantire la protezione dei dati personali ed aziendali e l’imposizione di regole ferree nella gestione degli anzidetti dispositivi, con divieto assoluto di condivisione e di promiscuità anche nell’uso della postazione di lavoro. Il dipendente dovrà avere cura di custodire adeguatamente anche i supporti cartacei, i fascicoli e le stampe, evitando di condividere perfino la scrivania e la stanza con altre persone, sia durante l’erogazione della prestazione lavorativa che in sua assenza. Per contro, il datore di lavoro dovrà puntare soprattutto sulla responsabilizzazione e sulla formazione, evitando di adottare misure di verifica e controllo troppo stringenti che, inevitabilmente, ricadrebbero nelle circostanze dell’art. 4 dello Statuto dei Lavoratori (L. 300/1970). Se è vero che l’attività svolta da remoto dal dipendente deve poter essere valutata attraverso le risultanze degli ordinari strumenti di lavoro (come avviene in locale, ad esempio, per i cassieri, attraverso i registri delle operazioni effettuate), è altrettanto vero che tali verifiche non possono sconfinare nel monitoraggio sistematico e continuo della prestazione lavorativa.

Non meno problematica è la disciplina dei dipendenti rimasti in azienda, soprattutto se addetti alle catene di produzione, che devono necessariamente raggiungere il posto di lavoro nei medesimi orari, rendendo così difficoltose e a rischio le operazioni di controllo preventivo. Il protocollo condiviso con le parti sociali ha autorizzato il trattamento dei dati del dipendente e del visitatore, limitatamente al periodo dell’emergenza, per la rilevazione della temperatura corporea e per l’individuazione di comportamenti a rischio, segnatamente individuati nell’aver frequentato soggetti risultati positivi al Covid-19 e nell’aver soggiornato in zone definite a rischio dall’Organizzazione Mondiale della Sanità, nei 14 giorni precedenti la rilevazione.

Tali trattamenti comportano, per il datore di lavoro, innanzitutto l’obbligo di minimizzare la raccolta e la gestione dei dati, evitando, ad esempio, di registrare la temperatura in concreto rilevata, limitandosi ad annotare, ai fini della preclusione dell’accesso alla struttura, l’eventuale temperatura corporea superiore ai 37,5 gradi. Rilevazione che, oltre a dover essere realizzata con strumenti idonei ad essere sanificati ad ogni utilizzo (salvo che non si tratti di dispositivi in grado di operare a distanza, come telecamere termografiche o termometri ad infrarossi), comporta l’obbligo di adottare ogni possibile cautela per non mettere in imbarazzo il lavoratore eventualmente risultato oltre misura e, nel contempo, per isolarlo in attesa della valutazione da parte del personale sanitario.
Anche gli accertamenti in merito alle condotte poste in essere nei 14 giorni antecedenti il controllo dovrebbero essere realizzati ponendo delle domande ed annotando solo la risposta positiva o negativa, senza rilevare ulteriori dati sull’identità dei soggetti frequentati o sulla effettiva provenienza, poichè tali accertamenti saranno successivamente oggetto di indagine da parte dell’Autorità di pubblica sicurezza, qualora l’interessato dovesse risultare positivo al corona virus.

Per il visitatore è opportuno mettere a disposizione una autocertificazione simile a quella già in dotazione alle Forze dell’Ordine, per rilevare il motivo della visita, il contatto aziendale e i dati sopra indicati, oltre ad un quesito di ordine generale su eventuali sintomi influenzali, per poter successivamente rendere edotte le Autorità dei controlli effettuati e poter ricostruire le visite. Per i dipendenti, viceversa, si ritiene possa risultare sufficiente un registro degli accessi, sul quale l’operatore provvederà ad annotare semplicemente le risposte positive o negative agli accertamenti e alle domande poste all’interessato, tenendo presente che tale adempimento deve essere ripetuto ogni giorno rapidamente, per non impattare negativamente con le esigenze lavorative.

Quanto alla base giuridica dei trattamenti, appare evidente come si possano rimarcare l’esistenza di un obbligo giuridico conseguente all’emanazione dei decreti emergenziali e alla necessità di tutelare i lavoratori dal contagio, oltre al legittimo interesse del datore di lavoro ad organizzare adeguatamente l’attività lavorativa. Dal punto di vista del termine di conservazione e delle misure di sicurezza, se appare scontata l’indicazione del criterio di fine emergenza per la cancellazione dei dati, meno immediata risulta l’individuazione delle cautele per l’archiviazione temporanea, che alcuni imprenditori hanno rapidamente risolto con l’affidamento a società esterne del rilevamento, in qualità di responsabili ex art. 28, Reg. UE 679/2016. anche nell’ipotesi di conservazione in azienda, ad ogni modo, si dovrà tener conto della natura particolare dei dati rilevati e della necessità, quindi, di accordare maggiore tutela ai registri e ai documenti, indipendentemente dalla memorizzazione su supporto cartaceo i informatico. Da tale punto di vista, potrebbe risultare utile una rilevazione tramite tablet e termometro digitale, per blindare immediatamente l’esito del controllo all’interno di un server aziendale al quale accedere solo per il tramite dell’amministratore di sistema, sicura garanzia di riservatezza, integrità e disponibilità del dato.

Gianluca Pomante – Fonte: Sicurezza magazine