Dott.ssa Iliana Dardis

Introduzione

Il presente lavoro ha l’aspirazione di esaminare uno dei nodi giuridico-interpretativi di maggior rilievo nell’attuale momento storico: il bilanciamento tra tutela della salute e tutela della riservatezza dei dati delle persone (e segnatamente dei lavoratori), all’indomani dell’esplosione della emergenza sanitaria connessa alla diffusione del Coronavirus.

Il persistente stato di emergenza in cui attualmente versa il nostro Paese continua a creare incessante panico tra chi cerca costantemente e con ogni mezzo di arginarlo. Tra questi figurano i datori di lavoro, che pur continuando ad attenersi scrupolosamente ai provvedimenti emergenziali emanati dal Governo, hanno iniziato ad adottare ulteriori misure “non espressamente autorizzate” dalla legge nel tentativo di ridurre e minimizzare i rischi di contagi sul posto di lavoro.

Un comportamento che introduce problematiche se si considera, che i dati in oggetto, sono a tutti gli effetti dati relativi alla salute personale del lavoratore e che, pertanto, devono essere gestiti nel rispetto del Regolamento Ue 2016/679 sulla privacy.

Dunque, fin dove può spingersi il datore di lavoro al fine di tutelare la sua attività e la salute dei suoi dipendenti?

È indubbio che la responsabilità di tutelare i lavoratori dal rischio biologico risiede, ai sensi della normativa vigente, in capo al datore di lavoro (d. lgs. 81/2008), ma è necessario mantenere qualsiasi iniziativa nei labili confini della legittimità, onde evitare di incorrere nel rischio di ledere diritti fondamentali dell’individuo. In che modo? Sicuramente contemperando le esigenze di contenimento dell’emergenza epidemiologica con il rispetto del diritto alla privacy di ciascun lavoratore; diritto, quest’ultimo, che può essere legittimamente limitato solo qualora le restrizioni corrispondano ai principi di necessità, proporzionalità e legalità.

Per capire se tali iniziative siano lecite, bisogna innanzitutto fare un passo indietro e chiarire se esse vadano o meno ad integrare il trattamento di una particolare categoria di dati sensibili. La risposta è rinvenibile direttamente nel Regolamento Ue 2016/679, il quale include i dati relativi alla salute in quella particolare categoria di dati personali oggetto di protezione da parte della stessa normativa.

Il presente saggio muove dall’excursus normativo sulla nascita e sull’evoluzione del diritto alla “privacy”, intesa come diritto inviolabile dell’uomo (così come espressamente sancito nel Regolamento), per poi focalizzare l’attenzione al mercato del lavoro ed contesto lavorativo, nel quale emergono due contrapposti diritti meritevoli di tutela: da un lato, il diritto della parte datoriale al controllo del corretto esercizio della prestazione lavorativa e della tutela dell’immagine aziendale; dall’altro lato, il diritto del lavoratore alla riservatezza dei “propri” dati.

In tale contesto, appare utile analizzare, nello specifico, le misure “urgenti” per fronteggiare lo stato di emergenza, con particolare riguardo al binomio sicurezza sul lavoro e privacy, in relazione ai controlli sanitari sui lavoratori al tempo del Covid-19, focalizzando l’attenzione sulla legittimità del “contact tracing” e dell’applicazione “Immuni”. Detta analisi risulta funzionale a verificare l’effettività della disciplina in tema di protezione dei dati personali (e la “comprimibilità” delle tutele), anche dando atto della posizione assunta dal Garante privacy.

Non da ultimo, l’elaborato si pone l’obiettivo di analizzare, con sguardo critico, i “rischi” connessi al “traffico” di dati personali collegati all’introduzione della didattica a distanza nel mondo della scuola (c.d. DAD) alla luce delle indicazioni del MIUR e delle risposte del Garante privacy.

I. Privacy e Regolamento Ue 2016/679 (General Data Protection Regulation)

1.1. Inquadramento. Ambito di applicazione. I tratti distintivi.

Quando si parla di “privacy[1] si fa riferimento ad un termine inglese che ormai è entrato nell’uso comune e viene definita, oggi, come il diritto alla riservatezza[2] o privatezza delle informazioni personali e della propria vita privata, ossia il diritto alla salvaguardia e alla tutela della sfera privata del singolo individuo, da intendersi come la facoltà di impedire che le informazioni riguardanti tale sfera personale siano acquisite o divulgate in assenza dell’autorizzazione dell’interessato, nonché il diritto alla non intromissione nella sfera privata da parte di terzi[3].

I primi riferimenti normativi riferibili alla privacy risalgono alla Convenzione europea dei diritti dell’uomo[4] (Carta di Nizza), nella quale il concetto è inteso come bene primario; tale fondamento è stato, successivamente, ripreso e sviluppato in vari accordi internazionali, fino ad esser inserito anche nella Carta dei diritti fondamentali dell’Unione europea, quale diritto fondamentale dell’individuo direttamente azionabile dinanzi al giudice nazionale o europeo, soggetto al bilanciamento con altri “diritti e libertà fondamentali delle persone fisiche[5]”. Tra le fonti comunitarie vi è la Direttiva c.d. madre 95/46/CE del 24 ottobre 1995 emanata dal Parlamento europeo e dal Consiglio, con la quale si è proceduto ad un primo ed importante tentativo di armonizzare la tutela dei diritti e delle libertà fondamentali della persona fisica rispetto alle attività di trattamento dei dati personali e assicurare la libera circolazione dei dati tra Stati membri.

Facendo riferimento, invece, alla legislazione italiana, le norme sulla privacy non si rinvengono in modo esplicito e specifico nella nostra Carta Costituzionale, ma è necessario far riferimento ai combinati disposti delle varie disposizioni, ossia negli articoli 14, 15 e 21 Cost[6]. In particolare, è con la sentenza n. 38 del 1973 che la Corte Costituzionale incorpora il concetto di privacy tra i diritti inviolabili dell’uomo, ponendo come fulcro l’articolo 2 della Costituzione[7].

L’attuazione italiana della normativa a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali è avvenuta con la legge del 31 dicembre 1996, n. 675, la cui disciplina è raggruppata in soli 45 articoli. Il riconoscimento vero e proprio della privacy è stato dichiarato solo nel 2000, grazie all’emanazione della Carta dei diritti fondamentali dell’Unione europea, la quale all’art. 8 sancisce la tutela del dato personale. A seguito dell’emanazione della direttiva 2002/58/Ce del 12 luglio 2002 relativa al trattamento dei dati ed alla tutela della vita privata nel settore delle comunicazioni elettroniche, si è giunti alla promulgazione del “Cod­ice della privacy[8], ossia il decreto legislativo 30 giugno 2003, n. 196. Il testo nel tempo ha subito diverse modifiche, soprattutto all’esito della risistemazione e razionalizzazione della materia, ma dallo stesso si evince chiaramente che la privacy non è solo il diritto a non vedere trattati i propri dati senza consenso, ma anche l’adozione di cautele tecniche ed organizzative che tutti devono rispettare per procedere in maniera corretta al trattamento dei dati altrui. Il Codice ha previsto una serie di finalità volte alla tutela e alla garanzia dei dati nel rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’individuo con particolare riferimento al diritto alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2, co. 1). Il legislatore europeo ha deciso di ridefinire ulteriormente la materia giungendo all’emanazione del Regolamento Generale sulla Protezione dei Dati n. 2016/679 (anche “Regolamento”, “GDPR” o “RGDP”), il quale ha comportato un notevole cambiamento in materia privacy e di trattamento dati. Pur sussistendo la diretta applicabilità del Regolamento, è stata effettuata la delega all’esecutivo per un adeguamento della materia, fissando principi e criteri direttivi, conclusosi con l’emanazione del d. lgs. n. 101/2018.

Dunque, a partire dal 25 maggio 2018, il Regolamento Ue 2016/679 è direttamente applicabile in tutti gli Stati membri dell’Unione europea, con riguardo alla protezione dei dati delle persone fisiche, al trattamento e alla libera circolazione dei dati personali: si articola in 11 capi, per un totale di 99 articoli[9].

Il Regolamento nasce dall’esigenza di garantire certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE, con particolare riferimento all’evoluzione digitale e ai nuovi sistemi di comunicazione, gestione e diffusione dei dati: tra gli altri, l’uso di server e sistemi di trattamento digitale automatizzato (applicazioni), i quali consentono la raccolta di grandi quantità di dati provenienti da fonti eterogenee.

Una delle caratteristiche più significative del Regolamento è il suo ambito di applicazione, che modifica la tradizionale definizione del principio di stabilimento. Le norme sono dotate, pertanto, di una sostanziale extraterritorialità. Facendo riferimento al soggetto che tratta i dati, se esso è stabilito nel territorio dell’Unione si applica il Regolamento, anche qualora il trattamento sia effettuato fuori dal suddetto territorio. Per quanto riguarda l’ubicazione del soggetto cui si riferiscono i dati, invece, se il soggetto si trova nel territorio dell’Unione si applica il Regolamento, purché ricorrano due evenienze tra di loro alternative: il trattamento deve riguardare offerta di beni e servizi oppure il monitoraggio del comportamento dell’interessato all’interno dell’Unione[10]. Infine, il Regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento non stabilito nell’Unione, ma in un luogo soggetto all’applicazione del diritto nazionale di uno Stato membro in virtù delle regole sancite dal diritto internazionale pubblico. Il principio di territorialità, dunque, si riferisce allo stabilimento del soggetto che tratta i dati oppure al domicilio dell’interessato, nella sua veste di cittadino e/o consumatore.

Il Regolamento dispone la protezione della tutela dei diritti e delle libertà fondamentali nei confronti delle persone fisiche, così come previsto dall’art. 1, in materia di dati personali e della loro circolazione, affermando l’esclusione dalla suddetta disciplina nei confronti delle persone giuridiche, ovvero imprese ed enti.

Tra gli aspetti più significativi vi è la definizione di dato personale, arricchita dall’introduzione dell’identificativo “online”. Ai sensi dell’art. 4 del Regolamento, sono dati personali tutte le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la situazione economica, etc. La persona cui si riferiscono i dati soggetti al trattamento si definisce “interessato”. L’interessato può essere solo una persona fisica e non una persona giuridica; particolarmente rilevanti sono i dati che ne permettono l’identificazione diretta – come i dati anagrafici, le immagini – e i dati che permettono l’identificazione indiretta come il codice fiscale, l’indirizzo IP, il numero di targa, le impronte digitali o calligrafia – etc. Non sono espressamente menzionati i dati personali sensibili e giudiziari. Gli artt. 9 e 10 ne forniscono un’indicazione generale con l’introduzione del riferimento ai «dati relativi alla salute». La nuova disciplina comprende i dati «pseudonimizzati», ossia quei dati personali che non possono essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. Non rientrano nella disciplina del Regolamento i dati anonimi[11], ossia le informazioni che riguardano una persona fisica non identificabile direttamente.

Il Regolamento introduce, altresì, una nuova visione della protezione dei dati, la quale ruota intorno all’adozione preventiva di misure tecniche ed organizzative adeguate al fine di raggiungere obiettivi di sicurezza e tutela (Data Management)[12]. Infine, l’essenza del nuovo Regolamento sui dati si racchiude in tre principi: accountability (art. 5), data protection by design e by default (art. 25).

L’introduzione del principio di responsabilizzazione (accountability) attribuisce ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali, stabilendo una responsabilità in capo ai titolari, anche attraverso l’inasprimento delle sanzioni poste a loro carico. Invece, la governance della nuova privacy si completa con il principio di “privacy by design” che, prescrivendo l’adozione di misure di protezione in tutte le fasi di progettazione del trattamento e, quindi, di assorbire la tutela della privacy in tutto il ciclo di attività, fa sì che la tutela dei dati diventi un’impostazione di “default”. Tali principi sono posti alla base di un sistema di tutela preventiva che tenda ad impedire i rischi e le fragilità tipiche del processo di trattamento dei dati.

1.2. I soggetti: Titolare del trattamento e Responsabile del trattamento. Il responsabile della Protezione dati (DPO o RPD).

La complessità della protezione dei dati nell’era tecnologica attuale richiede la presenza di varie figure con diversi compiti ed alcune sono espressamente previste nel Regolamento. Nelle definizioni dell’art. 4 sono individuate le figure del titolare del trattamento, del responsabile del trattamento e del rappresentante, mentre agli artt. 37-39 è contemplata la figura del responsabile della protezione dei dati[13].

Oltre ai soggetti individuati, il Regolamento contempla la figura dell’interessato, ossia la persona fisica identificata o identificabile[14] cui si riferiscono i dati personali.

Il titolare del trattamento (Data Controller) è il vero soggetto “responsabile” del trattamento dei dati personali: determina le finalità e le modalità del trattamento, è responsabile dell’osservanza degli obblighi previsti dalla normativa[15]. Il titolare è colui che tratta i dati senza ricevere istruzione da parti di terzi, colui che decide “come e perché” devono essere trattati i dati; decide il motivo e le modalità del trattamento ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti.

Nel settore privato, il titolare può essere sia una persona fisica, sia una persona giuridica; mentre, nel settore pubblico, tale ruolo può esser rivestito solo da una persona giuridica o da un ente.

Vi è, poi, la figura del contitolare del trattamento (Joint Controller)[16]: il rapporto di contitolarità comporta che, in presenza di due o più titolari, questi determinino congiuntamente (attraverso un contratto scritto) le finalità e gli strumenti attraverso cui effettuare il trattamento dei dati in loro possesso e ne siano, allo stesso tempo, responsabili in relazione al rispetto delle regole ivi contenute.

Il Responsabile del trattamento (Data Processor) è la persona fisica, giuridica, pubblica amministrazione o ente che materialmente elabora e tratta i dati personali in nome e per conto del titolare del trattamento (art. 4, par. 1, n. 8). Si tratta di soggetto distinto dal titolare e da questi designabile; il Responsabile deve possedere una competenza qualificata, garantire una particolare affidabilità e disporre delle risorse tecniche adeguate all’attuazione degli obblighi (tra cui, tenuta del registro dei trattamenti svolti, adozione di idonee misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, etc.). Il ruolo è riservato ad un soggetto esterno, il quale assume responsabilità proprie e ne risponde all’Autorità di controllo e/o alla Magistratura.

Il rapporto tra titolare e responsabile è di natura contrattuale: la designazione deve contenere la materia disciplinata, la durata, la natura, la finalità, il tipo di dati, i diritti e gli obblighi.

Una figura nuova prevista dall’art. 37 del Regolamento è il Responsabile della protezione dei dati (DPO o RPD). È soggetto designato dal titolare o dal responsabile per assolvere a funzioni di supporto e controllo, consultive, formative ed informative relativamente all’applicazione del Regolamento; deve possedere un’approfondita conoscenza della normativa e della prassi in materia di privacy, nonché delle norme e delle procedure amministrative. I DPO sono considerati “cardini della responsabilità”, agendo da intermediari tra le autorità di controllo, gli interessati e l’organizzazione da cui sono stati designati.

Ai sensi dell’art. 37, par. 1, del Regolamento, la nomina di un DPO o RPD è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali o reati.

Nel caso in cui il DPO scelto si trovi all’interno dell’ente è necessario formalizzare un atto di designazione a Responsabile per la protezione dei dati; mentre, qualora il DPO sia un soggetto esterno all’ente, la designazione sarà parte integrante del contratto di servizi redatto secondo quanto previsto dall’art. 37 del Regolamento. Nell’atto di designazione sono individuate espressamente le generalità del soggetto che opererà, nonché i compiti e le funzioni assegnate. L’assegnazione eventuale e successiva di ulteriori compiti rispetto a quelli previsti nell’atto di designazione richiede la modifica e l’integrazione delle clausole contrattuali o dell’atto di designazione.

1.3. Regole generali per il trattamento dei dati e registro dei trattamenti. Il consenso al trattamento e i diritti dell’interessato.

Quando si parla di trattamento dei dati personali[17], ai sensi dell’art. 4 del Regolamento, si fa riferimento a qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati e applicata a dati personali o insiemi di dati personali tra cui: la raccolta, la registrazione, l’organizzazione e la strutturazione, la conservazione, l’elaborazione, la limitazione, la cancellazione o distruzione dei dati. Il nuovo Regolamento trova applicazione rispetto a qualsiasi forma di trattamento automatizzato di dati, nonché al trattamento non automatizzato di dati contenuti in archivio. Qualsiasi trattamento deve esser svolto in maniera lecita e secondo correttezza, i dati devono esser raccolti e trattati per scopi determinati, espliciti e legittimi; infine, gli stessi devono esser conservati per un periodo non superiore al tempo necessario per raggiungere gli scopi del trattamento, trascorso il quale, i dati andranno cancellati oppure anonimizzati[18]. Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’art. 5 del Regolamento[19]: liceità, correttezza e trasparenza, minimizzazione dei dati, esattezza e aggiornamento[20]. Nello specifico, il principio di liceità (art. 6) prevede che ogni trattamento trovi fondamento in un’idonea base giuridica costituita dalla necessità del trattamento, consenso dell’interessato, adempimento di obblighi contrattuali.

Il Regolamento, altresì, richiede al titolare di rispettare i principi e di essere “in grado di comprovarli”. Si tratta, nello specifico, del principio di responsabilizzazione “accountability”, sancito dall’art. 24, par. 1 del Regolamento, il quale prevede che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed esser in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento”.

Il consenso al trattamento rappresenta il metro di liceità del trattamento stesso. Costituisce “consenso dell’interessato” qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva, a che i dati personali che lo riguardino siano oggetto di trattamento[21]. Quando il trattamento riguarda le “categorie particolari di dati”[22] il consenso deve essere esplicito.

L’art. 30 prevede, poi, una delle necessarie attività di compliance aziendale in materia di dati personali, da definirsi quale parte necessaria di un sistema di corretta gestione dei dati: il registro delle attività di trattamento dei dati personali. Si tratta di un adempimento nuovo che rientra tra gli obblighi del titolare e del responsabile del trattamento. Il registro è un documento (preferibilmente in formato elettronico) che raccoglie le principali informazioni sulle attività compiute ed è definito quale strumento fondamentale per: tracciare l’esistente; verificare la conformità; divulgare informazioni. Esso rappresenta uno dei basilari elementi di accountability del titolare, indispensabile per ogni attività di valutazione o analisi del rischio.

Il Regolamento generale sulla protezione dei dati personali disciplina i diritti dell’interessato nel Capo III, agli artt. 12-23. La formula “diritti dell’interessato” indica, in termini suggestivi, l’insieme dei poteri, delle facoltà e dei rimedi che compongono il contenuto del diritto alla protezione dei dati personali, riconosciuto come diritto fondamentale dei cittadini dell’Unione europea. In questo contesto, nuovi pericoli e nuovi rischi meritano di esser bilanciati con i nuovi diritti ed un maggiore potere di controllo dei dati da parte dell’interessato[23].

Il primo diritto dell’interessato è sancito all’art. 15 del Regolamento il quale definisce il diritto di accesso dell’interessato come il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardino. In caso positivo, l’interessato ha il diritto di richiedere al titolare del trattamento di prendere visione o di estrarre copia dei vari tipi di documenti a lui riferibili, in applicazione del più generale principio di trasparenza del trattamento dei dati personali. Inoltre, l’interessato ha il diritto di ottenere la rettifica dei dati inesatti (art. 16), nonché l’integrazione dei dati personali incompleti.

Il Regolamento ha introdotto, ex novo, il diritto di limitazione del trattamento, il quale consente all’interessato di pretendere una limitazione dell’uso dei dati (art. 18), qualora se ne contesti l’esattezza o il trattamento illecito: in queste ipotesi i dati non vengono cancellati, ma ne viene ridotto l’utilizzo consentito da parte del titolare.

L’art. 21 disciplina il diritto di opposizione che attribuisce all’interessato «il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano». A seguito dell’esercizio del diritto, il titolare potrà continuare a trattare i dati in suo possesso ove dimostri «l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria». Tale diritto è inteso quale espressione massima del potere di riappropriazione delle informazioni di carattere personale da parte dell’interessato in qualità di elemento di realtà di cui il dato personale è solo immagine.[24]

Di particolare interesse si rivela la previsione del diritto alla portabilità dei dati di cui all’art. 20. All’interessato è riconosciuto il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti ad un titolare del trattamento al fine di trasmetterli ad altro titolare del trattamento, senza impedimenti da parte del primo., nelle fattispecie di trattamento fondato sul consenso o sulla strumentalità all’esecuzione di un contratto o allo svolgimento della fase precontrattuale oppure di trattamento effettuato con mezzi automatizzati. La trasmissione dei dati disposta dall’interessato deve avvenire in forma

diretta dal titolare originario a quello indicato dall’interessato medesimo e, soprattutto, non deve ledere i diritti e le libertà altrui.

Grande importanza è attribuita al il diritto alla cancellazione, in quanto mezzo per l’esercizio del diritto all’oblio dell’interessato, ossia “diritto ad esser dimenticato”, il quale si presenta come il potere di riappropriarsi delle informazioni di carattere personale nel caso tanto di trattamento illecito o scorretto (art. 17, par. 1, lett. d), quanto di obbligo legale di cancellazione imposto al titolare dal diritto dell’Unione europea o dello Stato membro di appartenenza, quanto ancora di esercizio del potere sostanziale di autodeterminazione informativa. L’esercizio di tale di diritto potrà esser bilanciato, limitato o impedito nel caso in cui il trattamento sia necessario:

  • per l’esercizio del diritto alla libertà di espressione e di informazione;
  • per l’esercizio del diritto di difesa in sede giudiziaria;
  • per motivi di interesse pubblico generale di tutela della salute.

1.4. Violazioni dei dati. Tutela dell’interessato e sanzioni.

L’art. 4 del Regolamento definisce la violazione dei dati personali (Data Breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Tale violazione, provocata da una breccia nel sistema, può compromettere la riservatezza, l’integrità o la disponibilità di dati e, se non affrontata in modo adeguato e tempestivo, può provocare danni fisici, materiali o immateriali alle persone fisiche, quali discriminazione e furto d’identità. Le violazioni si distinguono in:

  • violazione della riservatezza;
  • violazione dell’integrità;
  • violazione della disponibilità.

Il titolare del trattamento in caso di violazione dovrebbe notificare la violazione all’Autorità di controllo competente, senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza[25]. La notifica deve contenere la descrizione della natura della violazione dei dati personali tra cui: categorie ed il numero delle persone interessate; il nome e i riferimenti del DPO e le misure adottate per porre rimedio alla violazione[26].

Sono previsti, altresì, casi in cui il titolare del trattamento deve comunicare la violazione dei dati alle persone fisiche interessate. Questo avviene, qualora la violazione presenti un rischio elevato per i diritti e la liberà delle persone fisiche.

In caso di violazione, il Regolamento prevede due forme di tutela dell’interessato: amministrativa e giurisdizionale. L’interessato può proporre ricorso giurisdizionale effettivo per la tutela dei propri diritti; in questo caso sono competenti le Autorità giurisdizionali dello Stato membro in cui il titolare ha uno stabilimento, oppure quelle in cui l’interessato risiede abitualmente. L’interessato ha anche il diritto di proporre reclamo ad un’Autorità garante, da cui potranno scaturire eventuali provvedimenti.

Uno degli aspetti più significativi del Regolamento riguarda il sistema sanzionatorio, sia per la centralità che esso riveste e sia per l’inasprimento delle sanzioni. Nello specifico, l’art. 83 del Regolamento attribuisce all’Autorità di controllo la facoltà di adottare due macro-categorie di sanzioni amministrative:

  • la prima categoria prevede sanzioni pecuniarie fino ad € 10.000,00 per le violazioni di minore gravità riguardanti il titolare ed il responsabile del trattamento, l’organismo di controllo;
  • la seconda categoria prevede sanzioni di maggiore entità fino ad € 20.000,00 per le violazioni riguardanti i trasferimenti dei dati, le condizioni relative al consenso.

Le sanzioni sono irrogate dall’Autorità di controllo[27] o Garante per la protezione dei dati personali, quale organo competente a valutare, caso per caso, le violazioni affinché le sanzioni siano sempre effettive, proporzionate e dissuasive (art.83, co. 1).

Vi sono casi in cui la violazione delle regole relative al trattamento dà luogo ad illeciti penalmente rilevanti, tra cui: trattamento illecito dei dati (art. 167); comunicazione e diffusione illecita dei dati personali oggetto di trattamento su larga scala (art. 167-bis); acquisizione fraudolenta (art. 168).

Infine, per quanto riguarda l’attribuzione della responsabilità, il titolare del trattamento risponde per il danno cagionato dal trattamento che violi il Regolamento, mentre il responsabile risponde solo in caso di inadempimento degli obblighi previsti dal Regolamento, qualora abbia agito in modo difforme o contrario. Il DPO, pur avendo responsabilità contrattuali nei confronti del titolare, non potrà esser considerato responsabile nei confronti degli interessati, in quanto in virtù del principio di accountability è il titolare che dovrà dimostrare la liceità del trattamento e la non imputabilità alla propria condotta di eventuali danni a terzi.

II. Riflessi ed aspetti pratico-operativi del GDPR nell’ambito del rapporto di lavoro

2.1. Soggetti coinvolti in un trattamento dati. Gestione documentale e registro dei trattamenti. Obbligo di formazione.

Con l’avvento della tecnologia digitale, il mondo del lavoro ha subìto una trasformazione radicale, al punto che si è parlato di una vera e propria “rivoluzione digitale”, la quale, oltre a trasformare i processi lavorativi, ha messo a dura prova le leggi e i regolamenti esistenti. Nel contesto lavorativo vi sono due contrapposti diritti meritevoli di tutela: da un lato, il diritto del datore di lavoro al controllo del corretto esercizio della prestazione lavorativa e della tutela dell’immagine aziendale; dall’altro lato, il diritto del lavoratore alla sua riservatezza[28].

Il Regolamento, all’art. 88, fa espresso riferimento al trattamento dei dati nell’ambito dei rapporti di lavoro: esso pone una riserva di legge in capo agli Stati membri, i quali possono prevedere, con norme di legge o mediante accordi collettivi, norme specifiche al fine di assicurare la protezione dei diritti e delle libertà, con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro. L’art. 88, al comma 2 indica espressamente i diritti che intende tutelare: dignità umana, interessi legittimi e diritti fondamentali degli interessati.

Risulta fondamentale, innanzitutto, individuare i protagonisti coinvolti nel trattamento di dati personali nell’ambito del rapporto di lavoro.

Il titolare è colui che determina le finalità ed i mezzi del trattamento e viene individuato nel datore di lavoro: persona fisica o giuridica, autorità pubblica o altro organismo.

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare, il quale può affidare ad altri soggetti lo svolgimento del trattamento. L’art. 28 del Regolamento richiede che tale figura sia designata mediante contratto o altro atto giuridico.

Gli autorizzati, invece, sono i dipendenti di cui si avvalgono il titolare e/o il responsabile al fine di eseguire i trattamenti dei dati personali. Nell’atto di autorizzazione occorre indicare l’ambito del trattamento consentito, le istruzioni sulle operazioni da svolgere in relazione al trattamento e quelle relative alle misure di sicurezza.

Sono obbligati a redigere l’autorizzazione tutti i titolari di trattamento (imprese ed enti pubblici). Il Regolamento prevede l’obbligo di fornire istruzioni ai soggetti autorizzati al trattamento (art. 32, par. 4) e, pertanto, si rende necessaria l’elaborazione di un manuale per la sicurezza da consegnare a tutti gli autorizzati, tenendo conto delle specificità e delle peculiarità dei compiti assegnati ad ognuno di essi[29].

In base all’ormai noto principio di “accountability”, ogni decisione in merito a quali dati trattare, su quali basi giuridiche e come realizzare il trattamento nel rispetto dei principi definiti nel Regolamento e, dunque, dei diritti dell’interessato è demandata alla responsabilità del titolare del trattamento, quindi al datore di lavoro. Il primo adempimento da porre in essere riguarda l’adozione del registro dei trattamenti dei dati personali previsto dall’art. 30 del Regolamento, il quale consente il monitoraggio degli adempimenti a garanzia dei diritti previsti dal medesimo Regolamento.

L’adozione di tale registro non è obbligatoria per il titolare del trattamento che occupi meno di 250 dipendenti. L’obbligo, tuttavia, prescinde dal limite dimensionale qualora i dati oggetto del trattamento presentino un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includa dati sensibili, genetici, biometrici, giudiziari, così come individuati dagli artt. 9 e 10 del Regolamento. Da una prospettiva diversa, il suddetto registro potrebbe essere inteso come uno strumento di ausilio ed un’opportunità di monitoraggio anziché come obbligo tout court. Le operazioni comunemente classificate come trattamento dei dati personali si possono brevemente elencare nelle fasi di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, utilizzo, comunicazione, raffronto, interconnessione, limitazione, cancellazione e distruzione[30].

Sul piano pratico-operativo, definire ex ante un’attenta politica di Privacy Impact Assesment (PIA) con valutazione e gestione dei rischi del singolo trattamento, mediante una corretta configurazione dei processi aziendali, consente indubbiamente di individuare eventuali Data Breach, comunicandoli agli utenti interessati, nonché di inviare l’avviso all’Autorità competente (artt. 33 e 34 del Regolamento).

A tale proposito, la Sezione IV del Regolamento fornisce le indicazioni sulla necessità di formare il personale incaricato del trattamento dei dati personali degli interessati, con obbligo di designazione di un Data Protection Officer (DPO).

Dalla lettura delle disposizioni del Regolamento emerge che l’obbligo di formazione del personale è da intendersi come generalizzato ed esteso a tutti i soggetti che, all’interno di un’organizzazione complessa, trattino i dati personali degli interessati. A questo punto diventa necessario garantire la periodicità della formazione e documentarne l’effettivo apprendimento attraverso appositi test. Si ricorda, infatti, che il d. lgs. n. 196/2003 al punto 19.6 dell’All. B) prevedeva l’obbligo di programmazione della formazione “già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” e comunque in occasione dell’adozione del DPS entro il 31 marzo di ogni anno (obbligo poi venuto meno per effetto del D.L. n. 5/2012, convertito in L. n. 35/2012).

Su tale aspetto la nuova normativa non prevede nulla di specifico, ma appare coerente con la ratio dell’intera disciplina la previsione di un adeguato sistema di aggiornamento della formazione, sia al momento dell’introduzione in azienda di nuove risorse o di mutamento di mansioni, sia qualora si renda necessario ricorrere a nuovi strumenti, tecnologie o modalità di trattamento dei dati[31].

2.2. I controlli a distanza e gli strumenti di lavoro: videocamere e geolocalizzazione. L’utilizzo della posta elettronica.

Tra i poteri del datore di lavoro rientra il potere di controllo, diretto a verificare l’esatto adempimento dell’obbligazione lavorativa, ossia se il dipendente usi la prescritta diligenza (art. 2104, co. 1, c.c.) e osservi le disposizioni impartitegli (art.2104, co. 2, c.c.), anche al fine dell’eventuale esercizio del potere disciplinare (art. 2106 c.c. e art. 7 Statuto del Lavoratori)[32].

L’esercizio del potere di controllo, per potersi dire legittimo, deve esser contemperato con le libertà fondamentali del lavoratore, alle quali è riconosciuta dignità giuridica pari alle contrapposte esigenze datoriali.

In particolare, il nuovo testo dell’art. 4 dello Statuto, a seguito delle modifiche introdotte dal d. lgs. n. 151/2015 (Jobs Act), non contiene più un esplicito divieto di utilizzo di strumenti con finalità esclusiva di controllo a distanza, ma tale divieto non può dirsi scomparso del tutto[33]. La norma ammette l’impiego di impianti audiovisivi ed altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori solamente in presenza di tre specifiche finalità: esigenze organizzative e produttive, sicurezza del lavoro e della tutela del patrimonio aziendale. Al di fuori di tali finalità l’istallazione e l’uso di strumentazioni per controllare l’attività lavorativa resta vietato.

L’installazione degli strumenti di cui all’art. 4, co. 1, dello Statuto, continua ad esser condizionata alla preventiva stipulazione di accordi collettivi con la RSU o le RSA o, con le associazioni comparativamente più rappresentative a livello nazionale. Nel caso in cui non siano presenti RSA/RSU, il datore dovrà rivolgersi all’autorità amministrativa, presentando apposita istanza in via alternativa all’Ispettorato Nazionale del Lavoro territorialmente competente o al Ministero del Lavoro[34].

L’art. 4, co. 2 dello Statuto prevede che il divieto di cui sopra, non operi in relazione a quegli strumenti, anche di natura tecnologica, che vengano utilizzati dal lavoratore allo scopo di “rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. Sembra, infatti, che i controlli autorizzati possano avere ad oggetto anche l’attività dei lavoratori per tutti i fini connessi al rapporto di lavoro (anche disciplinari).

Il Garante, in merito, ha precisato che nella nozione di “strumenti di lavoro” di cui all’art. 4, co. 2, più volte citato, possano ricomprendersi solo “servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza”. A titolo di mera esemplificazione, possono essere considerati strumenti di lavoro: il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui il collegamento ai siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentano il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata; sistemi di filtraggio antivirus e antimalware che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).

In particolare, la forma più frequente di potenziale controllo è rappresentata dall’istallazione di videocamere, le quali vengono utilizzate con finalità di salvaguardia del patrimonio aziendale. L’impianto non può essere istallato con la finalità di controllo dell’attività del dipendente, ma esclusivamente per finalità di carattere organizzativo e produttivo[35]. Prima di procedere all’istallazione è necessario raggiungere l’accordo con la rappresentanza sindacale (ove presente) o ottenere l’autorizzazione della sede territoriale dell’INL. Oltre all’ipotesi classica della videosorveglianza, attualmente, le possibilità di controllo dei lavoratori sonomolteplici ed è possibile attuarle con modalità che fino a poco tempo fa erano inimmaginabili, basti pensare ai devices concessi in dotazione, alla presenza sui social network, all’utilizzo della posta elettronica oaddirittura alla localizzazione geografica (geolocalizzazione). In riferimento al sistema di geolocalizzazione, l’orientamento che si sta consolidando afferma che i sistemi di GPS rappresentino un elemento “aggiunto” agli strumenti di lavoro[36], non utilizzati in via primaria ed essenziale per l’esecuzione dell’attività lavorativa, ma per rispondere ad esigenze di carattere assicurativo, organizzativo, produttivo o per ragioni di sicurezza. Ne consegue, che anche tali impianti siano assoggettati agli obblighi derivanti di cui all’art. 4 dello Statuto[37].

Alcuni strumenti diventati ormai indispensabili nell’attività lavorativa sono i personal computer, i tablet, i telefoni cellulari, necessari per poter accedere alla rete Internet e l’indirizzo di posta elettronica personale del dipendente, messo a disposizione dal datore. Tutti questi strumenti, possono trasformarsi in strumenti di controllo ed invadere la sfera privata della persona[38]. Nello specifico, il contenuto dei messaggi di posta elettronica, degli allegati e dei file, è protetto da garanzie di segretezza, anche a livello costituzionale (artt. 2 e 15 Cost). Sul tema, il Garante privacy nel 2018 ha stabilito che, in assenza di idonee informazioni ex art. 13 del Regolamento non è possibile operare un accesso illimitato e massivo dei messaggi inviati e ricevuti dai dipendenti. Il titolare, in questi casi, dovrà necessariamente informare gli interessati preventivamente con riferimento alle modalità con cui verrà effettuato il controllo e alle finalità perseguite, valutando l’esistenza di un bilanciamento tra interesse del titolare ad accedere alle informazioni necessarie ad una efficiente gestione della propria attività e le legittime aspettative di riservatezza della corrispondenza dei dipendenti. Di particolare interesse risulta, poi, la precisazione del Garante posta in relazione alle intenzioni del datore di lavoro di trattare e conservare i dati della posta elettronica al fine di precostituirsi utili strumenti di difesa in caso di eventuali contenziosi, laddove si legge che “il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione avanzata dalla società risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento”.

2.3. Principi nel trattamento di dati biometrici.

Impronte digitali, riconoscimento facciale, scansione dell’iride oppure riconoscimento della struttura del palmo della mano sono i “dati biometrici” di cui si parla sempre più spesso, grazie ai continui sviluppi della tecnologia.

I dati biometrici rientrano indubbiamente nella categoria dei dati personali e, in quanto tali, sono sottoposti a regolamentazione normativa per quanto riguarda il loro utilizzo e la loro tutela. La definizione di tali dati è contenuta nell’art. 4, par. 14 del Regolamento: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Il trattamento dei dati si attua in due fasi: nella prima fase un apposito lettore acquisisce il dato; nella seconda fase, una componente software confronta il dato appena analizzato con quelli raccolti in precedenza e verifica che corrisponda ad una determinata persona[39]. I dati biometrici, come tutti gli altri “dati sensibili”, sono tutelati in via indiretta anche dall’art. 30 (Registro dei trattamenti) e dall’art. 35 (Valutazione dell’impatto sul trattamento dei dati), in modo da prevedere, qualora si ricorra ad essi, una disciplina particolarmente stringente, attraverso il ricorso a strumenti che permettano di valutare la correttezza della mappatura e del loro utilizzo oltre all’impatto in termini di rischio dei cittadini dell’intera Unione Europea[40].

Un requisito fondamentale per il ricorso alla biometria consiste nella chiara definizione delle finalità per le quali vengono raccolti e trattati i dati, tenendo conto dei rischi per la protezione dei diritti fondamentali e delle libertà delle persone.

A titolo esemplificativo i dati biometrici possono essere raccolti per garantire o aumentare la sicurezza dei sistemi di trattamento attuando misure appropriate per proteggere i dati personali dall’accesso non autorizzato. Il principio di limitazione delle finalità deve essere rispettato unitamente agli altri principi sulla protezione dei dati; nello specifico, occorre tenere presenti i principi della proporzionalità, della necessità e della minimizzazione dei dati.

Quando è possibile, l’interessato deve poter scegliere fra le varie finalità di un’applicazione con molteplici funzionalità, soprattutto se una o più di esse richiedano il trattamento di dati biometrici. L’uso della biometria pone il problema della proporzionalità di ogni categoria di dati trattati alla luce delle finalità del trattamento.

Nell’analisi della proporzionalità di un sistema biometrico, occorre considerare se il sistema sia inevitabile per soddisfare la necessità accertata, ossia il più conveniente o quello più efficace[41].

Sul piano pratico-operativo potrebbe sorgere una difficoltà specifica, in quanto i dati biometrici contengono spesso più informazioni di quelle richieste, pertanto il responsabile del trattamento è tenuto all’applicazione del principio della minimizzazione dei dati e questo significa, in primo luogo, che soltanto le informazioni richieste possano essere trattate, trasmesse o conservate, non tutte quelle disponibili.

L’art. 35 del Regolamento, da questo punto di vista, si pone quale norma fondamentale: essa impone di procedere ad una progettazione preventiva dell’intero sistema di gestione, da realizzarsi attraverso un approccio integrato di strategie complessive delle “policies aziendali”.

III. La protezione dei dati nel diritto dell’emergenza

3.1. Inquadramento. Bilanciamento tra interessi confliggenti.

All’indomani dell’esplosione della emergenza sanitaria connessa alla diffusione del Coronavirus, uno dei nodi giuridico-interpretativi di maggior rilievo è risultato essere quello relativo al bilanciamento tra tutela della salute e tutela della riservatezza delle persone[42]. Si tratta di un tema che oltrepassa grandemente i limiti disciplinari del diritto del lavoro ed i confini del mondo del lavoro e delle attività produttive, interessando e interrogando decisori politici e società rispetto agli strumenti per contrastare la diffusione del virus e ai limiti di invasività che occorre porre nella loro adozione. Il tema si pone in maniera paradigmatica e fondamentale anche all’interno dei luoghi di lavoro, dove ad essere presi in considerazione sono la tutela della riservatezza e della dignità dei lavoratori e al contempo la tutela della loro salute sul lavoro, con i relativi obblighi ricadenti sui datori di lavoro.

Con il diffondersi del contagio e di alcune prassi datoriali relative alla acquisizione preventiva di informazioni sullo stato di salute dei lavoratori o sui loro contatti al fine di evitare il rischio di diffusione del virus nell’ambiente di lavoro, è diventato sempre più pressante interrogarsi sui limiti e sulla legittimità di tali azioni. Si tratta, all’evidenza, di dati che sono sottoposti ad una particolare tutela tanto in una prospettiva di “data protection”,quanto in quella strettamente giuslavoristica.

Sul punto, sia in Italia che negli altri Paesi interessati dal contagio, le Autorità Garanti per la privacy sono state costrette a svolgere una funzione interpretativa-chiarificatoria[43].

Per quanto riguarda gli Stati membri dell’Unione Europea, pur a fronte di un framework comune, rappresentato dal Regolamento Ue 2016/679, le posizioni espresse daiGaranti, ad oggi, differiscono in parte rispetto alla valutazione di legittimità di tali pratiche datoriali, con posizioni altamente restrittive (come quella espressa dai garanti italiano e francese) e altre di maggiore apertura (come, ad esempio, quella sostenuta dall’Autorità irlandese).

Ovviamente, quanto maggiore è la compressione del livello ordinario delle garanzie, sia pure per inoppugnabili fini di interesse pubblico, tanto più alto è il rischio che il diritto alla protezione dei dati personali – pilastro centrale del sistema contemporaneo dei diritti fondamentali – soffra delle limitazioni eccessive e non facilmente revocabili (anche sul piano cognitivo e culturale) una volta terminata l’emergenza. Operare un bilanciamento tra gli interessi in gioco, tutti legittimi, è pertanto operazione non semplice, che ha impegnato e continua tutt’ora ad impegnare, su diversi livelli, chi ha compiti di responsabilità pubblica in pressoché tutti gli ordinamenti giuridici.

Siamo, quindi, in presenza di una pluralità di norme che integrano e in parte modificano il sistema della protezione dei dati, al fine di bilanciare il rispetto dell’autodeterminazione informativa con le esigenze impellenti di tutela della salute pubblica in una situazione di emergenza sanitaria. I principi stabiliti dal Regolamento

agli artt. 6, 9 e 23 possono di per sé legittimare non soltanto il trattamento dei dati relativi a persone infette, ma anche, le attività di ricerca della catena di contagio intraprese a vari livelli dalle strutture coinvolte.

3.2. Sicurezza sul lavoro e privacy: binomio possibile? Controlli sanitari sui lavoratori al tempo del Covid-19.

La dilagante diffusione del virus Covid-19 ha reso indispensabili misure di contenimento e di distanziamento sociale. Per contrastare i rischi sanitari derivanti dall’epidemia si sono susseguiti, nel giro di pochi mesi, decreti-legge, D.P.C.M., ordinanze del Ministero della Salute, Protocolli di sicurezza, i quali hanno adeguato le misure urgenti per fronteggiare l’emergenza all’evoluzione del contagio.

Ai fini che ci occupano, è utile richiamare il decreto legge 25 marzo 2020 n. 19 (convertito con modificazioni dalla L. 22 maggio 2020, n. 35), con il quale si è autorizzata l’adozione, sulla totalità o su parti del territorio nazionale, per periodi predeterminati, reiterabili e modificabili, di misure straordinarie volte ad incidere su tutti i settori della vita personale, sociale, economica e lavorativa dei cittadini; ed il decreto legge 16 maggio 2020 n. 33 (convertito con modificazioni dalla L. 14 luglio 2020, n. 74) , con il quale si è previsto un notevole alleggerimento delle disposizioni eccezionali consentendo la mobilità interregionale e la ripartenza graduale di tutte le attività economiche, produttive e sociali[44].

In particolare, l’art. 1, co. 2, del d.l. n. 19 del 2020, lett. z) e gg), stabilisce che “le attività non sospese si svolgano previa assunzione delle misure idonee a garantire il rispetto della distanza di sicurezza interpersonale adeguata a prevenire o ridurre il rischio di contagio e che i servizi di pubblica necessità debbano adottare, qualora non sia possibile far rispettare detta distanza, protocolli di sicurezza anti-contagio e strumenti di protezione individuale”.

L’art. 1, co. 14, del d.l. n. 33 del 2020 ha implementato la copertura normativa dei protocolli e delle linee guide di settore rendendone obbligatorio il rispetto all’atto della

ripresa per tutte le attività economiche e produttive e non solo nel caso in cui non sia possibile il distanziamento interpersonale.

Diversi i D.P.C.M. che sono stati emanati in attuazione del d.l. n. 19 del 2020, in base

all’evoluzione dell’emergenza sanitaria; in particolare, il D.P.C.M. 10 aprile 2020 all’art. 2, co. 10 ha disposto che le imprese le cui attività non sono sospese rispettino “i contenuti del protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali”, mentre all’art. 1, lett. ii), con riferimento alle attività professionali raccomanda di assumere protocolli di sicurezza anti-contagio con adozione, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, “di strumenti di protezione individuale, e di incentivare le operazioni di sanificazione dei luoghi di lavoro”[45].

Le norme adottate per la gestione dell’emergenza, in sinergia con i Protocolli, hanno codificato alcune misure precauzionali standard, valide per l’intero territorio nazionale ed affidato ai datori di lavoro il compito di attuarle e di adeguarle alle specifiche esigenze della singola organizzazione aziendale; queste misure, seppure non esauriscono in termini assoluti le misure richieste ai fini all’adempimento dell’obbligo di sicurezza imposto dall’art. 2087 c.c., che costituisce pur sempre un obbligo dinamico, sensibile all’evoluzione delle tipologie di rischi e delle tecniche note per prevenirli, individuano comunque, in termini ragionevoli e prossimi all’esaustività, le misure precauzionali necessarie alla prevenzione del rischio da Covid-19 allo stato attuale.

Dunque, su invito del Presidente del Consiglio dei Ministri e dei Ministri competenti, il 14 marzo 2020 è stato sottoscritto il Protocollo condiviso di regolazione delle misure e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro[46], con il quale sono state stabilite le condizioni e le loro modalità di attuazione per la tutela dei lavoratori, quale condicio sine qua non per la prosecuzione delle attività produttive nel periodo di vigenza del D.P.C.M. dell’11 marzo 2020.

Sono diversi i riferimenti al diritto alla protezione dei dati personali nell’ambito dei rapporti di lavoro. Il Protocollo prevede che al momento dell’accesso i lavoratori potranno essere sottoposti in tempo reale al controllo della temperatura corporea attraverso strumenti non invasivi (termoscanner o termometri a infrarossi)[47], impedendone l’ingresso nel caso in cui la temperatura risulti superiore ai 37,5°.

Il Protocollo suggerisce:

  • di rilevare la temperatura e non registrare il dato acquisito;
  • di identificare l’interessato e registrare il superamento della soglia di temperatura solo se necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
  • di fornire, anche oralmente, l’informativa sul trattamento dei dati personali, in cui è possibile omettere le informazioni di cui l’interessato è già in possesso;
  • di indicare in tale informativa: quanto alla finalità del trattamento, la prevenzione dal contagio da Covid-19; quanto alla base giuridica, l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del D.P.C.M. 11 marzo 2020; quanto alla durata dell’eventuale conservazione dei dati, la cessazione dello stato d’emergenza;
  • di definire le misure di sicurezza e organizzative adeguate a proteggere i dati, individuando i soggetti preposti al trattamento e fornendo loro le istruzioni necessarie[48];
  • di assicurare, in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, modalità tali da garantire la riservatezza e la dignità del lavoratore.

La natura di obbligo giuridico dei citati adempimenti posti in capo al datore di lavoro appare derivare dall’art. 2087 c.c., nonché dall’obbligo di valutare, a norma dell’art. 28, co. 1 del d.lgs. n. 81 del 2008, tutti i rischi che espongono i dipendenti a pericoli per la loro salute e sicurezza, eliminandoli o, comunque, riducendone per quanto possibile l’esposizione, incluso il rischio biologico da Covid-19 all’interno dei luoghi di lavoro.

Con riguardo al trattamento dei dati personali in ambito lavorativo, si evidenzia la delicatezza del tema: non solo si tratta di una categoria particolare di dati ai sensi dell’art. 9 del Regolamentopoiché legati all’ambito del lavoro; ma tali dati, considerati in relazione al virus, riguardano la salute e quindi rientrano nel novero dei casi previsti dal summenzionato articolo, anche poiché si tratta di “dati sensibili”. Ciò sembra quasi invocare l’esigenza di un doppio grado di tutela. Difatti, come specificato in nota al Protocollo, “la rilevanza della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente”. Viene, dunque, suggerita la modalità con cui svolgere l’operazione: il dato va registrato solo se ciò risulti necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali[49].

Viene, altresì, esplicitato di fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 del Regolamento, precisando che la stessa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente,

come previstoall’art. 12, par. 1. Quanto ai contenuti dell’informativa, il Protocollo specifica che in riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da Covid-19 e che la base giuridica del trattamento sarà, dunque, l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del D.P.C.M. cit., nonché dell’art. 9, lett. b) del menzionato Regolamento.

Con riferimento alla durata dell’eventuale conservazione dei dati si fa riferimento al termine dello stato d’emergenza[50]; mentre, nel definire le misure di sicurezza tecniche e organizzative adeguate a proteggere i dati, il Protocollo non fa specificazioni e si considera richiamato direttamente l’art. 32 del Regolamento[51].

Ebbene, risulta piuttosto chiaro che il trattamento dei dati personali per la finalità sopra

evidenziata rappresenta un’esplicita deroga al divieto di trattare le categorie particolari

di dati, ex art. 9, par. 1 delRegolamento, riconducibile all’ipotesi prevista al par. 2, lett. b) dello stesso articolo. Tale ultimo disposto normativo prevede che non si applichino le limitazioni di cui al par. 1 se “il trattamento è necessario per assolvere gli obblighi e esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale”. Ciò, nella misura in cui “sia autorizzato dal diritto dell’UE o degli Stati Membri o da un contratto collettivo ai sensi del diritto degli Stati Membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

L’esigenza di tutela della salute pubblica, quale diritto individuale e interesse collettivo nella scala dei valori costituzionali, ha prevalso, nel contesto della crisi sanitaria in corso, sulle prerogative di salvaguardia della società nei suoi aspetti economici, civili, politici. Nel contesto attuale, la parte datoriale è dunque tenuta ad adottare tutte le misure necessarie affinché i luoghi di lavoro non diventino sedi di contagio ai danni dei lavoratori in forza.

Ed allora, in questo quadro, il datore di lavoro potrebbe effettuare direttamente test sierologici ai propri dipendenti? Quali aspetti bisogna considerare nel promuovere screening sierologici nei confronti di lavoratori?

In tal senso, i chiarimenti resi dal Garante privacy forniscono indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private e chiariscono i presupposti per l’effettuazione dei test sierologici sul posto di lavoro[52].

In particolare, il Garante ha specificato che, nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici qualora sia disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica. Soltanto il medico del lavoro, infatti, nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici suggerendo l’adozione di mezzi diagnostici, qualora li ritenga utili al fine del contenimento della diffusione del virus, nel rispetto delle indicazioni fornite dalle Autorità sanitarie.

L’Autorità precisa che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possano essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami). Il datore di lavoro deve, invece, trattare i dati relativi al giudizio di idoneità del lavoratore alla mansione svolta e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire. Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Infine, il Garante ha chiarito che la partecipazione agli screening sierologici promossi dai Dipartimenti di prevenzione regionali nei confronti di particolari categorie di lavoratori a rischio di contagio, come operatori sanitari e forze dell’ordine, può avvenire solo su base volontaria. I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore.

In base ai principi generali di cui alla normativa codicistica (anche in relazione all’obbligo di diligenza e di conformazione alle direttive aziendali ex art. 2104 c.c.) e alla legislazione speciale, è possibile ritenere che il lavoratore sia obbligato a sottoporsi a tale misura, anche in forza dell’art. 20, comma II, lett. i) del TUSL, il quale dispone che il lavoratore debba sottoporsi ai controlli sanitari non solo nei casi previsti dalla normativa (fra cui, quelli di esposizione al rischio biologico), ma anche in tutte le ipotesi in cui gli stessi siano disposti dal medico competente a fronte dell’esposizione a un rischio per la salute sulla base di apposito protocollo sanitario.

Non sembra ipotizzabile, nel caso di specie, alla luce di quanto sopra, alcuna violazione dell’art. 5 dello Statuto dei Lavoratori, giacché non si tratta di un accertamento sanitario né sull’infermità per malattia o infortunio del lavoratore, né, in senso stretto, sull’idoneità fisica alla normale mansione di lavoro. Si tratta di un controllo sanitario di sicurezza disposto dal medico competente finalizzato a impedire, precauzionalmente, l’ingresso in azienda dei lavoratori in significativo stato febbrile e, quindi, anche solo potenzialmente, infetti, con ciò impedendo l’esposizione delle altre persone presenti sul luogo di lavoro al rischio di possibile contagio da Covid-19, in ossequio al principio che impone di privilegiare “le misure di tutela alla fonte e di tutela collettiva”.

3.3. Il “contact tracing”: le linee Guida dell’EDPB (European Data Protection Board).

Il contact tracing è stata una delle misure previste per l’avvio della cosiddetta fase 2 e consiste nella georeferenziazione dei contagiati, al fine di poter individuare eventuali possibili contatti. In pratica, un’applicazione digitale, sfrutta i dati di geolocalizzazione presenti sugli smartphone e attraverso un sistema di intelligenza artificiale riesce ad individuare gli spostamenti delle persone, i luoghi frequentati da chi è stato contagiato, permettendo di risalire ai cittadini oggetto di contatto[53].

Nel vantaggio, infatti, di ripristinare, medio tempore, la produttività economica e sociale del Paese, risiede anche il pericolo che venga “messa a nudo” la persona e la sua sfera d’azione, il che significa, sul piano giuridico, che può essere scalfito il modello di tutela dei dati personali contenuto nel Regolamento Ue 2016/679 e nel d.lgs. 196/2003, come modificato dal d.lgs. n. 101/2018. In sostanza, l’adozione dello strumento del contact tracing comporta una limitazione della sfera personale, non palpabile nell’immediato, ma molto pervasiva, ovvero il monitoraggio, da parte delle multinazionali digitali (compagnie telefoniche e/o anche social network), delle azioni e di tutto quel che riguarda la “persona”, ossia di tutto ciò che rientra nel concetto di “diritto di protezione dei dati personali”.

Occorre, perciò, affrontare la questione da una duplice angolazione, verificando, in primo luogo, la legittimità del contact tracing nel quadro normativo delle fonti, con riferimento particolare alla disciplina sulla protezione dei dati, al fine di accertare, eventualmente, i limiti di una eventuale “comprimibilità” della legislazione sui dati personali.

Riguardo al primo aspetto, sul versante della protezione dei dati, il Regolamento autorizza il trattamento di dati particolari, in via derogatoria, al ricorrere di precise condizioni elencate all’art. 9, paragrafo 2: “per motivi di interesse pubblico nel settore della sanità pubblica” (lett. g-i), “diagnosi, (…) terapia sanitaria (…) gestione dei (…) servizi sanitari o sociali” (lett. h). Sulla stessa scia, il novellato d.lgs. n. 196/2003, che considera di “rilevante interesse pubblico” i trattamenti eseguiti dal servizio sanitario nazionale e dai soggetti operanti in ambito sanitario, per la “sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica” (art. 2-sexies, comma 2, lett. t)-u)). Dunque, stando alla ricostruzione del dato normativo, sembra di poter convenire sulla ammissibilità di un trattamento di dati nella forma del controllo digitale della persona e dell’intera società, se è in gioco la salute pubblica. D’altra parte, è la coesistenza tra i diritti stessi ad imporne la rivalutazione nell’ottica di una ponderazione equilibrata quando si verificano situazioni di conflittualità.

In tal senso, l’European Data Protection Board (EDPB) ha adottato una Dichiarazione formale in merito al trattamento dei dati personali nel contesto dell’epidemia da Covid-19, con cui si sottolinea l’importanza di garantire la tutela dei dati personali e delle persone fisiche interessate anche a fronte dell’odierna situazione di emergenza di carattere internazionale[54].

In tale documento vengono individuati quattro aspetti: liceità del trattamento; principi fondamentali per il trattamento dei dati personali; utilizzo dei dati di localizzazione derivanti dai dispositivi mobili e contesto lavorativo.

Preliminarmente, l’EDPB ha evidenziato come l’emergenza possa essere una condizione legale per legittimare la restrizione della libertà a patto che si tratti di restrizioni proporzionate e limitate al periodo di emergenza.

In particolare, in merito al primo punto sulla liceità del trattamento, l’EDPB ha sottolineato che il Regolamento si applica anche nel contesto relativo alla diffusione del Covid-19, ove è consentito alle Autorità sanitarie e ai datori di lavoro di trattare i dati personali conformemente a quanto stabilito dalla legge statale; in particolare, nel settore della sanità pubblica non sarà necessario il consenso degli interessati.

Difatti, nel Considerando 46 del Regolamento si fa riferimento alla liceità del trattamento qualora venga svolto per controllare “l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”, richiamando anche l’art. 9.2 lett. i) e lett. c), il quale prevede il trattamento nelle situazioni in emergenza sanitaria. Nello specifico il divieto di trattamento di dati particolari di cui all’art. 9.1 non si applica quando: “i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;” e quando: “c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso”.

Al secondo punto si evidenzia che il trattamento di dati personali dovrà essere svolto per scopi espliciti, informando in modo chiaro e trasparente, i soggetti interessati su modalità, finalità e tempo di conservazione, evitando la divulgazione a soggetti non autorizzati.

Al terzo punto, in merito all’utilizzo di dati sulla localizzazione attraverso dispositivi mobili per monitorare, contenere e mitigare il contagio, l’EDPB raccomanda l’elaborazione dei dati di posizione e di tracking degli individui in forma anonima e l’adozione di misure meno invasive in virtù del principio di proporzionalità.

Infine, per ciò che concerne l’ambito lavorativo, si precisa che il datore di lavoro dovrebbe richiede dati relativi alla salute soltanto nel limite consentito dalla legislazione nazionale, ottenendo i dati personali relativi al contagio al solo scopo di adempiere ai propri doveri e di conseguenza organizzare il lavoro. Nel caso in cui si intendesse acquisire dati identificativi e sanitari, è necessario prevedere adeguate garanzie ispirate ai principi di proporzionalità, necessità e ragionevolezza e con una efficacia temporale limitata all’emergenza in corso[55].

Di recente, l’EDPD, durante la trentaduesima sessione plenaria, ha adottato una dichiarazione sull’interoperabilità delle applicazioni di tracciamento dei contatti, basandosi sulle Linee guida precedenti[56]. In particolare, è stato sottolineato che la condivisione di dati su individui che sono stati diagnosticati o testati positivamente con tali applicazioni interoperabili dovrebbe essere innescata solo attraverso un’azione volontaria dell’utente. Garantire l’interoperabilità non è solo tecnicamente impegnativo e, talvolta, impossibile senza compromessi sproporzionati, ma comporta anche un potenziale aumento del rischio di protezione dei dati. 

Pertanto, i responsabili del trattamento dovranno garantire misure efficaci e proporzionate, valutando se un’alternativa meno invadente possa raggiungere il medesimo scopo.

3.4. Dati personali. L’app “Immuni” e la limitazione del diritto di tutela dei dati.

La modalità di funzionamento dell’applicazione “Immuni”, basata sul sistema di “contact tracing”, ovvero di tracciamento digitale dei contatti tra persone, è finalizzata ad allertare gli utilizzatori di essere entrati in contatto con persona affetta da Covid-19[57]. L’applicazione, attraverso bluetooth, alla distanza di intervento di un metro, consente di individuare coloro che l’hanno scaricata sul proprio smartphone tramite codici identificativi, affidando ad algoritmi il calcolo della vicinanza di ogni contatto e il relativo tempo di esposizione al virus, generando, come prima funzione, una lista di presunti contagiati. L’applicazione in questione sarebbe stata selezionata a seguito del parere reso dal Comitato dei Garanti europei (e redatto dal Garante italiano), secondo il quale la logica bluetooth soddisfa criteri di maggiore selettività e, dunque, può avere minore impatto sulla privacy, poiché basata su meccanismi volontari di adesione e sulla trasparenza del sistema di funzionamento dell’applicazione. In questa prospettiva può ritenersi accettabile una compressione della tutela del dato personale per effetto di un’attività di tracciamento digitale, nei limiti in cui venga considerata relativamente necessaria all’esito di una ponderazione con le odierne restrizioni ai diversi altri diritti della persona. Nella logica del giudizio di proporzionalità significa che la soddisfazione di una tutela piena del bene primario della salute pubblica può essere garantita anche dalla limitazione del dato personale, nel senso, cioè, che la riduzione delle sue forme di tutela non può essere esclusiva, ma deve essere contemperata con esigenze altrettanto fondamentali della persona.

La seconda ragione sottesa al giudizio relativistico ha carattere operativo: il tracciamento digitale raccoglierà una mole di informazioni tale da chiedersi se l’apparato sanitario sarà pronto a fornire una adeguata risposta attraverso la possibilità di effettuare assistenza a domicilio per la somministrazione di tamponi o di altri test sierologici.

In proposito, il Garante privacy, con provvedimento del 1° giugno 2020, ha autorizzato il Ministero della salute ad avviare il trattamento relativo al sistema di allerta Covid-19 attraverso l’applicazione “Immuni”[58]. Sulla base della valutazione d’impatto trasmessa dal Ministero, il trattamento di dati personali effettuato nell’ambito del sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano gli eventuali rischi.

Tenuto conto della complessità del sistema di allerta e del numero dei soggetti potenzialmente coinvolti, il Garante ha ritenuto di dare una serie di misure volte a rafforzare la sicurezza dei dati delle persone che scaricheranno l’applicazione.

In particolare, l’Autorità ha chiesto che gli utenti siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio, lasciando agli stessi, inoltre, la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale. I dati raccolti attraverso il sistema di allerta non potranno essere trattati per finalità non previste dalla norma che istituisce l’applicazione.

Dovrà essere garantita la trasparenza del trattamento per fini statistico-epidemiologici dei dati raccolti, attraverso modalità adeguate a proteggerli, evitando ogni forma di riassociazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione.

Dovranno, altresì, essere introdotte misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati. La conservazione degli indirizzi IP dei cellulari dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi; particolare attenzione dovrà essere dedicata all’informativa e al messaggio di allerta, tenendo conto del fatto che è previsto l’uso del sistema anche da parte di minori ultra quattordicenni.

Inoltre, il Garante ha sottolineato che il trattamento di dati personali raccolti attraverso la app, da parte di soggetti non autorizzati, può determinare un trattamento di dati personali illecito, eventualmente anche rilevabile sotto il profilo penale.

Infine, nei tempi successivi alla fase 2, sarà senza dubbio necessario sottoporre a ri-valutazione di proporzionalità il “contact tracing” per decidere della sua applicabilità in termini di ragionevolezza, del tutto compatibilmente con l’evoluzione del virus.

Il riferimento si pone al momento in cui si assisterà alla ripresa di tutte le attività lavorative e sociali con il presumibile, pressoché totale, allentamento delle attuali restrizioni.

IV. Scuola: la sfida della didattica a distanza.

4.1. Inquadramento.

L’esame del trattamento dei dati all’interno delle Istituzioni scolastiche deve essere necessariamente contestualizzato rispetto alla disciplina apprestata dal Reg. UE 679/2016 per la tutela dei dati dei minori. Si tratta di una novità normativa, in quanto la precedente direttiva CE 46/1995 (Direttiva Madre) non prevedeva alcuna disposizione; il Codice privacy, contestualmente, prevedeva che la prestazione del consenso di un minore fosse demandata al rappresentante legale, essendo incapace di agire fino al raggiungimento della maggiore età.

Gli istituti scolastici trattano dati personali su larga scala riferiti a soggetti in condizioni di particolare vulnerabilità (in primis minorenni) e devono, quindi, assicurare un elevato livello di protezione dei dati personali. È, dunque, necessario chiedersi quali siano gli obblighi a cui questi soggetti devono adempiere per rispettare le norme previste dal Regolamento[59].

L’art. 6, che disciplina le condizioni di liceità del trattamento, pone la tutela dei minori quale limite all’interesse del titolare. La norma cardine è contenuta all’art. 8 del Regolamento, ove si stabilisce che nell’ambito dell’offerta di servizi della società delle informazioni dirette ai minori, il trattamento dei dati è lecito ove il minore abbia almeno 16 anni, ma gli Stati membri possono stabilire un’età inferiore; il trattamento, dunque, è considerato lecito soltanto se il consenso è prestato o autorizzato da titolare della responsabilità genitoriale. A tal proposito, il legislatore italiano ha fissato il limite della “maggiore età digitale” a 14 anni.

Nello specifico, la scuola può elaborare i dati personali solo laddove sia integrata una delle sei “basi legali”, ovvero le condizioni di liceità del trattamento, ai sensi dell’art. 6[60]. In generale, i dati devono essere elaborati affinché le scuole possano adempiere ad un contratto con l’alunno, o con i genitori, titolari della responsabilità genitoriale, e possano adempiere ad un obbligo legale, nonché possano svolgere un’attività di interesse pubblico ed adempiere le funzioni ufficiali. Ogni qualvolta i dati siano raccolti direttamente dall’interessato, la scuola dovrà fornire le relative informazioni richieste dalla normativa (art. 13 Regolamento).

Per quanto riguarda la raccolta dei dati, l’istituzione scolastica può raccogliere solo dati personali per ragioni specifiche, esplicite e legittime e tali dati possono esser elaborati dal personale scolastico solo nella misura in cui è necessario per lo svolgimento del lavoro. Al fine di una corretta gestione, è necessario predisporre il Registro delle attività di trattamento, il quale consente l’analisi, la ricognizione, la mappatura e la valutazione di conformità delle attività di trattamento svolte all’interno dell’istituzione scolastica. Le attività di gestione si riferiscono al momento successivo alla registrazione sul sito MIUR da parte dei genitori ai fini dell’iscrizione dello studente. In riferimento alla carriera scolastica, l’attività individuata è quella della gestione dei dati degli alunni, la quale consiste nel trattamento dati relativo al percorso scolastico, formativo e amministrativo per la gestione dello studente al fine di adempiere agli obblighi previsti dal D.M. 692/2017 sull’Anagrafe nazionale.

Inoltre, la normativa sottolinea in tale ambito l’importanza di due figure: il Data Controller, titolare del trattamento dei dati che determina i mezzi e gli scopi dell’elaborazione e il Data Processor, responsabile del trattamento che gestisce i dati per conto del titolare. Solitamente, la scuola riveste il ruolo di titolare, mentre il responsabile può esser una persona fisica o anche persona giuridica.

Anche nelle istituzioni scolastiche vi è l’obbligo giuridico della nomina di un Responsabile della protezione dei dati: in caso di violazione sono previste sanzioni amministrative elevatissime ex art. 83, par. 4 del Regolamento.

Infine, tutte le scuole di ogni ordine e grado sono soggette ad un regime di pubblicità e trasparenza; occorre, infatti, prestare attenzione a questo aspetto affinché le scuole rendano accessibili informazioni che dovrebbero restare riservate o a mantenerle on line oltre il tempo consentito, sottoponendo a rischio la privacy attraverso il cosiddetto furto di identità[61].

4.2. Didattica a distanza: le indicazioni del MIUR e la risposta del Garante privacy.

Di fronte all’emergenza nazionale legata alla diffusione del Covid-19, le tecnologie si sono rivelate improvvisamente un’àncora di salvezza – permettendo, per esempio, di portare avanti in modalità smart working molte attività che, altrimenti, si sarebbero fermate – ma, hanno anche messo in evidenza contraddizioni e carenze (tecnologiche e di competenze), rischiando di accentuare distanze sociali già esistenti, se non addirittura di generarne di nuove. Fra le prime misure restrittive adottate dal governo vi è stata quella di sospendere lo svolgimento delle attività didattiche attraverso la frequenza negli istituti scolastici di ogni ordine e grado.

In questo scenario, il corollario di tale misura, è stata la previsione dell’attivazione della modalità di didattica a distanza nel mondo della scuola (c.d. DAD).

Nella consapevolezza che nulla può sostituire appieno ciò che avviene in presenza, in una classe, si tratta pur sempre di dare vita a un “ambiente di apprendimento”, per quanto inconsueto nella percezione e nell’esperienza comuni, da creare, alimentare, abitare, rimodulare di volta in volta.

Le attività di didattica a distanza prevedono la costruzione ragionata e guidata del sapere attraverso un’interazione tra docenti e alunni.

Quando si parla di didattica a distanza si fa riferimento al collegamento diretto o indiretto, immediato o differito, attraverso videoconferenze, videolezioni, chat di gruppo; ed ancora, alla trasmissione ragionata di materiali didattici, attraverso il caricamento degli stessi su piattaforme digitali e l’impiego dei registri di classe in tutte le loro funzioni di comunicazione e di supporto alla didattica, con successiva rielaborazione e discussione operata direttamente o indirettamente con il docente, infine la stessa ricomprende l’interazione su sistemi e app interattive e educative propriamente digitali.

I diritti fondamentali degli studenti (in primis il diritto di ricevere un’istruzione) sono già compressi; subire un incidente di sicurezza, o violare la normativa privacy significherebbe reprimerli ulteriormente, con grave danno per tutta la collettività.

Il Ministero dell’Istruzione, consapevole di queste tematiche e dell’importanza del rispetto della normativa per la protezione dei dati personali, in una recente Nota[62], ha quindi inteso riportare alcune indicazioni in merito alla privacy affermando che “[…] le istituzioni scolastiche non devono richiedere il consenso per effettuare il trattamento dei dati personali (già rilasciato al momento dell’iscrizione) connessi allo svolgimento del loro compito istituzionale, quale la didattica, sia pure in modalità “virtuale” e non nell’ambiente fisico della classe”.

Ebbene, tale precisazione risulta essere parzialmente corretta. È vero che le istituzioni scolastiche non sono tenute a richiedere il consenso agli studenti prima di effettuare il trattamento dei dati personali per ragioni di didattica; ma è assolutamente errato affermare che questi avrebbero dovuto rilasciarlo al momento dell’iscrizione.

La condizione di liceità, cioè il fondamento giuridico che rende lecito un trattamento di dati personali, in questo caso non è il consenso, ma la corretta base giuridica deve essere individuata tra:

  • esecuzione del contratto;
  • adempiere ad un obbligo legale;
  • esecuzione di un compito di interesse pubblico.

Anche nel caso in cui sia necessario trattare categorie particolari di dati personali non è necessario chiedere il consenso. Questo perché il trattamento di questi dati, che spesso rientrano nelle categorie di disturbi specifici dell’apprendimento (DSA) o bisogni educativi speciali (BES) è legittimato direttamente dalla legge, la quale prescrive la predisposizione di piani educativi individualizzati (PEI) come previsto dalla legge n. 104/92, dalla legge n. 328/2000 e dal D.Lgs. n. 66/2017.

In sostanza, il consenso nel contesto scolastico è marginale e rilevante solo per attività facoltative e accessorie, come possono essere comunicazioni promozionali o la diffusione di fotografie e video sul web.

Il secondo punto della nota MIUR esprime alcuni concetti importanti: “Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679 e a garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, che siano raccolti per finalità determinate, esplicite e legittime, che siano trattati in modo non incompatibile con tali finalità […]”.

I principi espressi dal MIUR sono direttamente mutuati dal Regolamento che prescrive l’obbligo di rispettare i principi applicabili al trattamento di dati personali. La capacità di rispettare questi principi dovrà essere evidentemente traslata anche alle attività di formazione a distanza, che dovranno essere organizzate tenendo conto dei requisiti sanciti dal Regolamento. A tal proposito bisogna ricordare che sarà necessario aggiornare le informative per studenti e docenti, comunicando loro tutte le informazioni necessarie sulle nuove attività di trattamento di dati personali che saranno realizzate. Allo stesso modo sarà necessario riportare le nuove attività nel Registro delle attività di trattamento, così da semplificare l’esame analitico delle singole attività.

Il MIUR prosegue poi: “[…] evitando qualsiasi forma di profilazione, nonché di diffusione e comunicazione dei dati personali raccolti a tal fine, che essi siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati […]”

A ben vedere, la prima parte di questo passaggio sembra inopportuna. Il MIUR sembrerebbe vietare qualsiasi forma di profilazione, senza giustificarne le motivazioni.

La profilazione è descritta nel Regolamento come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”. La profilazione in ambito scolastico non trova ancora molto spazio, ma è indubbiamente uno strumento che può portare grandi vantaggi agli istituti scolastici (specie se privati). Attraverso la correlazione tra diverse categorie di informazioni (utilizzando algoritmi di analytics) è possibile ottenere informazioni utili e utilizzabili per anticipare bisogni degli studenti e, in generale, compiere scelte informate.

Certamente, la profilazione di soggetti vulnerabili come gli studenti può essere svolta soltanto dopo le dovute valutazioni del rischio e valutazioni d’impatto, facendo attenzione a garantire un adeguato livello di sicurezza e tutela dei diritti degli studenti. Vietare la profilazione in questo senso, peraltro senza alcuna contestualizzazione in merito alla didattica a distanza, sembra semplicemente irragionevole.

E ancora, il MIUR afferma che i dati dovranno essere “[…] trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Gli istituti scolastici sono tenuti a garantire un’adeguata sicurezza dei dati trattati, il che significa rispettare le principali buone prassi e raccomandazioni in materia di cyber sicurezza, oltre che adottare un vero e proprio sistema di gestione dei rischi cyber, che nel contesto della formazione a distanza e nel telelavoro aumentano esponenzialmente. Subire un incidente informatico (e conseguente violazione di dati personali) in un momento del genere potrebbe significare il blocco totale di tutte le attività a tempo indeterminato, con gravissime ed evidenti conseguenze per tutti (Ente scolastico e studenti).

Infine, il MIUR conclude ricordando agli Enti scolastici che sono tenuti “a sottoporre i trattamenti dei dati personali coinvolti a valutazione di impatto ai sensi dell’articolo 35 del Regolamento”.

Il Regolamento europeo prevede che la valutazione d’impatto debba essere effettuata sulla base di una valutazione del rischio, tenendo conto del contesto concreto. Allo stesso modo il provvedimento n. 467/2018 del Garante si basa su una valutazione “aprioristica” che dovrebbe essere contestualizzata. Per agevolare la valutazione del rischio il Comitato europeo per la protezione dei dati (ex WP29) ha predisposto delle Linee guida in materia di valutazione d’impatto, indicando nove indicatori di rischio. In presenza di almeno due di questi indicatori di rischio, deve ritenersi obbligatorio sottoporre il trattamento a valutazione d’impatto. Il motivo è semplice: la valutazione d’impatto è un processo complesso che può richiedere un notevole investimento di risorse, e che pertanto non può essere reso obbligatorio a prescindere dal contesto concreto. Secondariamente, l’art. 28 del Regolamento prevede che l’Autorità di controllo (in Italia, il Garante privacy) redige un elenco delle tipologie di trattamenti soggetti al requisito di valutazione d’impatto. Tale elenco è sottoposto alla valutazione del Comitato Europeo, per assicurarne la compatibilità con il Regolamento e l’uniformità, nel rispetto del principio di coerenza.

Il MIUR potrebbe, quindi, non essere competente a disporre dell’obbligo di sottoporre specifiche attività di trattamento a valutazione d’impatto.

Nelle ultime settimane, il Garante per la protezione dei dati personali ha ricevuto diverse segnalazioni e richieste di chiarimenti da parte dei Responsabili per la protezione dei dati personali degli Istituti scolastici nonché dagli stessi docenti e dalle famiglie degli alunni, circa le modalità con cui effettuare il trattamento di dati personali connesso all’utilizzo di sistemi informatici a distanza per lo svolgimento dell’attività didattica. Il garante ha, quindi, ritenuto opportuno adottare, con Provvedimento del 26 marzo 2020[63], alcune prime indicazioni sullo svolgimento della didattica distanza, evidenziando che, anche in una fase emergenziale, deve essere garantita la protezione dei dati personali e che lo stesso Garante si riserva di effettuare dei controlli sui fornitori delle piattaforme on line[64] dove verrà svolta l’attività didattica a distanza al fine di verificare che i connessi trattamenti di dati si svolgano nel rispetto della normativa vigente in materia di privacy.

Il primo aspetto esaminato dal Garante all’interno delle indicazioni adottate, riguarda la base giuridica che legittima il trattamento dati nelle suddette attività di didattica a distanza.

In particolare, viene evidenziato come le scuole e le università siano autorizzate a trattare i dati, anche quelli relativi a categorie particolari (i cosiddetti dati sensibili) di insegnanti, genitori e alunni finalizzati allo svolgimento dell’attività didattica a distanza, dalle disposizioni contenute nella normativa di settore (ivi compresi i recenti provvedimenti adottati dal governo per il contenimento del coronavirus). Infatti, le norme che hanno disposto la sospensione delle attività didattiche svolte alla presenza degli alunni e l’attivazione delle modalità di didattica distanza legittimano il trattamento dei suddetti dati, da parte delle scuole, per tutto il periodo in cui durerà la sospensione. In altri termini, per lo svolgimento dell’attività didattica a distanza le scuole non dovranno richiedere uno specifico consenso degli interessati per trattare i necessari dati personali.

Il secondo aspetto di cui si occupano le indicazioni adottate dal Garante privacy, riguarda il rispetto da parte delle scuole e dei fornitori delle piattaforme on line dei principi della privacy by design e by default nell’utilizzo dei sistemi di didattica distanza.

I principi summenzionati, infatti, impongono ai titolari dei trattamenti (come, nel caso della didattica a distanza, gli istituti scolastici) di prevedere delle adeguate misure di protezione dei dati degli interessati già nel momento in cui vengono ideati i trattamenti, ossia quando ancora il trattamento stesso non è iniziato, e di svolgere l’intero trattamento attraverso delle modalità e per una durata di tempo strettamente indispensabili per raggiungere le finalità per cui il trattamento è stato previsto.

Ciò significa, quindi, che la responsabilità della scelta degli strumenti da utilizzare per svolgere l’attività didattica a distanza nonché la previsione delle modalità attraverso cui effettuarla spetterà alle scuole, in qualità di titolare del trattamento, le quali dovranno però rispettare i suddetti principi.

A tal proposito, il Garante evidenzia come vi siano numerose piattaforme o servizi on line che permettano di svolgere l’attività didattica a distanza, anche attraverso la creazione di classi virtuali o la pubblicazione di materiali didattici, nonché attraverso lo svolgimento di video lezioni on line e l’interazione in formato social tra docenti, studenti e famiglie, che permettano altresì di valutare i risultati conseguiti dagli alunni.

Ebbene, spetterà alle scuole scegliere le piattaforme che offrano garanzie da un punto di vista della protezione dei dati personali e la responsabilità di tale scelta graverà, ovviamente, sulla scuola in quanto titolare del trattamento.

Il Garante, inoltre, affronta il delicato tema della “Valutazione di Impatto” prevista dal Regolamento che, in caso di rischi elevati per la tutela dei dati, impone al titolare di valutare preventivamente detti rischi attraverso un’apposita procedura.

Ebbene, il Garante ha precisato che i trattamenti effettuati dalle istituzioni scolastiche per la didattica a distanza non richiedono necessariamente il compimento della valutazione di impatto, a meno che non vi siano delle ulteriori caratteristiche che possano comportare un aggravamento dei rischi per i diritti e le libertà degli interessati.

Tale valutazione dovrà essere effettuata soltanto qualora sussistano, nel caso specifico, delle caratteristiche del trattamento che possano comportare un rischio per i diritti e le libertà degli interessati (potrebbe essere il caso, per esempio, dell’utilizzo di un sistema di didattica a distanza che per permettere il login degli alunni o dei docenti richiede i dati biometrici degli interessati). Al contrario, non sarà richiesta la valutazione di impatto per l’uso da parte di una singola scuola di un sistema on line di videoconferenza per lo svolgimento delle lezioni oppure per l’utilizzo di una piattaforma che non effettua il monitoraggio in maniera sistematica degli utenti.

Un altro aspetto molto importante analizzato nelle indicazioni del Garante riguarda i rapporti che devono intercorrere tra l’istituto scolastico e la società che fornisce il sistema informatico/tecnologico per lo svolgimento dell’attività di didattica a distanza. In particolare, l’utilizzo della piattaforma per lo svolgimento delle attività a distanza comporta il trattamento di dati personali creando un rapporto tra la scuola (quale titolare del trattamento) e il fornitore del servizio (quale responsabile del trattamento): tale rapporto dovrà essere regolato attraverso un contratto tra le parti.

All’interno di detto contratto, quindi, la scuola dovrà dare al fornitore del servizio tutte le istruzioni necessarie per effettuare dei trattamenti conformi alla normativa in materia di privacy.

Nel caso in cui tale piattaforma non permettesse l’uso di alcune modalità ritenute necessarie dall’istituto scolastico, come per esempio le video lezioni, il Garante consiglia di utilizzare i servizi on line, direttamente accessibili dagli utenti in maniera autonoma, che abbiano la funzionalità della videoconferenza con accesso riservato, soprattutto quelli che possano essere utilizzati dagli utenti anche senza che questi ultimi debbano creare un apposito profilo (ciò, evidentemente, limiterebbe il trattamento di dati personali). In questo modo, quindi, l’istituto scolastico, non dovrebbe designare ulteriori responsabili del trattamento.

Nel caso in cui, invece, gli istituti scolastici decidano di utilizzare delle piattaforme che forniscano servizi non soltanto didattici, sarà necessario che la scuola attivi soltanto i servizi che siano strettamente necessari per la formazione a distanza, in modo che i dati personali trattati siano minimi. Tale onere posto a carico dell’Istituto scolastico sarà presente non soltanto nella fase in cui il servizio di didattica a distanza viene attivato, ma anche durante tutto lo svolgimento di tali servizi.

Inoltre, il Garante precisa che l’Istituto scolastico dovrà evitare l’uso di piattaforme che prevedano il trattamento di dati sulla geolocalizzazione degli utenti oppure che prevedano sistemi di login attraverso i canali social (ciò comporterebbe maggiori rischi per i dati trattati).

Un altro onere posto a carico degli Istituti scolastici riguarda quello di assicurarsi che i dati trattati dalle piattaforme on line, per conto della scuola stessa, siano utilizzati soltanto per la didattica distanza e non per finalità diverse. Per poter assolvere a tale onere, l’istituto scolastico dovrà, all’interno del contratto che regolamenta i rapporti con il fornitore dei servizi, definire specifiche istruzioni sulla conservazione dei dati e sulla loro cancellazione immediata al termine del servizio di didattica.

Da ultimo, in merito alla questione della pubblicazione degli scrutini on line, l’Autorità Garante per la protezione dei dati personali, ha chiarito che: “a differenza delle tradizionali forme di pubblicità degli scrutini – che oltre ad avere una base normativa consentono la tutela dei dati personali dei ragazzi – la pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy”[65].

Una volta esposti, infatti, i voti rischiano di rimanere in rete per un tempo indefinito e possono essere, da chiunque, anche da un soggetto estraneo all’ambito scolastico, e per qualsiasi fine, registrati, utilizzati, incrociati con altri dati presenti sul web, determinando in questo modo una ingiustificata violazione del diritto alla riservatezza degli studenti, che sono in gran parte minori, con possibili ripercussioni anche sullo sviluppo della loro personalità, in particolare per coloro i quali abbiano ricevuto un giudizio negativo.

La necessaria pubblicità agli esiti scolastici può essere, allora, realizzata, senza violare la privacy degli studenti, prevedendo la pubblicazione degli scrutini non sull’albo on line, ma, attraverso l’utilizzo di piattaforme che possano evitare i rischi sopra evidenziati.

Conclusioni

A distanza di due anni dalla piena applicazione, il Regolamento Ue n. 679/16 ha raggiunto la maggior parte dei suoi obiettivi, garantendo, in particolar modo, ai cittadini dell’Unione europea un solido insieme di diritti e creando un nuovo sistema europeo di governance, come chiarito dal Garante privacy nell’ultimo rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (GDPR) della Commissione europea del 26 giugno scorso.

Il Regolamento ha migliorato la trasparenza e aumentato la consapevolezza dei diritti di cui godono le persone. Le regole sulla protezione dei dati si sono dimostrate, altresì, adeguate nell’attuale era digitale, promuovendo la partecipazione attiva e consapevole delle persone alla transizione digitale e favorendo un’innovazione affidabile: in particolare, attraverso un approccio basato sul rischio e sui principi come la protezione dei dati in base ai principi della privacy by design e privacy by default.

Sebbene permanga una certa frammentazione in alcuni ambiti (per esempio, in materia di bilanciamento fra libertà di espressione e protezione dati), l’armonizzazione delle legislazioni nazionali è aumentata grazie all’applicazione del Regolamento, la quale necessita di un monitoraggio costante.

Anche all’interno dei luoghi di lavoro, e dunque, nei rapporti di lavoro, inizia a manifestarsi la “cultura della responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire un vantaggio competitivo, ove adeguatamente applicate.

Il Regolamento, soprattutto nell’attuale contesto storico, è stato messo a dura prova, ma le norme in esso contenute sono risultate efficaci e adeguate nel supportare soluzioni in circostanze impreviste, come appunto la crisi dovuta al Covid-19.

Il tema della privacy e, dunque, dell’applicazione del Regolamento si è posto in maniera paradigmatica e fondamentale soprattutto all’interno dei luoghi di lavoro, dove ad essere presi in considerazione sono stati la tutela della riservatezza e della dignità dei lavoratori e al contempo la tutela della loro salute sul lavoro, con i relativi obblighi ricadenti sui datori di lavoro.

Nell’attuale contesto, con il diffondersi del contagio e di alcune prassi datoriali relative alla acquisizione preventiva di informazioni sullo stato di salute dei lavoratori al fine di evitare il rischio di diffusione del virus nell’ambiente di lavoro, è stato necessario interrogarsi sui limiti e sulla legittimità di tali azioni. Si tratta, all’evidenza, di dati personali sottoposti ad una particolare tutela tanto in una prospettiva di “data protection” quanto in quella strettamente giuslavoristica.

Lo stato emergenziale ha generato in questi mesi vari “conflitti” tra libertà individuali e interessi collettivi, soprattutto in materia di protezione dei dati personali.

Un conflitto che nasce dal fatto che, nell’epoca attuale, la raccolta e l’utilizzo dei dati, e in particolare quelli relativi alla salute, hanno acquisito un ruolo fondamentale per contrastare la diffusione del contagio. E se la disciplina di protezione dei dati contempla già limitazioni necessarie a garantire la salute pubblica attraverso criteri di proporzionalità, precauzione e temporaneità, è proprio all’interno della “cornice di questi principi” che si leggono le previsioni e, soprattutto, le deroghe al sistema ordinario di tutela dei dati.

Dunque, risulta necessario, al fine di attuare la cultura del “diritto alla riservatezza”, costruire meccanismi di controllo trasparenti, proporzionati e non eccedenti rispetto alle legittime finalità che stanno alla base del controllo stesso e operare secondo i principi stabiliti nel Regolamento.

La materia della protezione dei dati personali, intesa come “diritto inquieto” in continua evoluzione e con molteplici interessi, di natura sia individuale che collettiva, trova il suo punto di forza nella funzione sociale: proprio nel contrasto al virus, l’intero impianto normativo ha disvelato le sue potenzialità, rappresentando il punto di equilibrio tra libertà e tecnica, tra persona e società, nonché il presupposto della tenuta della democrazia anche in circostanze eccezionali.


[1] Il termine evoca significati a volte mutevoli, sinonimo di concetti di “riservatezza”, “privatezza”. Nella realtà contemporanea, con il concetto di privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma il diritto di controllare l’uso e la circolazione dei propri dati personali. Diritto fondamentale direttamente collegato alla tutela della dignità umana, doc. web n. 1663787 in garanteprivacy.it/.

[2] F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali: dalla Direttiva 95/46 al nuovo Regolamento europeo, G. Giappichelli Editore, Torino, 2016

[3] Sul punto sia sufficiente rinviare a S. RODOTÀ, Il diritto di avere diritti, Laterza, Bari, 2012; ID., La rivoluzione della dignità, La scuola di Pitagora, Napoli, 2013 e, anche a carattere più informativo, ID., Il mondo della rete. Quali i diritti, quali i vincoli, Laterza, Bari, 2014.

[4] Convenzione europea dei diritti dell’uomo, firmata a Roma il 4 novembre 1950.

[5] Art. 1 par. 2, Regolamento UE n. 2016/679.

[6] Rispettivamente riguardanti il domicilio, la libertà e segretezza della corrispondenza e la libertà di manifestazione del pensiero.

[7] Investita della questione di legittimità costituzionale degli artt.161, 96, 97, 156, 168 L.n.633 1941, art.10 c.c., art.700 c.p.c., la Corte colloca il diritto in esame tra quelli inviolabili dell’uomo garantiti costituzionalmente, richiamandosi anche all’art.12 della “Dichiarazione Universale dei diritti dell’uomo” e all’art.8 della “Convenzione europea dei diritti dell’uomo”. Afferma la Corte: “Non contrastano con le norme costituzionali ed anzi mirano a realizzare i fini dell’art.2 affermati anche negli art.3, comma 2, e 13, comma 1, che riconoscono e garantiscono i diritti inviolabili dell’uomo, fra i quali rientra quello del proprio decoro, del proprio onore, della propria rispettabilità, riservatezza , intimità e reputazione, sanciti espressamente negli art. 8 e 10 della Convenzione Europea sui diritti dell’uomo, gli art. 10 c.c., 96 e 97 L. 22/04/1941 n.633.

[8] B. SAETTA, Codice in materia di protezione di dati personali, in protezionedatipersonali.it/, 7 settembre 2018.

[9] La parte dispositiva è preceduta da ben 173 “Considerando”, i quali chiariscono il contesto e le ragioni della nuova normativa.

[10] N. BERNARDI, Privacy, Protezione e trattamento dei dati, Wolters Kluwer Italia, Vicenza, 2019. 

 

[12] L. FIORENTINO, Il trattamento dei dati personali: l’impatto sulle amministrazioni pubbliche, in Giornale di diritto amministrativo, n. 6/2018; G. FINOCCHIARO, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli editore, 2017; G. D’ACQUISTO, Big data e Privacy by Design, Giappichelli Editore, 2017, pp.201-203.

[13] M. MANDICO, I protagonisti del trattamento dati e le figure privacy, in Privacy e GDPR, Maggioli Editore, Santarcangelo di Romagna, 2019

[14] Può esser identificata anche in modo indiretto, facendo riferimento a informazioni o elementi caratteristici, o tramite l’incrocio di più dati personali appartenenti ad altri soggetti.

[15] Art. 4 par. 1 del Regolamento.

[16] F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali, cit.

[17] Cfr. Trattamento dei dati personali, in garanteprivacy.it/home/.

[18] I dati raccolti o trattati in modo illecito non possono esser in alcun modo utilizzati. In caso contrario l’utilizzatore può esser soggetto a sanzioni e condannato al risarcimento dei danni causati (ex art. 2050 c.c. e art. 13 Codice privacy).

[19] Liceità del trattamento, 26 luglio 2017 in protezionedeidati.it/.

[20] Il criterio della trasparenza è nuovo, ma la novità appare più di carattere formale che sostanziale, posto che lo stesso costituiva elemento criterio sotteso alla correttezza del trattamento e asse portante della disciplina. Valorizza in particolare il passaggio direttiva-regolamento. F. PIZZETTI, Trasparenza nel trattamento dati: che cambia col GDPR. L’alba di un nuovo valore sociale, 13 giugno 2018 in agendadigitale.it/.

[21] Art. 7 del GDPR: “Non è ammesso il consenso tacito o presunto”.

[22] Linee guida del WP29 sul consenso, in garanteprivacy.it/.

[23] Cfr. M. MANDICO, I diritti dell’interessato, in Privacy e GDPR, Maggioli Editore, Santarcangelo di Romagna, 2019.

[24] F. PIRAINO, La liceità e la correttezza, in R. PANETTA (a cura di), Libera circolazione e protezione dei dati personali, Giuffrè Editore, Milano, 2006

[25] Cfr. Linee guida del Gruppo di lavoro in materia di valutazioni d’impatto sulla protezione dei dati, in garanteprivacy.it/.

[26] Tale notifica deve essere trasmessa dal Garante per la protezione dei dati personali a mezzo pec all’indirizzo: protocollo@pec.gdprr.it.

[27] G. NATALUCCI, Privacy, in ilgiuslavorista.it/.

[28] C. DEL FEDERICO, Il trattamento dei dati personali dei lavoratori e il Regolamento 2016/679/UE. Implicazioni e prospettive, in P. TULLINI (a cura di), Web e lavoro. Profili evolutivi e di tutela, Torino,2017, pag. 61 ss.

[29] Ai dipendenti “autorizzati” assunti dal 25 maggio 2018 deve essere prodotta una lettera di autorizzazione al trattamento, contenente l’ambito per cui sono autorizzati, il profilo utente rispetto alla rete aziendale e le attività di formazione sulla materia della protezione dei dati.

[30] In caso di gestione documentale elettronica, l’azienda potrebbe associare una o più di queste operazioni a ciascun documento prodotto, modificato, inviato o eliminato. Un valido Document Management System (DMS) aziendale costituirebbe l’archivio corrente di tutti i fascicoli dei dipendenti e consentirebbe di attuare più adeguate politiche di protezione dai rischi di potenziale perdita o divulgazione, così come disporre degli elementi necessari per effettuare una valutazione del danno in caso di attacchi o di eventi accidentali che possono avere causato la perdita o il sospetto di perdita di informazioni

[31] Il trattamento deve essere effettuato per finalità determinate, rispettando i limiti di pertinenza e di non eccedenza. La Corte di Cassazione si è espressa recentemente, a conferma di altre pronunce del passato (ex plurimis Cass. civ, sez. trib., 6 ottobre 2010, n. 20722; Cass. n. 34842/2011; Cass. sez. un., 13 febbraio 2015, n.2890), stabilendo che i “controlli difensivi”, posti in essere dal datore mediante l’installazione diapparecchiature nei luoghi di lavoro, possono essere effettuati solo se la videoripresa non è mirata averificare l’espletamento dell’obbligazione derivante dal contratto di lavoro e avviene nel rispetto delprincipio di libertà e dignità del lavoratore, che costituisce un “limite oggettivo invalicabile all’esercizio incondizionato del diritto del datore di lavoro a tutelare il patrimonio aziendale”.

[32] G. SANTORO-PASSERELLI, Diritto dei lavori e dell’occupazione, G. Giappichelli Editore, Torino, 2017; P. LAMBERTUCCI, Potere di controllo del datore di lavoro e tutela della riservatezza del lavoratore: i controlli a “distanza” tra l’attualità della disciplina statutaria, promozione della contrattazione di prossimità e legge delega del 2014 (cd. Jobs act), CSDLE, It, n. 255/2015; M.T. CARINCI, Il controllo a distanza dell’attività dei lavoratori dopo il “Jobs act” (art. 23 d.lgs. 151/2015): spunti per un dibattito, Labour & Law Issues, vol. 2, n. 1, 2016.

[33] M. CASSARO, Privacy: iflessi ed aspetti pratico-operativi del nuovo GDPR nell’ambito del rapporto di lavoro, in ilgiuslavorista.it/; I. ALVINO, I nuovi limiti al controllo a distanza dell’attività dei lavoratori nell’intersezione fra le regole dello Statuto dei lavoratori e quelle del Codice della privacy, Labour & Law Issues, 2016, vol. 2, n. 1; PASCUCCI P., Coronavirus e sicurezza sul lavoro, tra “raccomandazioni” e protocolli. Verso una nuova dimensione del sistema di prevenzione aziendale?, in Dir. sic. lav, 2, 2019, 98 ss.

[34] Si tratta di una facoltà, come confermato dal Ministero con Nota della Direzione generale dell’attività ispettiva n. 37/2971 del 2016 e n. 4616 del 2017.

[35] La Corte di Cassazione si è espressa recentemente, a conferma di altre pronunce del passato (ex plurimis Cass. civ, sez. trib., 6 ottobre 2010, n. 20722; Cass. n. 34842/2011; Cass. sez. un., 13 febbraio 2015, n.2890), stabilendo che i “controlli difensivi”, posti in essere dal datore mediante l’installazione diapparecchiature nei luoghi di lavoro, possono essere effettuati solo se la videoripresa non è mirata averificare l’espletamento dell’obbligazione derivante dal contratto di lavoro e avviene nel rispetto delprincipio di libertà e dignità del lavoratore, che costituisce un “limite oggettivo invalicabile all’esercizio incondizionato del diritto del datore di lavoro a tutelare il patrimonio aziendale”.

[36] Il Gruppo di lavoro WP 29, a livello europeo, ha evidenziato, nell’Opinion n. 2/2017, l’importanza di implementare il principio della cd. Privacy by design nella scelta della soluzione più “amichevole quando sono coinvolte tecnologie di geolocalizzazione dei lavoratori e la necessità di verificare se l’uso di tecnologia volte al monitoraggio sistematico di dati dei dipendenti imponga una valutazione preventiva d’impatto ai sensi dell’art. 35 del GDPR. In tale documento viene efficacemente descritta una serie di ipotesi di trattamento dei dati che possono verificarsi con riferimento alle nuove tecnologie. In particolare, sono indicate le tecnologie che permettono al dipendente di lavorare da remoto o l’utilizzo dei cd. BYOD (“Bring your own devices”), ossia dei dispositivi personali a scopi lavorativi: in questi casi è necessario adottare delle misure che permettano di rendere inaccessibili al datore di lavoro quelle parti del dispositivo volte al solo uso personale.

[37] Ispettorato Nazionale del Lavoro, Circolare n. 2 del 2016. Nello stesso senso, il Garante privacy con Provvedimento del 16 marzo 2017, n. 138.

[38] Gli orientamenti più recenti e le ultime disposizioni dell’Autorità Garante tendono a vietare o comunque a limitare fortemente l’accesso alla posta elettronica dei lavoratori. Nello specifico le Linee Guida prevedono espressamente che il datore di lavoro possa trattare i dati personali dei lavoratori, derivanti dall’uso di internet e dell’account aziendale, purché questi ultimi siano stati preventivamente informati sulle modalità e condizioni d’uso degli strumenti aziendali, sulle forme e sui casi di controllo da parte del datore di lavoro e sulle conseguenze, anche di natura disciplinare, applicabili qualora si verifichi un indebito utilizzo degli strumenti individuati (Corte Europea dei Diritti dell’Uomo n. 61496/2008).

[39] Cfr. M. MANDICO, Privacy nel contesto lavorativo, in Privacy e GDPR, Maggioli Editore, Santarcangelo di Romagna, 2019. 

[40] In materia ricordiamo l’importante chiarimento fornito dall’Ispettorato Nazionale del Lavoro con Circolare n. 5 del 19 febbraio 2018 in cui si precisa che il riconoscimento biometrico, installato sulle macchine con lo scopo di impedirne l’utilizzo a soggetti non autorizzati, necessario per avviarne il funzionamento, può essere considerato uno strumento indispensabile a “…rendere la prestazione lavorativa…” e pertanto si possa prescindere, ai sensi del comma 2 dell’art. 4 della L. n. 300/1970, sia dall’accordo con le rappresentanze sindacali sia dal procedimento amministrativo di carattere autorizzativo previsto dalla legge.

[41] È inoltre necessario valutare se la conseguente perdita di riservatezza sia proporzionata al vantaggio previsto, tenendo conto dell’enorme impatto sulla dignità umana degli interessati e delle implicazioni di tali sistemi per i diritti fondamentali dell’individuo, alla luce della salvaguardia dei Diritti dell’uomo e delle sue libertà fondamentali, nonché della giurisprudenza della Corte Europea dei Diritti dell’uomo.

[42] G. RESTA, La protezione dei dati personali nel diritto dell’emergenza covid-19, in giustiziacivile.com/, 05 maggio 2020; CARAVITA B., L’Italia ai tempi del coronavirus: rileggendo la Costituzione italiana, in Federalismi.it, 2020.

[43] E. DAGNINO, La tutela della privacy ai tempi del coronavirus: profili giuslavoristici, in giustiziacivile.com/, 17 marzo 2020; C. CIAMPI, La sicurezza dei dati sanitari, La sanità digitale, Rivista elettronica di diritto, economia, management, Clio Edu, Riv. 3-2014, pp.26-30.

[44] G. NATULLO, Covid-19 e sicurezza su lavoro: nuovi rischi, vecchie regole? in WP C.S.D.L.E. “Massimo D’Antona”.IT, n. 413, 2020.

[45] M. D’ORIANO, Le misure per il contrasto e il contenimento della diffusione del virus covid-19 negli ambienti di lavoro, in giustiziacivile.com/, 17 marzo 2020.

[46] Il Protocollo nasce in attuazione della misura, contenuta all’art. 1, comma 1, n. 9, del Decreto del Presidente del Consiglio dei ministri dell’11 marzo 2020, che, in relazione alle attività professionali e alle attività produttive, raccomanda intese tra organizzazioni datoriali e sindacati.

[47] F. BACCHINI, Controlli sanitari sui lavoratori al tempo del COVID-19, in giustiziacivile.com/, 18 marzo 2020; G. DE FALCO, La normativa in tema di salute e sicurezza nei luoghi di lavoro a confronto con l’emergenza epidemiologica da covid-19, in Giustizia Insieme 22 aprile 2020; S. DOVERE, Covid -19: sicurezza del lavoro e valutazione dei rischi, in Giustizia Insieme, 22 aprile 2020.

[48] A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali contatti stretti di un lavoratore risultato positivo al Covid-19).

[49] In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.

[50] A tal proposito, si ricorda che, nel rispetto del principio di finalità ex art. 5, par. 1, lett. b), del GDPR, i dati possono essere trattati esclusivamente per prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative.

[51] Su questo profilo non ci si può esimere dal richiamare il Considerando n. 46 del Regolamento: “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale o umana”.

[52] GARANTE PRIVACY, Covid-19, test sierologici sul posto di lavoro: i chiarimenti del Garante privacy in garanteprivacy.it/, 14 maggio 2020.

[53] L. D’ARCANGELO, Contact tracing e protezione dei dati nella fase 2 dell’epidemia da covid-19 (anche nel rapporto di lavoro), in giustiziacivile.com/, 08 maggio 2020.

[54] EUROPEAN DATA PROTECTION BOARD, Linee-guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19, in edpb.europa.eu/, 21 aprile 2020.

[55] In data 20 marzo 2020 anche l’associazione European Digital Right (Edri) ha emesso un comunicato con cui invita l’UE e gli Stati membri, nell’adozione delle misure necessarie al contenimento del virus, a rispettare i seguenti aspetti: a) rispetto dei diritti fondamentali tale per cui qualsiasi misura di emergenza che possa violare tali diritti deve essere temporanea, limitata e controllata; b) protezione dei dati anche in ottica futura e in particolare i dati sulla localizzazione dovranno essere resi anonimi e in nessun modo potranno essere utilizzati per profitto dagli enti privati; c) limitazione del trattamento solamente al Covid-19; d) temporaneità delle misure tecniche; e) trasparenza nell’adozione delle misure tecniche nei confronti degli interessati; f) impegno per evitare discriminazioni; g) difesa della libertà di informazione e di espressione con particolare riferimento all’utilizzo di strumenti automatici per moderare i contenuti e alla tutela dei sostenitori dei diritti umani; h) accessibilità alla rete Internet per il diritto all’accesso e alla condivisione delle informazioni; i) nessuna monetizzazione o guadagno derivante dalla raccolta di dati personali ricavati nell’ambito di tali misure di contrasto all’emergenza sanitaria da parte delle aziende.

Anche in Italia il Garante per la protezione dei dati personali mette in guardia da misure azzardate ed eccessivamente intrusive per la libertà e la protezione dei cittadini con riferimento ai dati personali di ognuno; dovendo evitare una raccolta massiva di tali dati se non in forma anonima quale misura più facilmente percorribile.

[56] Trentaduesima sessione plenaria: dichiarazione sull’interoperabilità delle applicazioni di tracciamento dei contatti, dichiarazione sull’apertura dei confini e dei diritti di protezione dei dati, lettere di risposta all’eurodeputato Körner sulle copertine delle fotocamere per laptop e crittografia e lettera al Commi, in edpb.europa.eu/, 17 giugno 2020.

[57] In sostanza, l’adozione dello strumento del contact tracing comporta una limitazione della nostra sfera personale, non palpabile nell’immediato, ma molto pervasiva, ovvero il monitoraggio, da parte delle multinazionali digitali (compagnie telefoniche e/o anche social network), delle nostre azioni e di tutto quel che riguarda la nostra persona, che rientra nel concetto di “diritto di protezione dei dati personali”.

[58] GARANTE PRIVACY, App “Immuni”: via libera del Garante privacy, ingaranteprivacy.it/, 01 giugno 2020

[59] L. D’AVENA, GDPR: la tutela dei dati personali dei minori, in dataprotectionlaw.it/, 2018; L. CALIFANO, Privacy: affermazione e pratica di un diritto fondamentale, Collana Crispel, 2016, pp. 133-146.

[60] L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità; il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte; il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare.

[61] M. MANDICO, Minori e privacy nelle istituzioni scolastiche, in Privacy e GDPR, Maggioli Editore, Santarcangelo di Romagna, 2019. 

[62] Nota prot. n. 388 del 17 marzo 2020.

[63] Provvedimento del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”, in garanteprivacy.it/.

[64] Tra le piattaforme on line utilizzate vi sono: Google suite for education; Zoom; Office 365 Education; Fidenia; WeSchool; Edmodo.

[65] GARANTE PRIVACY, Scuola: Privacy, pubblicazione voti online è invasiva Ammissione non sull’albo ma in piattaforme che evitino rischi, in garanteprivacy.it/, 11 giugno 2020.