ADEMPIMENTI PRIVACY

Compliance privacy per la gestione dell’emergenza e la ripresa dell’attività lavorativa: linee guida

Un approccio corretto alla compliance privacy aziendale in questa fase di emergenza sanitaria consente di evitare inesattezze e indecisioni nella realizzazione delle informative adatte e degli altri adempimenti. Ecco un’utile guida di supporto ai consulenti privacy per la predisposizione della documentazione idonea

06 Mag 2020
C
Rudy Caltagirone

Avvocato, Studio Legale Associato Monticone Caltagirone

Z
Paola Zanellati

Consulente Privacy


La compliance privacy (e più in generale la compliance aziendale), se correttamente approcciata, può rappresentare un utile strumento di gestione dell’emergenza e di comunicazione per la fase di ripresa dell’attività lavorativa.

È vero, infatti, che l’attuale situazione di emergenza sanitaria connessa alla diffusione del coronavirus e le misure di contenimento e gestione del contagio hanno già mostrato il proprio gravissimo impatto sulle aziende, che si trovano a dover adottare, da un lato, ogni soluzione idonea a salvaguardare l’attività d’impresa ed i posti di lavoro e, dall’altro lato, a tutelare la salute e la sicurezza dei propri dipendenti.

Gli interventi d’emergenza impongono una grande responsabilità, giuridica oltre che morale, per i datori di lavoro, i quali sono chiamati a rispettare nuovi obblighi e a trovare le soluzioni di concreta attuazione di questi rispetto alla specifica realtà in cui operano.

Il coronavirus impatta dunque fortemente sui temi di responsabilità aziendale e pone sotto i riflettori il tema della compliance, ovvero di quell’insieme misure che l’azienda deve adottare per garantire l’osservanza di norme giuridiche ed etiche che riguardano la sua attività.

Le aree di compliance che interessano trasversalmente tutte le aziende e che risultano fortemente coinvolte nella situazione emergenziale attuale sono certamente quella della sicurezza e salute dei lavoratori e quella della tutela dei dati personali, per le quali la violazione della normativa di riferimento rientra tra i reati presupposto della responsabilità amministrativa ex D.lgs. n. 231/2001.

Compliance privacy e tutela dei dati personali

Per quanto attiene il secondo tema della responsabilità aziendale oggetto della presente riflessione, quello della privacy, gli aspetti rilevanti sono due:

  1. la tutela dei dati personali dei dipendenti e dei terzi che chiedano di accedere ai locali aziendali;
  2. la tutela dei dati nell’ambito dello smart working.

In merito al primo aspetto, il Garante Privacy, aveva emanato il Provvedimento del 2 marzo 2020 nel quale invitava tutti i titolari del trattamento a non effettuare iniziative autonome che prevedessero la raccolta “sistematica e generalizzata” di dati anche sulla salute e sugli spostamenti di interessati normativamente non previste o disposte dagli organi competenti, aggiungendo che tali tipologie di trattamento sarebbero di competenza esclusiva di soggetti che istituzionalmente esercitano queste funzioni in modo qualificato (operatori sanitari e sistema attivato dalla protezione civile).

Successivamente i Provvedimenti del Governo hanno posto dapprima la possibilità, successivamente la raccomandazione, di rilevare la temperatura corporea di chi accede all’azienda.

I Provvedimenti dell’Autorità di controllo e del Governo non si pongono in contrapposizione ma, letti attentamente, dovrebbero delimitare le attività di trattamento che non devono essere sistematiche e/o generalizzate ma, al contrario, devono essere progettate in base al caso concreto, in ossequio ai principi fondanti di questa appassionante materia.

Questo tema pone tutta una serie di interrogativi che affollano la mente dei consulenti privacy e non solo.

Grande attenzione occorre prestare alla tipologia di soggetto a cui si indirizza il trattamento, ovvero, l’interessato, sia egli dipendente, cliente oppure fornitore.

Sempre se necessario.

Poniamo l’accento sulla necessità perché in relazione ai principi posti dalla regolamentazione europea in materia (Reg. EU n. 679/2016, GDPR), bisogna cercare di non effettuare trattamenti ultronei ma, soprattutto, inutili e dannosi, ovvero, forieri di eventuali segnalazioni.

A seconda del soggetto, occorrerà o meno e, ripetiamo, o meno predisporre idonea informativa, mantenendo l’attenzione sulla scelta della finalità, della base giuridica, del periodo di conservazione dei dati personali e di tutti gli altri elementi di cui all’art. 13 del GDPR.

Abbiamo visto un fiorire di modelli di informative e occorre dire che il modello, oltre a porsi in netta contrapposizione con il principio della privacy by design, crea anche problematiche relative al fatto che sono state, spesso, individuate finalità o basi giuridiche non presenti nel Regolamento Europeo, con le conseguenze che ne scaturiscono, per non parlare della loro lunghezza e della conseguente difficoltà di comprensione.

Ricordiamoci sempre che il documento di cui all’art. 13 ha per oggetto le informazioni rese all’interessato e se non raggiungono l’obiettivo, allora non assurgono ad essere informazioni ma l’esatto contrario, ovvero disinformazione.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

A ricordarlo è proprio il Comitato europeo per la protezione dei dati che con la Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di Covid-19 adottata il 19 marzo, ribadisce che: “gli interessati dovrebbero ricevere informazioni trasparenti sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento. Le informazioni dovrebbero essere facilmente accessibili e formulate in un linguaggio semplice e chiaro”.

Le basi giuridiche, per quanto criptiche, vanno scelte sulla base di quanto contenuto negli articoli 6 e 9 del GDPR, lo ha ribadito l’EDPB il 21 aprile 2020, asserendo, tra l’altro, che non esiste una gerarchia tra le basi giuridiche.

Ricordiamo che al Considerando n. 46 del Regolamento viene presa in esame proprio la possibilità che il trattamento sia necessario a fini umanitari “per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione”.

Con riguardo alla richiesta ai dipendenti dei dati relativi alla salute, ci si è limitati a ragionare con la normativa relativa alla sicurezza e salute nei luoghi di lavoro, ovvero al D. Lgs. n. 81 del 2008 e agli obblighi di riservatezza e segretezza della professione medica e i principi di proporzionalità e minimizzazione dei dati.

Proprio nella dichiarazione del 19 marzo 2020 dell’EDPB: “I datori di lavoro dovrebbero informare il personale sui casi di Covid-19 e adottare misure di protezione, ma non dovrebbero comunicare più informazioni del necessario”.

Tema ulteriore si è posto relativamente agli strumenti di rilevazione della temperatura, ovvero le varie tipologie di termo scanner.

Molti di questi strumenti necessariamente operano un trattamento di dati biometrici e arrivano sino ad essere considerati degli strumenti di controllo ai sensi della normativa in campo di diritto del lavoro.

Come tutti gli strumenti possono diventare essenziali ed aiutare i titolari del trattamento nella loro attività principale ma, devono essere utilizzati in maniera idonea:

  • cartelli contenenti le informazioni (quella frutto delle ultime linee guida del 2020);
  • informativa cartacea ovvero digitale;
  • valutazione d’impatto;
  • accordo sindacale ovvero deposito di richiesta all’Ispettorato territoriale o nazionale.

I rischi possono essere molteplici: dalla materia penale di cui alla L. n. 300/1970 (Statuto dei Lavoratori), sino alle sanzioni del Garante.

Un modo per evitare tali problematiche potrebbe essere quello di affiancare il vostro Responsabile della protezione dei dati (DPO) e il consulente privacy al Comitato di cui al Protocollo del 14 marzo 2020 ovvero all’RLS, all’RSPP, all’ODV e al Medico del lavoro ovvero agli altri Comitati previsti dal Protocollo del 24 aprile.

Quanto sopra per poter concertare le nuove procedure di accesso ai locali aziendali con tutti i soggetti coinvolti nella gestione della compliance dell’emergenza.

L’imperativo nel campo della privacy, essendo una materia trasversale, è la collaborazione con gli altri professionisti, in modo da procedere in maniera il più possibile compliant all’aggiornamento del Modello Organizzativo privacy adottato, ovvero quell’insieme di procedure create su misura per l’azienda in materia di trattamento e protezione dei dati personali.

Compliance privacy e tutela dei dati in smart working

Un secondo aspetto di compliance privacy riguarda la gestione dello smart working, che in questi giorni rappresenta uno strumento senz’altro da favorire, laddove possibile, quale forma di lavoro e che sta garantendo, in alcuni settori, la continuità nello svolgimento del lavoro.

Il Protocollo del 14 marzo 2020 all’art. 8 ha espressamente previsto che l’utilizzo dello smart working da parte delle imprese, debba essere utilizzato ed incentivato per tutte quelle attività che possono essere svolte presso il domicilio.

Lo strumento in discorso ha l’indubbio vantaggio, nella gestione dell’attuale emergenza, di permettere la prosecuzione dell’attività lavorativa, evitando spostamenti. Questo, però, comporta alcune criticità, tra le quali, per quanto oggetto del presente contributo, quella della sicurezza informatica aziendale e della gestione dei dati personali.

I dati gestiti da remoto vengono trasferiti da un posto ad un altro, uscendo dalla sicurezza della rete interna aziendale.

Si consideri, tra l’altro, che abbiamo a che fare con uno smart working esteso e gestito in emergenza, anche da chi prima non lo aveva sviluppato o che lo limitava ad alcuni settori della propria attività. Questo comporta che si sia fatto affidamento anche su device e strumenti personali, i quali spesso non sono attrezzati per garantire le opportune misure tecniche di sicurezza.

Eppure, l’azienda trasmetterà al lavoratore a distanza documentazione (es. files, cartelle di lavoro) e informazioni (dati del cliente o del fornitore ecc.) riservate e strategiche.

In primo luogo, sarà allora essenziale che l’azienda operi preventivamente una valutazione dell’impatto dei trattamenti, limitando il trasferimento e il trattamento dei soli dati necessari all’attività lavorativa.

In secondo luogo, sarà opportuno responsabilizzare i dipendenti nel tenere condotte idonee a garantire la salvaguardia dei dati, proteggendo il proprio device attraverso password adeguate, da modificare con cadenza periodica, non permettendo ad altri utenti di utilizzare il proprio account, aggiornando l’antivirus, non utilizzando supporti esterni (es. USB) e non salvando sul proprio device i file aziendali se non necessario.

Ancora, sarà utile divulgare tra i dipendenti in smart working, un regolamento o una circolare contenente istruzioni per il caso di un possibile data breach (deterioramento o perdita dei dati ad es. per smarrimento o furto del device, per attacco di un virus ecc.), ammonendo il lavoratore di avvisare il titolare del trattamento, che notificherà la violazione all’autorità di controllo entro 72 ore (art. 33 GDPR).

Al fine di garantire l’implementazione e il rispetto delle misure sopra riportate, sarà necessaria una stretta collaborazione tra l’organo direttivo, i responsabili e incaricati privacy (e DPO ove presente) e i responsabili delle risorse umane che possano essere un punto di riferimento per i dipendenti in caso di necessità.

Misure tecniche di sicurezza

Le misure organizzative devono essere affiancate da adeguate misure tecniche di sicurezza, cioè attinenti alla cybersecurity, come:

  • favorire l’utilizzo di dispositivi aziendali, fornendo ai lavoratori – ove possibile – i mezzi necessari per lavorare da casa in modo da ridurre il più possibile l’utilizzo di dispositivi personali e vietando, sui dispositivi aziendali, l’uso dei social e l’accesso a siti non utili per il lavoro;
  • utilizzare una connessione VPN affidabile;
  • rendere disponibili tecnologie sicure per operare sui documenti necessari per l’attività lavorativa, soprattutto ove il lavoratore debba utilizzare i propri dispositivi personali;
  • installare software antivirus, sui dispositivi personali dei lavoratori, ove debbano essere utilizzati per attività lavorative;
  • predisporre la strumentazione necessaria per permettere al personale IT di fornire da remoto il supporto necessario ai lavoratori e di intervenire con efficacia e tempestività in caso di data breach.

Si ribadisce che, ai sensi dell’art 32 del GDPR, l’adeguatezza delle misure tecniche e organizzative adottate può essere valutata tenendo conto dello stato emergenziale e delle risorse a disposizione del datore di lavoro.

Informazioni per il lavoratore e controlli a distanza

L’introduzione dello smart working può comportare ulteriori trattamenti di dati personali da parte dell’azienda e/o trattamenti effettuati con diverse modalità rispetto a quelli abitualmente utilizzati.

L’azienda non può monitorare sistematicamente l’attività del lavoratore, pertanto è vietato usare i software aziendali e le altre tecnologie digitali per capire se lo smart worker è al PC oppure no, se sta lavorando oppure se sta compiendo attività extra lavorative.

L’uso di tali software, infatti, potrebbe costituire un controllo a distanza del lavoratore ed è consentito esclusivamente alle condizioni previste dalla L. 300/70 e, in particolare, dall’art. 4 della stessa. In ogni caso, e sempre che siano soddisfatte le condizioni previste dall’art. 4, è importante, ai fini privacy, che l’azienda garantisca che:

  • tali controlli siano pertinenti e proporzionati rispetto alla finalità perseguita ed effettuati – ove possibile considerate le circostanze – con gradualità, analizzando i dati su base aggregata e solo ove strettamente necessario compiendo controlli su base individuale, circoscrivendo in maniera ragionevole il numero dei soggetti controllati;
  • i lavoratori siano informati in maniera dettagliata sulle modalità e le caratteristiche dei controlli, illustrando come e quando i dati vengono raccolti dai software aziendali e in quali situazioni possono essere utilizzati, fornendo tutte le informazioni richieste ai sensi dell’art. 13 del GDPR (finalità del trattamento dei dati personali, base giuridica, tempo di conservazione dei dati ecc.).

Conclusioni

Nell’attuale situazione di emergenza la compliance privacy ha un’importanza determinante, non solo in termini di mitigazione del rischio, ma anche di creazione di valore aziendale e di rafforzamento della fiducia del pubblico ed in particolare potrà averla quanto l’emergenza sarà passata, in un contesto di mercato che potrebbe rimanere diffidente e timoroso per molto tempo.

Le aziende dovranno probabilmente fare i conti con un mondo cambiato, ma avranno preso consapevolezza, oltre che delle proprie debolezze, dei propri punti di forza e potranno comunicarlo al mercato, con trasparenza e serietà.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Ecco allora che potrà essere utile riscoprire il tema della compliance privacy quale metodo di gestione del rischio e quale strumento di consapevolezza e di comunicazione dei valori aziendali agli utenti: sia esterni (il mercato avrà bisogno di fidarsi dei valori e della tenuta della azienda), sia interni (i dipendenti, responsabilizzati dall’attuale smart working esteso ad ogni livello, potranno trovare stimolo nello riscoperto spirito di squadra che l’azienda potrà magari valorizzare, comunicando loro valori chiari e trasparenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2