App di tracciamento dei contatti “ad uso privato” e dispositivi wearable sembrano essersi guadagnati un posto d’onore tra l’armamentario di chi vuole ripartire senza rinunciare alla sicurezza e soddisfacendo i requisiti normativamente imposti. Anche in azienda e nei negozi.
Ma quali sono i rischi, le possibili derive e le potenziali soluzioni per tenere assieme le misure anti-covid e i diritti dei lavoratori?
Lock down e vantaggi delle tecnologie
Cominciamo dal ricordare che il contact tracing non è un concetto nuovo in re ipsa. Da sempre il contact tracing fa parte dell’arsenale a disposizione della Sanità Pubblica nella lotta ad infezioni e malattie che vanno dal comune morbillo a piaghe sociali tristemente note quale ad esempio l’HIV.
Di certo sapevamo anche che gli spostamenti aerei, l’utilizzo massiccio di internet e, in generale, il moderno stile di vita “occidentale” e delle potenze economiche asiatiche, ci avevano portato, nel bene e nel male, ad un’interdipendenza sociale, culturale, politica, tecnologica e sanitaria di rilevanza planetaria.
Ma Il Covid-19 con la sua capacità di propagarsi in modo inaspettatamente virulento ha sconvolto gli schemi precedentemente utilizzati e ha imposto uno stop all’economia mondiale che non ha precedenti nella storia moderna.
Il Covid-19 ci ha messo di fronte ad un aspetto che non avevamo adeguatamente ponderato: se gli effetti delle globalizzazioni dei secoli passati (come quelle legate all’espansione dell’Impero Romano, al commercio delle spezie e lungo l’antica Via della Seta, allo “scambio colombiano” di alimenti, cultura e idee tra vecchio e nuovo mondo) erano lenti e i loro effetti -per quanto disastrosi e aggravati dalla scarsa disponibilità di mezzi e conoscenze scientifiche- in qualche misura “maggiormente arginabili”, la globalizzazione dell’era moderna è estremamente più rapida e i loro effetti ci travolgono, obbligandoci ad adottare strategie innovative di cui oggi, fortunatamente, disponiamo.
L’unico mezzo per combattere quella che possiamo considerare una vera e propria guerra tra umani e virus non può che essere il fiore all’occhiello della nostra specie, il superpotere di questo millennio: le nuove tecnologie.
Primo sponsor di questo approccio tecnologico è stato la più autorevole tra le organizzazioni internazionali in materia di Sanità, l’OMS che ha chiarito un concetto fondamentale: il lockdown non è sufficiente per vincere questa battaglia (e comunque non può essere adottato sine die) e va affiancato con una strategia di monitoraggio e contrasto dell’evoluzione virus attraverso l’approccio delle tre T, ovvero Traccia, Testa e Tratta.
Fin da subito è stato chiaro che i sistemi tradizionali non avrebbero potuto reggere lo sforzo erculeo richiesto alle istituzioni di sanità pubblica.
Da qui la necessità di sviluppare APP di contact tracing e favorire l‘utilizzo di dispositivi wearable che garantiscano l’efficacia della strategia di monitoraggio e contrasto dell’epidemia.
Chiarita la necessità, si tratta ora di capire, in questa “convivenza forzata con il virus”, il ruolo e i limiti delle misure che i privati (soprattutto i datori di lavoro) possono mettere in campo per la ripartenza in sicurezza, quantomai consapevoli, come recentemente segnalato dal Presidente dell’Autorità garante per la protezione dei dati personali, che “l’emergenza sanitaria ha messo in luce una forte esigenza di tutela della persona nella dimensione digitale e lo straordinario ruolo che in questa funzione ha la protezione dei dati, quale strumento di regolazione, di sviluppo equilibrato delle tecnologie, di rispetto per i diritti delle persone, di salvaguardia delle libertà democratiche”.
Protocolli di intesa, Dpcm, responsabilità dei datori di lavoro e diritti dei lavoratori
Fin dai primi giorni di questa emergenza, datori di lavoro, lavoratori e persino i clienti e i consumatori finali hanno dovuto imparare a convivere con un set di regole e liturgie inedite.
Autocertificazioni, termo-scanner, mantenimento delle distanze, mascherine, misure anti-assembramento, flussi comunicativi. Districarsi nel quadro normativo magmatico e frammentario di Protocolli di intesa, DPCM, ordinanze degli enti locali e linee guida di settore non è stato (e non sarà) facile.
Da un lato i datori di lavoro devono confrontarsi con costi, regole e rischi non preventivati.
Dall’altro lato, i lavoratori e, in misura minore, i cittadini sono stati letteralmente sommersi da uno stillicidio di “regole di condotta” e richieste di informazioni mai sperimentato prima d’ora.
Ad aleggiare su tutti, la paura di un nuovo irrigidimento delle misure, di un nuovo lock down e al centro di questa intricata matassa, ovviamente ci sono i dati personali e le norme giuslavoristiche.
La maggior parte delle previsioni normative, infatti, e delle conseguenti strategie e soluzioni ideate e testate per essere compliant alle stesse, prevede un flusso di dati assai superiore a quello a cui eravamo abituati, specie considerando il monito costante delle Data Protection Authorities Europee e Nazionali di ispirarsi, nella gestione dei dati personali, ai principi fondamentali forniti dal GDPR, primo tra tutti quello di “minimizzazione dei dati”.
Il Garante per la Protezione dei dati Personali, da sempre sensibile alle tematiche afferenti al mondo giuslavoristico ed attento alla problematica dello sbilanciamento di potere tra datore di lavoro e dipendente, ha tracciato un quadro estremamente chiaro di come, quando e con quali limiti trattare i dati in ambito lavorativo in questo contesto emergenziale.
Nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio al datore di lavoro sono assegnati compiti precisi, determinati ex lege.
Nessuna particolare deroga all’ampio corpus normativo in materia giuslavoristica che in combinato disposto con il framework “data protection” garantisce il delicato equilibrio nei rapporti di forza tra datori di lavoro e dipendenti.
In particolare, recentemente, il Garante si è espresso sul tema dei “test sierologici” precisando che “il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica.”
Solo questa figura, nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici. Ed è sempre il medico competente il soggetto individuato per suggerire l’adozione di mezzi diagnostici, quando li ritenga utili al fine del contenimento dell’epidemia, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche riguardo alla loro affidabilità e appropriatezza.
Alle informazioni frutto di questa tipologia di diagnosi (o all’anamnesi familiare del lavoratore) non può avere accesso il datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami) mentre è possibile, per quest’ultimo trattare “i dati relativi al giudizio di idoneità del lavoratore alla mansione svolta e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire.” Resta fermo il divieto per il datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.
A scongiurare il rischio e i perniciosi effetti di un’automatica responsabilità del datore di lavoro in caso di riconoscimento del contagio di un lavoratore come infortunio sul lavoro era già correttamente intervenuto il Governo (ad es. con l’articolo 42 del decreto Cura Italia, stabilendo che i casi di contagio Covid-19 in occasione di lavoro non influiranno in alcun modo sull’andamento dei premi assicurativi in carico alle aziende) e ora la stessa Inail, con la recentissima nota del 15 maggio scorso, ha rassicurato la categoria specificando che l’ammissione del lavoratore contagiato alle prestazioni assicurative dell’Istituto non assume alcun rilievo né per sostenere l’accusa in sede penale, dove vale il principio della presunzione di innocenza e dell’onere della prova a carico del pubblico ministero, né in sede civile.
Non sfugge, tuttavia, la delicatezza del ruolo dei datori di lavoro chiamati a presidiare l’integrità fisica dei prestatori di lavoro e assumendo in tal senso responsabilità di natura sia civile sia penale, nonché amministrativa (v. es. art. 2087 c.c., artt. 589 e 590 c.p., D.Lgs. n. 81/2008 e D.lgs. 231/2001).
Ben si comprende, quindi, l’interesse per le app e i dispositivi di tracciamento e controllo in ambito lavorativo, che peraltro alcune aziende stanno già promuovendo.
App e wearable nel mondo del lavoro: opportunità e rischi
Come già detto l’idea di utilizzare App (come Immuni, scelta dal nostro Governo) e dispositivi wearable ha il duplice fine di garantire il rispetto dei protocolli di sicurezza anti-contagio e scongiurare il rischio di trasformare il luogo di lavoro in un focolaio di contagio.
È allora evidente che l’adozione di ogni più opportuna misura, anche tecnologica, atta ad assicurare la sicurezza delle persone sui luoghi di lavoro, cambia aspetto e da vezzo tecnologico da “grande fratello” può apparire strumento di garanzia.
Garanzia, che però, deve necessariamente adattarsi al corpus normativo in materia di diritto del lavoro e privacy. Sotto il profilo giuslavoristico, per certi aspetti, è lo stesso articolo 4 dello Statuto dei Lavoratori a consentire – previo esperimento di tutti gli adempimenti del caso – l’implementazione della misura del controllo a distanza e, seppur cautamente, anche alla geolocalizzazione del lavoratore, di cui gli strumenti in discorso costituiscono la più avanzata applicazione pratica .
Tuttavia, i dispositivi weareable e le APP di contact tracing, per loro stessa natura e in base alle finalità per cui vengono impiegati ed implementati, si prestano, evidentemente, a consentire qualcosa di più: la registrazione di dati relativi (in maniera diretta o inferenziale) allo stato di salute della persona (e quindi anche del lavoratore) che, rispettivamente, le indossa o le installa.
Si comprende, quindi, che il più grande ostacolo all’impiego delle app di tracciamento dei contatti per i datori di lavoro è dato dall’art. 5 dello Statuto dei Lavoratori che vieta “accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente.”
Anche lato privacy, il trattamento non è privo di criticità.
Se l’uso “pubblico” delle APP ha trovato una ratio nelle deroghe previste dalla normativa in materia di protezione dei dati personali e nella legge, nulla è stato (almeno per il momento) previsto per il loro uso “privato” né, tantomeno, nell’ambito dei luoghi di lavoro.
Bisogna trovare nel caso di questo tipo di dispositivi, a voler essere sintetici, una condizione di liceità adeguata al trattamento dei dati comuni e delle particolari categorie di dati dei dipendenti. In un contesto privato si è portati a semplificare il tutto ricorrendo al consenso e il Garante si è più volte espresso evidenziando che detta condizione di liceità- che inoltre dovrebbe basarsi prima ancora sulla volontarietà dell’utilizzo del mezzo- in un contesto di lavoro non potrebbe assicurare i requisiti previsti dall’art. 6 lett. a del GDPR, in quanto privo del necessario requisito della “libertà” dello stesso.
Dovrebbe inoltre essere gestita una preliminare valutazione di impatto sulla protezione dei dati, tenendo in adeguata considerazione la pluralità di rischi per i diritti e le libertà del lavoratore. Bilanciare i diritti e gli interessi in gioco appare tuttavia operazione quanto mai complessa e, in attesa di algoritmi “sapienti” che consentano di scartare a monte del processo i dati non strettamente necessari così da garantire il rispetto del principio di minimizzazione, all’esito della DPIA, i rischi potrebbero risultare, ancora assai elevati, rendendo così necessario il confronto con l’autorità di controllo.
Inoltre, l’adozione di prodotti specifici e settoriali appare in contrasto con quei requisiti di (i) certezza normativa (ii) finalità specifica di tracciamento dei contatti (iii) vincolata allo stato emergenziale (iv) presidi territoriali certi sulla tecnologia, e (vi) standard tecnologici di riferimento (per evitare un impiego troppo frammentato e discriminatorio).
Insomma, sebbene allettante, la strategia adottata a livello politico per i cittadini non è immediatamente replicabile dagli imprenditori che sono quindi in attesa di un intervento congiunto del legislatore e del Garante.
