Il contact tracing nel contesto aziendale: quadro normativo e limiti di utilizzo - Cyber Security 360

DATA PROTECTION

Il contact tracing nel contesto aziendale: quadro normativo e limiti di utilizzo

Il diritto del lavoro e il diritto alla privacy pongono importanti, e al momento insuperabili, limiti all’utilizzo di strumenti per il contact tracing nel contesto aziendale da parte dei soggetti privati. Proviamo a fare un po’ di chiarezza per individuare possibili soluzioni

17 Nov 2020
G
Andrea Grillo

Legal Consultant presso P4I - Partners4Innovation


Le aziende si trovano oggi nella scomoda posizione di cercare di portare avanti la loro attività in un mondo contrassegnato da una pandemia che è ormai entrata a far parte della nostra anomala quotidianità: ecco perché, nel tentativo di trovare la soluzione ottimale, il contact tracing prende sempre più piede anche nel contesto aziendale.

Gli interventi del governo e del legislatore hanno, in questa seconda ondata, lasciato più ampi margini di operatività per le aziende. Prendendo in considerazione le indifferibili esigenze economiche, di imprenditori e lavoratori, si è deciso di mantenere aperte il maggior numero di imprese possibili, pur cercando di tutelare quel bene supremo che è la salute pubblica.

Tra le imprese che possono continuare a svolgere la loro attività rientrano, a titolo di esempio, l’intero comparto industriale, dell’artigianato e dell’edilizia. Decine di migliaia di lavoratori, per i quali lo smart working non è una soluzione attuabile, sono quindi chiamati a prestare la loro attività lavorativa in un contesto potenzialmente pericoloso per la loro salute.

Abbiamo difatti avuto modo di constatare, nel corso di questi mesi, la pericolosità di questo virus connotato da un forte grado di contagiosità e avente un effetto dirompente sul sistema sanitario nazionale.

Al fine di contrastare il contagio all’interno del luogo di lavoro tecnici ed esperti del settore si sono quindi adoperati al fine di investigare quali potessero essere gli strumenti maggiormente efficaci nel garantire la salute dei lavoratori chiamati a recarsi sul luogo di lavoro anche nel corso della pandemia.

App Immuni e contact tracing nel contesto aziendale

Ad aprile di quest’anno il governo ha adottato – attraverso un allegato ad uno dei famosi DPCM (strumento normativo quanto mai in auge) – un protocollo condiviso anti-contagio che fornisce indicazioni precise sugli adempimenti che è opportuno porre in essere da parte dei singoli settori produttivi.

Il protocollo è stato a più riprese rimaneggiato nel corso di questi mesi (da ultimo il 3 novembre u.s.) ma l’impianto è rimasto pressoché invariato. Alcuni capisaldi sono infatti ormai evidentemente imprescindibili: utilizzo consapevole dei dispositivi di sicurezza (in primis mascherine), distanziamento sociale ed altre best practice e indicazioni da seguire scientemente.

Nel DPCM di aprile si è poi ufficializzata l’adozione dell’app Immuni quale strumento di contact tracing individuato dal governo per permettere di risalire ad eventuali contatti stretti dei soggetti che risultavano positivi alla COVID-19.

Si tratta di uno strumento a lungo discusso (talvolta impropriamente). Posti infatti i limiti tecnologici di uno strumento sviluppato in un regime di urgenza ed emergenza, il vero limite di questa app è connesso a dei fattori prettamente umani/sociologici.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

L’efficacia di Immuni è infatti strettamente legata al numero di soggetti che decidono volontariamente di scaricare l’app sul proprio dispositivo ed utilizzarla. Dagli ultimi numeri a nostra disposizione – fonte Ministero dell’Innovazione – Immuni è attualmente utilizzata da poco più di 8 milioni di italiani, circa il 16% della popolazione. Una cifra ben al di sotto del 60%, inizialmente ipotizzata quale soglia affinché tale app fosse pienamente efficace.

Molte aziende, consapevoli dei rischi connessi ad un eventuale focolaio all’interno dell’azienda hanno quindi iniziato ad interrogarsi sulla possibilità, tra le altre cose, di dotare i propri lavoratori di sistemi di contact tracing aziendali che permettano di far rispettare il distanziamento sociale e di rintracciare, in maniera agevole, i contatti stretti di eventuali soggetti (lavoratori o visitatori) risultati positivi alla COVID-19.

I limiti all’utilizzo di app o altri strumenti privati

Il mercato offre diverse soluzioni di contact tracing nel contesto aziendale, ma l’utilizzo di questi strumenti è lecito?

Nelle FAQ pubblicate sul proprio sito istituzionale, l’Autorità Garante per la protezione dei dati personali si è espressa circa la possibilità di utilizzare dei dispositivi indossabili, da lavoratori e visitatori, per il monitoraggio e il contenimento della COVID-19 sul luogo di lavoro.

Il Garante ha espressamente previsto che il datore di lavoro possa decidere di ricorrere a tali dispositivi, solo nel caso in cui l’utilizzo di questi strumenti non comporti il trattamento di dati personali riferibili a soggetti identificati o identificabili (anche attraverso un codice o altra informazione) e non comporti la registrazione dei dati trattati.

Per quanto riguarda i sistemi di contact tracing che consentono l’identificazione dei soggetti, nella FAQ nr. 9, il Garante fa espresso riferimento all’art. 6 del Decreto-legge 20 aprile 2020, n.28, che stabilisce l’istituzione di un’unica piattaforma nazionale per la gestione del sistema di allerta dei soggetti che sono entrati in contatto con individui positivi alla COVID-19 e hanno, su base volontaria, installato l’applicazione sui propri sistemi di telefonia mobile (“App Immuni”). Il Garante riconosce quindi come unico strumento di contact tracing utilizzabile, l’app Immuni.

Sulla base di questa presa di posizione del Garante Privacy, sembrerebbe pertanto che, indipendentemente dal fatto che i lavoratori e i visitatori esterni rilascino un esplicito assenso al trattamento per finalità di monitoraggio della diffusione del virus nei locali aziendali, il datore di lavoro non potrebbe predisporre sistemi di contact tracing che trattino dati riconducibili all’identità dei singoli individui.

Il contrasto dei contagi tramite strumenti di contact tracing è quindi esclusivamente demandato a quei poteri dello Stato che sono legittimati a trattare dati personali per questo scopo.

Alla luce del contesto normativo attuale sopra richiamato, si rileva quindi come possa dirsi pienamente conforme ai principi ed ai dettami normativi l’adozione di quei sistemi di monitoraggio che permettano solo di rilevare dati anonimi, come la distanza interpersonale tra due lavoratori o il numero di persone presenti contemporaneamente in un locale dello stabilimento.

Sono pertanto conformi alle indicazioni del Garante gli applicativi che consentono, ad esempio, di effettuare il conteggio del numero delle persone presenti nei locali o quelli che emettono un avviso sonoro in caso di superamento della soglia minima di distanziamento fisico prestabilita. L’utilizzo di dispositivi con queste funzioni ha d’altronde già passato il vaglio di alcune autorità di controllo europee.

Eventuali altri strumenti sono al momento quindi da escludersi in quanto carenti di una idonea base giuridica che legittimi il trattamento di informazioni che possono rilevare lo stato di salute e riferibili a una categoria di soggetti, di per sé, vulnerabili.

Ricordiamo, infatti, che la raccolta di informazioni sullo stato di salute dei lavoratori deve avvenire nel rispetto dei principi previsti, non solo all’interno del GDPR, ma altresì all’interno dello Statuto dei lavoratori.

Uno strumento di contact tracing nel contesto aziendale potrebbe infatti facilmente rientrare tra quegli strumenti che possono permettere potenzialmente un controllo a distanza dei lavoratori e per i quali è necessario ottenere un preventivo accordo sindacale o una autorizzazione da parte dell’Ispettorato nazionale del lavoro.

Conclusioni

Il diritto del lavoro e il diritto alla privacy pongono quindi degli importanti, e al momento insuperabili, limiti all’utilizzo di questi strumenti da parte dei soggetti privati.

Il legislatore non ha ritenuto dunque che la situazione emergenziale attuale possa offrire ai datori di lavoro delle deroghe alle ordinarie limitazioni loro imposte. Ad una conclusione diversa sono invece addivenute alcune altre realtà (quali quella statunitense).

Ciò che emerge da un’analisi delle scelte effettuate dal nostro Paese, e da molti altri, è tuttavia la nobile fermezza di alcuni diritti fondamentali, conquistati in secoli di evoluzione sociale, a fronte di situazioni emergenziali quale quella in atto.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5