Garante per la protezione dei dati personali - Audizione del Presidente del Garante per la protezione dei dati personali sull'affare assegnato atto n. 453 relativo al tema di Ricadute occupazionali dell'epidemia da Covid-19, azioni idonee a fronteggiare le situazioni di crisi e necessità di garantire la sicurezza sanitaria nei luoghi di lavoro - Commissione 11a (Lavoro pubblico e privato, previdenza sociale) del Senato della Repubblica [doc. web n. 9341993]
- Il contesto
Ringrazio la Commissione per quest’occasione di confronto, che consente di estendere l’analisi delle implicazioni sul lavoro, della pandemia, anche ai profili di protezione dati.
E’ una scelta importante, perché in un contesto emergenziale il rischio più grande è l’assuefazione, se non addirittura l’indifferenza alla progressiva perdita di libertà, laddove invece le limitazioni dei diritti devono essere circoscritte entro la misura strettamente indispensabile, con una revisione costante della loro proporzionalità e necessità.
La protezione dati – qualificata come fondamentale diritto di libertà dalla Carta di Nizza – è in questo senso, un cursore importante della sostenibilità del governo dell’emergenza, sotto il profilo delle garanzie democratiche. In quanto diritto dall’applicazione straordinariamente trasversale a ogni ambito della vita (dal lavoro alle relazioni interpersonali, dai rapporti commerciali all’immagine pubblica di sé, ecc.), racconta molto del rapporto, appunto, tra la vita e le regole.
E nell’attuale contesto ogni sua limitazione (dalla giustificazione degli spostamenti al tracciamento dei contatti) incide in maniera significativa sul rapporto libertà-autorità da cui si misura la tenuta della democrazia.
Interrogarsi sulla proporzionalità di queste limitazioni è, dunque, uno dei compiti più rilevanti che il Parlamento può svolgere, in una fase inevitabilmente caratterizzata dall’accentramento delle decisioni in capo all’esecutivo, per verificare se e fino a che punto possano giustificarsi determinate misure restrittive delle libertà.
Ma la scelta di focalizzare l’analisi sulla protezione dei dati dei lavoratori è ancor più significativa, perché sottende la consapevolezza della particolare vulnerabilità di tali soggetti, parti di un rapporto strutturalmente asimmetrico.
La disparità di potere contrattuale che connota generalmente, in senso debole, la posizione del lavoratore è tale da poterne ostacolare la reale autodeterminazione rispetto al potere datoriale, altrimenti suscettibile di esercizio, in assenza di regole adeguate, anche mediante controlli pervasivi sul dipendente.
Non a caso, le prime norme a tutela dell’autodeterminazione informativa sono state introdotte, nel nostro Paese, con lo Statuto dei lavoratori.
Paradossalmente, dunque, quella che era stata codificata come prerogativa tipicamente borghese si sarebbe da quel momento affermata quale garanzia di libertà del lavoratore dalle ingerenze datoriali e la protezione dati avrebbe progressivamente sancito un vero e proprio codice dell’eguaglianza.
Nel contesto emergenziale che viviamo – di per sé incline ad approfondire le diseguaglianze – la valenza garantista della protezione dati, in particolare in ambito lavorativo, è se possibile ancor più determinante, in ragione dell’estensione dei poteri datoriali per fini anzitutto di prevenzione dei contagi.
Ma per impedire abusi nell’esercizio di tali poteri, è necessario delimitarne l’ambito, che non può essere interamente rimesso alla contrattazione individuale, proprio per i limiti che caratterizzano la capacità dispositiva del lavoratore nell’ambito di un rapporto asimmetrico quale quello in esame.
La disciplina di protezione dati, unitamente alle garanzie giuslavoristiche, interviene a impedire proprio questi abusi e le conseguenti forme di coartazione della libertà del lavoratore, altrimenti soggetto a facili quanto pericolose “servitù volontarie”.
- I controlli datoriali a fini di prevenzione del contagio
Il Regolamento generale sulla protezione dati, nel configurare le esigenze di sanità pubblica quali presupposti di liceità del trattamento di dati anche “particolari”, quali quelli sulla salute, esige una previsione normativa che ne definisca ambito e garanzie.
Tale requisito appare tanto più determinante nel contesto emergenziale, in cui l’urgenza del provvedere induce spesso una tendenza anomica, che porta ad agire prescindendo da una cornice di regole uniformi.
E’ quanto si è registrato nelle prime settimane della pandemia, inducendoci a invitare i datori di lavoro ad astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, informazioni sulla sintomatologia del lavoratore o sui suoi contatti.
Il rischio sanitario da cui proteggere i lavoratori, ai sensi dell’art. 2087 del codice civile oltre che del dlgs 81/08, ha così reso evidente l’esigenza di coordinare le iniziative datoriali all’interno di un quadro uniforme, articolatosi nei protocolli tra Governo e parti sociali, recepiti con dPCM.
Tale essendo la cornice normativa di riferimento, le misure suscettibili di adozione in ambito lavorativo a fini di prevenzione dei contagi implicano in particolare, sotto il profilo della protezione dati:
- la rilevazione della temperatura corporea dei dipendenti con registrazione della sola circostanza del superamento della temperatura-soglia, quando sia necessario documentare le ragioni ostative all’accesso al luogo di lavoro;
- la segnalazione al datore di lavoro di provenienza da aree a rischio o di avvenuti contatti con potenziali contagiati, purché nella sola misura strettamente proporzionale all’esigenza di prevenzione e senza riferimenti nominativi a terzi;
- il dovere del medico competente di segnalare al datore di lavoro l’opportunità di adibire determinati lavoratori ad impieghi meno esposti al rischio infettivo, pur senza indicarne la patologia;
- il dovere di comunicazione, da parte datoriale all’autorità sanitaria, (ma non al Rappresentante dei lavoratori per la sicurezza o agli altri colleghi), dei nominativi dei dipendenti contagiati, collaborando alla ricostruzione della catena dei contagi e all’adozione delle misure di profilassi opportune.
E’ importante sottolineare la rilevanza, anche nel contesto emergenziale attuale, della distinzione di compiti- e quindi, di riflesso, di potere informativo – tra datore di lavoro e medico competente, sancita dalla disciplina lavoristica.
Il primo adempie i propri obblighi di garanzia dell’incolumità dei lavoratori, senza tuttavia avere cognizione diretta delle loro patologie ma disponendo dei soli elementi fondativi del giudizio di idoneità alla mansione specifica. Solo al secondo, invece, quale professionista sanitario, spetta la valutazione della necessità di sottoporre i lavoratori a particolari analisi diagnostiche, se ritenute utili anche, in particolare, al contenimento dei contagi, come prevede il citato Protocollo tra Governo e Parti sociali.
Gli accertamenti devono, in ogni caso, essere condotti dal medico competente o da altro personale sanitario e possono comprendere la proposta di test sierologici, i cui esiti devono però essere riservati al medico stesso. Quest’ultimo è anche l’unico soggetto legittimato a suggerirli, quali esami specifici da disporre, ove opportuno, in ragione di parametri epidemiologici obiettivi.
Ciò vale anche rispetto al personale sanitario, i cui rischi professionali specifici devono essere a tal fine e a fortiori tenuti in considerazione dal medico competente.
Il protocollo tra Governo e parti sociali ammette, sì, anche l’adozione di misure di prevenzione dei contagi “più incisive” di quelle indicate, previa concertazione sindacale, ma sotto il profilo della protezione dati esse potranno ammettersi solo in presenza, tra l’altro, di un adeguato presupposto di liceità. E’ importante procedere alla valutazione d’impatto privacy (e se del caso anche alla consultazione preventiva del Garante), ogniqualvolta il trattamento ipotizzato prospetti un rischio elevato (attenendo a dati “particolari”, svolgendosi su larga scala, utilizzando tecnologie innovative).
Uno strumento di prevenzione che certamente non può essere imposto ai lavoratori (assunti o candidati che siano) è il tracciamento dei contatti.
Sulla scorta delle indicazioni fornite dagli organi del Consiglio d’Europa e dell’Unione europea, infatti, anche la specifica norna contenuta nell’AS 1786 ha sancito espressamente la natura esclusivamente volontaria dell’adesione al sistema di tracciamento dei contatti, il cui rifiuto non deve – precisa la disposizione – determinare alcuna conseguenza pregiudizievole nei confronti dell’interessato.
La particolare ampiezza dell’espressione utilizzata dimostra come la scelta in ordine all’adesione o meno al sistema non deve essere in alcun modo condizionata, neppure indirettamente, dal timore di possibili implicazioni sfavorevoli, che ove prospettate (nei rapporti tanto di diritto pubblico quanto di diritto privato) renderebbero comunque illegittima la raccolta dei dati, che risulterebbero per questo motivo inutilizzabili.
L’esercizio del diritto all’autodeterminazione informativa non può, insomma, determinare discriminazioni di alcun tipo, tantomeno in ambito lavorativo.
La necessaria volontarietà del tracciamento, unitamente ad altre garanzie previste dalla legge sul terreno della protezione dati, costituisce uno dei presupposti essenziali per la fiducia dei cittadini in questo sistema. Che deve poter tracciare – come abbiamo più volte indicato – non le persone ma il solo riflesso della loro attività epidemiologicamente rilevante: i contatti ravvicinati e duraturi tanto da poter indurre un contagio.
E la fiducia è essenziale per garantire un’adesione tanto libera quanto diffusa nella popolazione, per risultare efficace a fini diagnostici, promuovendo dunque scelte volontarie ma assunte nel segno della responsabilità e della solidarietà.
- Le nuove forme (e le vulnerabilità) del lavoro
Il distanziamento sociale imposto a fini di contenimento dell’epidemia ha finito per ridisegnare tempi e spazi di vita scanditi da usi consolidati, accelerando in misura esponenziale quel passaggio al digitale che altrimenti sarebbe stato assai più lento e però anche più meditato.
La tecnologia ci è indubbiamente venuta in soccorso colmando con la connessione le distanze fisiche e ricreando, nello spazio digitale, luoghi di confronto, di dialogo, che la protezione dati può rendere ambienti non anomici ma rispettosi della persona nella sua posizione particolare di lavoratore, studente, docente, grazie alla regolazione leggera, ma completa, che può offrire.
La traslazione on-line di pressoché tutte le nostre attività non è, infatti, un processo neutro, ma comporta, se non assistito da adeguate garanzie, l’esposizione a inattese vulnerabilità in termini non solo di sicurezza informatica ma anche di soggezione a ingerenze e controlli spesso più insidiosi, perché meno percettibili, di quelli tradizionali.
Anche in questo caso, il contesto lavorativo è particolarmente significativo. Il diffuso ricorso allo smart working- generalmente necessitato e improvvisato, da parte tanto datoriale quanto dei lavoratori- ha catapultato una quota significativa della popolazione in una dimensione delle cui implicazioni non sempre si ha la piena consapevolezza e di cui va impedito ogni uso improprio.
Il ricorso intensivo alle nuove tecnologie per rendere la prestazione lavorativa non può, allora, rappresentare l’occasione per il monitoraggio sistematico e ubiquitario del lavoratore, ma deve avvenire nel pieno rispetto delle garanzie sancite dallo Statuto a tutela dell’autodeterminazione, che presuppone anzitutto un’adeguata formazione e informazione del lavoratore in ordine al trattamento cui i suoi dati saranno soggetti.
Va, in particolare, inteso in modo rigoroso il vincolo finalistico alla prestazione lavorativa che, rispetto ai controlli mediante strumenti utilizzati appunto per rendere la prestazione, legittima l’esenzione dalla procedura concertativa o autorizzativa (art. 4, c.2, l.300).
Non sarebbe, ad esempio, legittimo fornire per lo smart working un computer dotato di funzionalità che consentano al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite, appunto, questo dispositivo.
Va inoltre assicurato – in modo più netto di quanto già previsto - anche quel diritto alla disconnessione, senza cui si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa, annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale.
Per garantire, dunque, che le nuove tecnologie rappresentino un fattore di progresso (e non di regressione) sociale, valorizzando anziché comprimendo le libertà affermate sul terreno lavoristico, è indispensabile garantirne la sostenibilità sotto il profilo democratico e la conformità ad alcuni irrinunciabili principi.
Il minimo comun denominatore di queste garanzie va individuato nel diritto alla protezione dei dati: presupposto necessario di quella libera autodeterminazione del lavoratore che ha rappresentato, come si è detto, una delle più importanti conquiste del diritto del lavoro.
In un contesto, quale quello attuale, caratterizzato tanto dall’emergenza quanto da un ricorso al digitale, l’autodeterminazione del lavoratore rischia di essere la prima libertà violata, persino in maniera preterintenzionale. Il diritto alla protezione dei dati consente di impedirlo: valorizziamolo, dunque, in emergenza e non solo.