Ecco come impattano le nuove tecnologie anti covid-19 sulla privacy aziendale

Ormai sono noti a tutti i nuovi strumenti utilizzati all’interno delle aziende per contrastare l’epidemia da Covid-19 sui luoghi di lavoro. Tuttavia, è necessario fare attenzione a come devono essere applicate queste tecnologie nel rispetto della privacy dei lavoratori. Nell’ultimo anno, infatti, la privacy dei lavoratori è stata messa a dura prova sia dalle modalità di lavoro agile (si veda, sul tema, anche http://www.dirittodellinformatica.it/diritto-del-lavoro/lo-smart-working-effetti-sul-rapporto-di-lavoro-e-problemi-giuridici.html), sia da un controllo sugli spostamenti e sui contatti (http://www.dirittodellinformatica.it/privacy-e-sicurezza/contact-tracing-e-tutela-della-privacy-al-tempo-del-covid-19-e-giusto-controllare-gli-spostamenti-dei-cittadini-attraverso-la-rete-cellulare.html), sia, infine, da un evidente aumento di interesse per lo stato di salute dei lavoratori. 

Anche se è diventato “normale” sottoporsi al controllo della temperatura o inserire i propri dati all’interno di un modulo appena si entra in uno studio medico o in uno studio professionale (o in altri contesti lavorativi), non bisogna dimenticare che queste imposizioni sono solo un’eccezione rispetto alla normale condotta di vita di tutti i cittadini. E come ogni eccezione, richiedono una specifica regolamentazione. 

 Strumenti anti covid-19 e GDPR 

I principali strumenti utilizzati in azienda per contenere l’emergenza covid-19 sono: 

• Termoscanner; 
• App di contact tracing basate su GPS o tecnologia Bluetooth; 
• Dispositivi wearable per favorire il distanziamento tra i dipendenti, algoritmi per il calcolo del livello di esposizione al contagio; 
• Biometria per accertare che il soggetto indossi i dispositivi di protezione. 

Sono numerosi quindi gli strumenti che le aziende possono adottare ma il loro utilizzo deve avvenire nel rispetto della normativa privacy prevista dal GDPR. 

Quindi, da un lato, c’è l’esigenza dell’azienda di mantenere uno standard congruo alle normative anti covid-19 e, dall’altro lato, c’è l’esigenza di tutelare i dati personali che questi strumenti sono in grado di prelevare dai dipendenti dell’azienda. 

Infatti, l’azienda deve stare attenta soprattutto al rischio di subire sanzioni alla luce della vigente normativa in materia di protezione dei dati personali. L’applicazione di misure che possono limitare la libertà personale dei lavoratori e che prelevano i loro dati personali deve avvenire nel rispetto delle nuove disposizioni introdotte dal Garante della privacy sul tema (per maggiori informazioni, https://www.fclex.it/servizi/gdpr-assistenza-alla-compliance/ ). 

 Prima fase di valutazione 

Il primo step da seguire per l’azienda è quello di valutare attentamente gli strumenti tecnologici anti covid-19 che si vogliono adottare. Si tratta di una fase in cui viene coinvolto, se presente, il Responsabile per la protezione dei dati (DPO), il quale valuta se l’adozione di questi strumenti possa essere in contrasto con la normativa in materia di protezione dei dati personali. 

Questa fase è particolarmente importante per l’azienda per essere sicuri che gli strumenti adottati siano proporzionati rispetto alle esigenze di contenimento dell’emergenza sanitaria. Inoltre, la valutazione preventiva permette di individuare eventuali criticità e di valutare se esistano misure meno invasive della privacy dei lavoratori che garantiscano gli stessi risultati. 

Non solo, la valutazione preventiva è un banco di prova per i soggetti che suggeriscono all’azienda quali strumenti adottare (provider o fornitore). Solo in questo modo l’azienda può realmente capire se si tratta di soggetti affidabili con cui collaborare nell’inserimento di misure di contenimento del covid-19. 

 Seconda fase di valutazione 

È fortemente consigliato per l’azienda effettuare una valutazione dell’impatto degli strumenti tecnologici adottati sulla protezione dei dati personali dei lavoratori. In questa fase è di nuovo coinvolto il DPO, il quale effettua una valutazione dei risultati emersi dalla valutazione preventiva e, in questa occasione, apporta eventuali modifiche. 

Inoltre, l’azienda potrebbe coinvolgere i lavoratori nella valutazione degli strumenti tecnologici, nel caso in cui dalla valutazione d’impatto risulti che questi strumenti siano troppo invasivi per i loro dati personali. Potrebbe essere utile, in questo caso, selezionare un campione rappresentativo di lavoratori ai quali venga richiesta un’opinione sull’utilizzo di questi strumenti tecnologici e sottoporli a eventuali test di prova. 

È da tenere in considerazione, per l’azienda, la possibilità di rendere pubblici i risultati delle valutazioni effettuate e l’impatto che le misure anti covid-19 si prevede possano avere sulla privacy dei lavoratori. Questo sarebbe sicuramente un passo avanti verso una maggiore trasparenza dell’azienda nei confronti dei propri lavoratori, i quali rappresentano i principali protagonisti di questa nuova realtà. Più i lavoratori sono consapevoli del modo in cui vengono trattai i loro dati, più saranno disponibili a sottoporsi a queste misure. 

 Utilizzo corretto dei dati dei lavoratori 

Un obbligo ulteriore che si pone per l’azienda è quello di utilizzare i dati dei lavoratori prelevati attraverso le tecnologie anti covid-19 esclusivamente per le finalità collegate al contenimento dell’emergenza sanitaria. Infatti, sarebbe illecito il trattamento di questi dati o di questi strumenti con finalità ulteriori. 

Ad esempio, pensiamo all’utilizzo della telecamera (che teoricamente dovrebbe essere utilizzata per verificare se il dipendente porta la mascherina) per verificare gli spostamenti del dipendente all’interno dei locali aziendali. Dunque, è necessario che l’azienda disponga dei dati e degli strumenti a sua disposizione nel modo più fedele possibile alle finalità della normativa anti covid-19. 

A questo proposito, è consigliato conservare i dati dei dipendenti solo per il tempo necessario ad effettuare le valutazioni sanitarie all’interno dell’azienda e garantire il non proseguimento dell’utilizzo di queste tecnologie non appena sarà terminata l’emergenza sanitaria (per informazioni più precise, https://www.fclex.it/servizi/emergenza-sanitaria-e-gestione-del-personale/). 

 Conclusioni 

È evidente che le regole adottate nel nuovo scenario caratterizzato dall’emergenza sanitaria richiedano un equilibrio tra le esigenze di portare avanti le attività e il business aziendale e la necessità di rispettare le disposizioni in materia di trattamento dei dati personali. 

Sono molti gli strumenti che le aziende possono adottare ed è per questo che bisogna valutare con cura quali sono quelli che possono avere un impatto che sia il più possibile minimo sulla privacy dei lavoratori, anche per ridurre i rischi di incorrere in gravi violazioni in caso di problemi (ad esempio, si veda http://www.dirittodellinformatica.it/privacy-e-sicurezza/i-controlli-del-garante-sulle-fughe-di-dati-dei-positivi-al-covid-19-privacy-a-rischio.html ). 

Si auspica che il Legislatore continui a monitorare la regolamentazione di questi aspetti per non trascurare l’importanza delle conseguenze che l’emergenza sanitaria ha portato sul mondo lavorativo, e non solo.