La cosiddetta “Fase 2” dell’emergenza coronavirus Covid19 – quella che segnerà l’avvio del graduale ritorno alla normale vita di relazione e la ripresa delle attività economiche – è ormai imminente e le imprese si preoccupano di adottare i migliori metodi per garantire la sicurezza dei lavoratori alla ripresa dell’attività produttiva nel periodo emergenziale.
Tra queste, la Ferrari ha presentato il programma “Back on Track ”, organizzato su una struttura complessa multilevel, che sollecita riflessioni sul rischio di sbilanciamento del corretto equilibrio tra i diritti coinvolti: al lavoro, alla salute e alla privacy.
Stando alle dichiarazioni ufficiali, le fasi operative successive alla prima – che prevede l’applicazione del “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020 in forma “rafforzata” e con schemi studiati sulla base di specifiche caratteristiche organizzative aziendali – contemplano 1) lo screening dei collaboratori con esami del sangue; 2) l’allargamento del servizio alla “Comunità Ferrari”, ovvero ai familiari conviventi dei collaboratori, qualora interessati, e al personale dei fornitori presente in azienda, nonché 3) l’opportunità per ciascun collaboratore di servirsi di una app, per avere un supporto medico sanitario nel monitoraggio della sintomatologia del virus. Infine, 4) il progetto sarà supportato dal “tracciamento dei contatti delle singole utenze grazie alla medesima App, nel rispetto della privacy individuale grazie a una sua gestione esterna ed estranea a Ferrari”.
Il tutto con manifestazione volontaria di adesione da parte dei partecipanti.
Lungi dal voler sottoporre ad esame l’esperienza “Back on track ”, certamente questa offre lo spunto – che si vuol cogliere – di riflessioni sulle possibili criticità connesse, tra l’altro, 1) alla qualità di soggetto privato del Titolare del trattamento di contact tracing, 2) all’ambito (anche) lavoristico in cui si svolge il controllo, 3) all’estensione della platea di interessati, 4) all’individuazione della giusta base giuridica legittimante, 5) all’adeguatezza delle misure tecniche e organizzative (e che con valutazione ex post possano poi dirsi realmente efficaci) adottate.
Nel complesso sistema normativo che definisce gli ambiti di legittimità di trattamenti di dati personali con caratteristiche come quelle descritte, convivono le disposizioni del Regolamento generale per la Protezione dei Dati Personali, del d.lgs. n. 196/03 come modificato dal d.lgs. n. 101/08, quelle dello Statuto dei lavoratori, in particolare le disposizioni di cui all’art. 4 e 8, le previsioni dell’art. 10 del d.lgs. n. 276/2003, e quelle di cui al d.lgs. n. 81/08. Tutte ispirate a principi sovranazionali, come ad esempio quelli espressi dalla Carta dei diritti fondamentali dell’Unione Europea (che dichiaratamente si ripropone di “[…] rafforzare la tutela dei diritti fondamentali, alla luce dell’evoluzione della società, del progresso sociale e degli sviluppi scientifici e tecnologici […]” ) o come quelli espressi dalla Dichiarazione universale dei diritti umani.
L’ampio corpus normativo – sopra richiamato solo in alcune sue estensioni (si pensi anche alla normativa di rango secondario, ai provvedimenti delle Authority, ai documenti dell’EDPB, ecc.) – se per un verso è il baluardo posto ad argine di ogni pericolosa “deriva tecnologica”, al contempo crea le condizioni di affidamento degli interessati necessarie alla circolazione (volontaria e non obbligata) dei dati personali che li riguardano e, conseguentemente, costituisce lo strumento che rende possibile il raggiungimento delle finalità che di detta circolazione di dati necessitano, ivi compresa quella prevalente della tutela della salute pubblica.
Val la pena di sottolineare come si sia da molti evidenziato che la scelta di operare i trattamenti in parola su base volontaria possa avere l’effetto di compromettere l’efficacia degli stessi nel raggiungimento delle finalità dichiarate. E, obiettivamente, valutazioni di tipo tecnico/statistico fanno ritenere fondata questa valutazione. E’ il caso di ricordare che gli studi condotti – pur se su altre scale – dalla Università di Oxford (Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing – pubblicato su Science) e le evidenze riportate nel documento Mobile applications to support contact tracing in the EU’s fight against COVID-19 /Common EU Toolbox for Member States prodotto dall’eHealth Network della UE, hanno evidenziato che la limitazione dei sistemi di contact tracing ad ambiti troppo angusti frustrerebbe ogni velleità di riuscita.
Trasposto il dato scientifico sul piano giuridico, si potrebbe dire che la previsione di un sistema volontaristico (tenuto anche conto della platea relativamente ristretta rispetto agli ambiti di diffusione del virus) potrebbe rendere irrealizzabile il fine, con effetti negativi sulla liceità del trattamento ai sensi del GDPR: finalità determinata non realizzabile e inadeguatezza dei dati rispetto al fine.
E ancora. Ammettere che l’adesione al progetto aziendale di screening e di contact tracing dipenda da una scelta volontaria, equivarrebbe a dire che la base giuridica legittimante il trattamento sarebbe quella di cui all’art. 6 par. 1 lettera a) e art. 9 par. 2 lettera a), cioè sarebbe il consenso dell’interessato?
Anche questo interrogativo merita una riflessione più approfondita di quanto potrebbe apparire.
Le perplessità sono più d’una. Innanzi tutto anche il Comitato Europeo – EDPB nella “Lettera della Presidente del Comitato Europeo per la Protezione dei Dati alla Commissione europea sul Progetto di linee-guida in materia di app per il contrasto della pandemia dovuta al Covid-19” ha chiarito come “la volontarietà dell’utilizzo dell’app per il tracciamento dei contatti [1] non significhi che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso”. Il riferimento alla volontarietà deve essere considerato come forte richiamo alla “responsabilità collettiva”.
Pur cogliendo il riferimento ai soggetti pubblici nella richiamata nota, pare si possa affermare che il ricorso al consenso come base giuridica si espone a critiche anche in ambito privatistico, in particolare avuto riguardo i rapporti lavoristici e lo squilibrio psicologico tra datore e lavoratore insito in essi. E’ noto che proprio la difficoltà di ottenere un consenso libero e incondizionato ha portato a ritenere il legittimo interesse come migliore base giuridica legittimante i trattamenti operati dal datore di lavoro.
E ancora. Come detto, il progetto “Back on Track” si propone di porre in essere attività di screening e di tracking su di una platea più ampia rispetto alla compagine aziendale, così operando trattamenti di dati personali riferentisi a soggetti svincolati da ogni genere di rapporto giuridico col titolare.
E ciò, insieme a quanto risulterà chiarito in ordine alla finalità perseguita (che pare spostarsi dalla tutela del lavoratore verso quella di tutela della salute pubblica), alle tipologie e modalità dei trattamenti, alle caratteristiche degli interessati al dato e alle categorie a cui appartengono (ben oltre i limiti della compagine aziendale), fa ritenere inadeguato anche il ricorso alla lettera h par. 2 art. 9 del GDPR [2] (anche se il tema meriterebbe, forse, un approfondimento diverso a seconda che ci si riferisca allo screening e al contact tracing, e a seconda che ci si riferisca alla platea dei lavoratori o dei soggetti terzi).
Non soddisfa neanche l’ipotesi di ricondurre la base giuridica all’obbligo di legge di cui all’art. 6 par. 1 lettera c) [3] o art 9 par. 2 lettera b) [4], volendo considerare il programma implementato una forma di adeguamento ai disposti di cui al d.lgs. n. 81/08, che impongono l’obbligo datoriale di mantenere la sicurezza sul posto di lavoro. Questa interpretazione sarebbe inconciliabile, tra l’altro, anche col carattere volontario dell’adesione al programma che dovrebbe, al contrario, essere imposto [5]. E, più in generale, non pare corretto confondere i piani di prevenzione di malattie professionali o di infortuni sul lavoro con l’interesse collettivo alla tutela della salute pubblica.
Sintomatico, sul punto, è che il Protocollo condiviso del 14/03/2020, pure nella versione aggiornata al 24/04/2020, non richiama nessuna delle misure proposte nel programma “Back on Track” di screening e contact tracing, tra l’altro estese ad ambiti extra aziendali.
Verrebbe da pensare, allora, che il datore di lavoro, operando come sopra descritto, avocherebbe a sé le responsabilità imputabili ai soggetti investiti di compiti di interesse pubblico o connessi all’esercizio di pubblici poteri. Cioè, assumerebbe funzioni ordinariamente escluse dal novero delle funzioni tipizzanti i rapporti regolati dalle norme di natura giuslavoristica.
Pur astenendoci da complesse argomentazioni sul tema del progressivo deterioramento dei confini tra gli ambiti di pubblico e privato, di individuale e sociale, di personale e collettivo (deterioramento a cui concorrono la globalizzazione e il progresso tecnologico), pur dunque ammettendo che un soggetto giuridico di diritto privato, e in particolare un’entità datoriale, assuma funzioni di tal genere, deve rilevarsi che la regolamentazione dell’esercizio di detta funzione dovrebbe demandarsi a uno specifico atto legislativo.
Dunque, in assenza di un auspicato intervento ad hoc con norma di rango primario, pare di poter considerare improprio il riferimento alla base giuridica di cui all’art. 6, par. 1 lettera e) (“il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”), considerato anche quanto stabilito al par. 3 dello stesso articolo (“la base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell’Unione; b) o dal diritto dello Stato membro cui è soggetto il titolare del trattamento”).
Egualmente, sembrerebbe non idonea la base offerta dall’art. 9 paragrafo 2 lettera g) (“il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”) o dalla lettera i) del medesimo articolo (“il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”).
Si pensi, inoltre, ai precisi limiti posti dall’art. 2 ter del d.lgs. n. 196/03, introdotto dal d.lgs. 101/18, (“la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”) e dall’art. 2 sexies (“i trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”).
Sotto diverso profilo, pari perplessità sorgono relativamente all’affermazione secondo la quale il sistema di contact tracing con la medesima app garantirebbe il “rispetto della privacy individuale grazie a una sua gestione esterna ed estranea a Ferrari”. Se per “gestione esterna ed estranea” dovesse intendersi che i volontari aderenti avranno facoltà di utilizzare una app terza di gestione del contact tracing, verrebbe da considerare che detta facoltà è già riconosciuta al privato cittadino e non spetterebbe al datore di lavoro la potestà di concederla o limitarla. Inoltre, non avrebbe senso rimandare all’uso di app “scollegate” dalla gestione complessiva del progetto.
In ogni caso, il tema non è di secondaria importanza perché afferisce alla distribuzione delle responsabilità interne all’organizzazione che opera i trattamenti. La descrizione del programma “Back on Track” porterebbe a identificare il Titolare del trattamento nel datore di lavoro, poiché è esso stesso che determina le finalità e i mezzi del trattamento di dati personali. Tranne che l’affermazione per la quale al partecipante è solamente data facoltà di utilizzare una app con “gestione esterna ed estranea”, insieme alla circostanza per cui il partecipante è anche soggetto estraneo ed autonomo rispetto al datore di lavoro, possa fare pensare (anche questa argomentazione opinabile) a ipotesi di contitolarità ex art. 26 GDPR, secondo cui “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”.
Rimane, poi, il tema del superamento dei vincoli imposti dall’art. 4 dello Statuto dei lavoratori che, com’è noto – fermo il richiamo in esso contenuto al rispetto di quanto previsto dalla normativa sulla privacy e protezione dei dati personali – ammette l’impiego di strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Inoltre, ad eccezione dei casi in cui il controllo avvenga attraverso strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa o strumenti di registrazione degli accessi e delle presenze, lo Statuto impone un previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in mancanza, una preventiva autorizzazione del competente Ispettorato del Lavoro.
Ma anche alla luce delle considerazioni sopra svolte, che hanno evidenziato la sostanziale difformità del caso che ci occupa dall’adozione di misure di controllo dell’attività del lavoratore, dovrebbe operarsi un esercizio interpretativo oltremodo estensivo per far ricomprendere nelle ipotesi di esigenze organizzative, produttive o di sicurezza la finalità dichiarata del trattamento di contact tracing. Certamente temerario, poi, sembrerebbe ogni tentativo di considerare il device su cui è installata l’app uno strumento attraverso cui è resa la prestazione lavorativa.
Né, in alcun modo, può farsi derivare un utile spunto (se non che “a contrario”) dai precedenti provvedimenti emessi dal Garante per la protezione dei dati personali. Il Provvedimento n. 448/2014, emesso all’esito di una consultazione preventiva prevista dalla normativa applicabile a quell’epoca, ad esempio, ha ammesso la possibilità del ricorso alla localizzazione dei lavoratori con l’uso di tecnologia Gps (considerata più invasiva rispetto alle tecnologie oggi proposte che utilizzano tecniche identificative a mezzo bluetooth), ma lo ha fatto con riferimento a un sistema di controllo assolutamente dissimile da quelli allo studio:
- localizzazione del lavoratore con tecnologia Gps e non tracciamento dei contatti dei devices in uso agli interessati (che come detto non sono solo lavoratori, ma anche soggetti privi di alcun rapporto giuridico col datore di lavoro) con tecnologia bluetooth;
- obbligatorietà del trattamento e non adesione volontaria (che è invece caratteristica fortemente voluta dagli atti di indirizzo emessi dal EDPB e dal Garante privacy);
- base giuridica fornita dal legittimo interesse del datore di lavoro e non dal consenso degli interessati;
- attivazione non continuativa del sistema di localizzazione (metodo non ipotizzabile nell’occasione attuale, pena la definitiva frustrazione delle finalità del trattamento);
- divieto assoluto di ricostruzione dello storico degli spostamenti del lavoratore (che è invece caratteristica necessaria per “l’individuazione del percorso del virus”);
- divieto di acquisizione di dati relativi alla vita personale, diversamente dal sistema proposto che invece, dichiaratamente, si estende a soggetti estranei alla compagine aziendale (parenti dei lavoratori, fornitori operanti in azienda e loro parenti).
E, in ultimo, a infittire la nebbia che rende difficile seguire il tracciato di legittimità, come conciliare il ricorso a simili diffusi programmi aziendali – che in poco concorrono alla decentralizzazione dei sistemi di tracciamento, inteso quale approccio privacy oriented mirato non alla moltiplicazione degli strumenti di tracciamento quanto alla delocalizzazione e “distribuzione” degli archivi di dati personali, con risvolti positivi in termini di sicurezza e protezione – con i progetti paneuropei di coordinamento e con l’esigenza di adozione di soluzioni unitarie, con la necessità di interoperabilità tra le tecnologie e metodologie adottate. Si pensi alla già citata Raccomandazione della Commissione Europea, o al documento del eHealth Network per l’adozione di un “Common Eu Toolbox”, o alle linee guida del PEPP-PT, Pan-European Privacy-Preserving Proximity Tracing .
La questione non è di poco momento, e la conferma di come sia difficile segnare il corretto inquadramento giuridico delle ipotesi realizzabili rafforza il convincimento che sia necessaria una disciplina che – anche in ragione dei diritti sottesi – abbia la forza di fonte di rango primario. Saranno anche le doverose valutazioni d’impatto preliminari ai sensi dell’art. 35 del GDPR (e gli esiti delle consultazioni preventive ex art. 36 GDPR?) che dovranno mostrare il corpo nudo delle strategie adottate a difesa della sfera personale del cittadino, la cui pubblicità e facile conoscibilità sarebbero elementi di pari valore rispetto all’uso di codici sorgenti liberi e aperti.
[1] Com’è noto, fortemente raccomandata dalle Istituzioni europee, dall’EDPB, dal Garante Privacy
[2] Art. 9 par. 2 lettera h – Gdpr: “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”
[3] Art. 6 par 1 lettera c) – Gdpr “il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”
[4] Art. 9 par. 2 lett. b) – Gdpr: “l trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;”
[5] D.Lgs n. 81/08 – Art. 20 (obblighi di lavoratori) c.2 , lettera a): “I lavoratori devono in particolare: contribuire, insieme al datore di lavoro, ai dirigenti e ai preposti, all’adempimento degli obblighi previsti a tutela della salute e sicurezza sui luoghi di lavoro; lettera b) osservare le disposizioni e le istruzioni impartite dal datore di lavoro, dai dirigenti e dai preposti, ai fini della protezione collettiva ed individuale; lettera d) utilizzare in modo appropriato i dispositivi di protezione messi a loro disposizione;”
