***
Italia: la tutela della privacy e il trattamento dei dati del lavoratore in regime di smart- working
Il Protocollo condiviso di regolamentazione per il contrasto e il contenimento della diffusione del virus COVID 19 negli ambienti di lavoro (d’ora in poi Protocollo) adottato in data 14.03.2020 dalle parti sociali (d’ora in poi Parti) su invito del Governo Italiano ha tenuto conto, della necessità e della rapidità nell’applicazione del lavoro agile, già previsto nel nostro ordinamento dalla legge 81/2017. Ai nostri fini, rileva l’art. 8 del predetto Protocollo, rubricato “Organizzazione Aziendale (Turnazione, Trasferte E Smart- Work, Rimodulazione Dei Livelli Produttivi)” che prevede, fra l’altro, l’utilizzo dello smart- working, da parte delle imprese, per tutte quelle attività che possono essere svolte presso il domicilio o a distanza (…).
Ai sensi dell’art. 21 della legge 81/2017 il lavoro agile o “smart- working” consente al lavoratore subordinato di svolgere la propria attività lavorativa in assenza di vincoli di orario e di luogo di lavoro, a seguito della sottoscrizione di uno specifico accordo con il datore. L’utilizzo di questo modello lavorativo in questi giorni, nella maggioranza dei casi, è avvenuto in assenza dell’accordo e, a maggior ragione, pertanto, deve integrarsi con la normativa riguardante la riservatezza ed il trattamento dei dati personali, ossia il d.lgs. 196/2003, ed il più recente Regolamento dell’Unione Europea 2016/679 (GDPR).
Vi sono due diversi profili verso cui l’applicazione delle due discipline (lavoro-privacy) riverbera i suoi effetti: la tutela della privacy e il trattamento dei dati del lavoratore in regime di smart- working, e la sicurezza dei dati dell’azienda, a tutela dei propri clienti e fornitori.
Per motivi brevità questo testo approfondirà la tematica del GDPR unicamente in relazione al secondo aspetto.
Al fine di consentire al lavoratore “a distanza” di poter adempiere agli obblighi lavorativi, il datore di lavoro deve mettere a disposizione di questo tutta la documentazione (es. files, cartelle di lavoro) e informazioni necessarie (dati del cliente o del fornitore ecc.) suscettibile di protezione da parte del titolare del trattamento (il datore di lavoro).
In via preliminare, va detto che il datore potrebbe trovare un aiuto valido, per circoscrivere le informazioni, negli strumenti previsti dal GDPR ossia il registro dei trattamenti, ex art 30 GDPR e la valutazione dell’impatto dei trattamenti, ex art. 35 del GDPR.
Il problema che si pone nella condivisione delle cartelle e files (mediante VPN o Cloud) sta nel fatto che il datore/titolare trattamento dati non può direttamente controllare il corretto utilizzo degli stessi. I sistemi di protezione (es. antivirus, firewall) di una azienda sono molto più sofisticati rispetto a quelli presenti sui dispositivi (tablet, laptop, smartphone) di un singolo. Se tutto questo era un problema che il datore ed il lavoratore “a distanza” hanno potuto regolare mediante un “accordo di lavoro agile” ex art. 21 della l. 81/2017 e/o con la previsione di policy aziendali ad hoc, la celerità con cui si è dovuto scegliere lo smart-working al fine di limitare gli spostamenti nell’emergenza Covid-19, ci spinge a chiederci se in effetti si stiano rispettando le regole base, a tutela dei dati, per evitare il c.d. Data Breach (artt. 33-34 GDR). Qui di seguito si riportano alcuni accorgimenti che, in generale, e ancor di più in caso di lavoratore “a distanza” si dovrebbero tenere: lock screen del device nel caso di allontanamento dallo stesso; password alfanumerica del device e dell’account (sequenza di numeri e lettere di almeno 8 caratteri da modificare con cadenza periodica); non permettere ad altri utenti di utilizzare il proprio account; aggiornamento del software antivirus aziendale, se possibile fornito anche ai lavoratori; non utilizzare supporti esterni (es. usb); non salvare sul proprio device i file aziendali. In caso di possibile perdita dei dati (es. smarrimento, furto del device) il lavoratore devi avvisare il Titolare del Trattamento, che notificherà la violazione all'autorità di controllo entro 72 ore (v. Art. 33 GDPR). Deve essere avvertito l’interessato se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (v. Art. 34 GDPR).
I metodi per prevenire o limitare una violazione dei dati ci sono. È tuttavia importante che il datore di lavoro abbia responsabilizzato i propri dipendenti nel tenere condotte idonee volte a garantire la salvaguardia dei dati. Le regole senza il buon senso valgono a poco, ognuno di noi deve fare il possibile per la tutela dei dati, nostri, degli altri, dell’azienda in cui lavoriamo.
Stati Uniti: emergenza coronavirus
La dichiarazione di emergenza nazionale del Presidente Trump dello scorso 13 marzo e l’emergenza Coronavirus hanno effetto sulle imprese Statunitensi e sugli obblighi relativi alla sicurezza sul lavoro. In effetti, se da un lato un datore di lavoro ha l’obbligo di mantenere un luogo di lavoro sicuro per i lavoratori e di dare informazioni rispetto ai rischi dei luoghi di lavoro ai sensi della General Duty Clause dell’Occupational Safety and Health Act (OSHA), dall’altro dovrà bilanciare le esigenze di sicurezza con considerazioni sulla privacy personale tenendo conto di diverse normative, alcune delle quali vengono di seguito riportate.
American With Disabilities Act, (ADA)
L’ADA protegge i dipendenti dalla discriminazione basata sulla loro disabilità o sulla disabilità percepita. Sarà necessario mantenere la massima attenzione ai possibili rischi di discriminazione ai sensi dell’ADA in quanto il termine disabilità viene definito in maniera molto ampia e pertanto potrebbe applicarsi a coloro che sono contagiati o che si sospetta possano essere contagiati dal Coronavirus.
L’ADA, obbliga altresì, al mantenimento della riservatezza di informazioni e registri medici dei dipendenti e vieta al datore di lavoro di fare domande relative alla disabilità e di richiedere esami medici dei dipendenti, salvo in circostanze limitate. Ai sensi di ADA sembrerebbe pertanto impossibile rilevare la temperatura dei dipendenti, in quanto la misurazione della febbre implica l’utilizzo di un dispositivo medico. Tuttavia, la guidance dell’Equal Employment Opportunity Commission, a seguito della dichiarazione di pandemia, offre maggiore flessibilità ai datori di lavoro impegnati a rispettare il dovere generale di sicurezza sul luogo di lavoro. Ad esempio, a seguito della dichiarazione di pandemia, i datori di lavoro possono sottoporre a screening i dipendenti per misurare la temperatura degli stessi prima di consentirgli di entrare nel luogo di lavoro.
Raccolta dati e Privacy Laws
Anche a fronte di una dichiarazione di pandemia che consente un “rilassamento” di alcune regole, i datori di lavoro devono procedere con grande cautela e attenzione quando cercano di raccogliere, utilizzare e condividere informazioni personali dei propri dipendenti relative al coronavirus, al fine di garantire la conformità delle proprie azioni con la legislazione in materia di privacy nei diversi Stati Americani.
In via generale alcune linee guida per la raccolta e l’utilizzo di dati al fine di mantenere la sicurezza sul lavoro sono:
- Minimizzazione e proporzionalità nella raccolta ed utilizzo dati
Qualora un datore di lavoro richieda informazioni personali dai dipendenti, dovrebbe raccogliere solo le informazioni fondamentali per raggiungere l’obbiettivo di gestire in modo efficace il rischio e per la salvaguardia della salute e del benessere della sua forza lavoro.
- Considerare solo i fatti
I datori di lavoro, se necessario, dovranno condividere solo le informazioni relative a casi confermati di Covid 19.
- Informativa sulla privacy
Nuove leggi sulla privacy, tra cui il California Consumer Privacy Act, impongono alle aziende l’obbligo di fornire un "avviso di raccolta" che impone, oltre al mantenimento di una politica generale sulla privacy, la diffusione di avvisi puntuali alle persone prima o a seguito della raccolta delle informazioni personali (e impedisce la raccolta di dati in assenza di tali comunicazioni). Pertanto, i datori di lavoro dovrebbero determinare se sono soggetti a tali requisiti e, in tal caso, dovrebbero garantire che vengano diffusi avvisi in tempo reale quando vengono raccolte informazioni o dati relativi al coronavirus.
- Health Insurance Portability and Accountability Act (HIPPA)
I datori di lavoro che sponsorizzano piani sanitari per I propri dipendenti potrebbero ricevere informazioni personali protette (PHI) da Health Care Provider, che sono soggetti HIPPA. In effetti, sulla base della guida diffusa dall’ Office for Civil Rights (“OCR”) dello U.S. Department of Health and Human Services (“HHS”), gli Health Care Provider potranno condividere (PHI) con chiunque: “as necessary to prevent or lessen a serious and imminent threat to the health and safety of a person or the public”.
- Sicurezza informatica
I datori di lavoro dovranno assicurare il mantenimento di meccanismi di salvaguardia in tema di cybersecurity a fronte di un aumento dei casi di pishing, relativi alla diffusione di informazioni relative al Coronavirus, valutando anche l’opportunità di formare i propri dipendenti nel riconoscimento degli attacchi di pishing.
