17 aprile 2020 
 
È possibile che vengano trattati i nostri dati personali senza una nostra preventiva autorizzazione? Che cosa succede ai dati personali una volta raccolti?
In materia è intervenuto il Comitato Europeo per la Protezione dei Dati, che, con l’adozione in data 19 marzo 2020 della “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19”, ha invitato titolari e responsabili del trattamento a garantire, anche e soprattutto in tali momenti di emergenza, la protezione dei dati personali degli interessati.
Non possono, pertanto, venire meno le garanzie riconosciute dal Regolamento (UE) 2016/679, il c.d. GDPR, che, in primis, richiede che ogni trattamento sia lecito.
Di regola, la liceità trova il proprio fondamento nel consenso preventivamente espresso dall’interessato.
Tuttavia, oggi, nel contesto dell’attuale epidemia, il trattamento dei dati personali avviene, e può avvenire, anche senza uno specifico consenso. Nel contesto lavorativo, ad esempio, il trattamento dei dati personali può risultare necessario per adempiere un obbligo legale da parte del datore di lavoro, come in materia di salute e sicurezza sul luogo di lavoro, ovvero per perseguire un interesse pubblico, quale il controllo delle malattie e di altre minacce di natura sanitarie.
Rimane, in ogni caso, fermo il divieto di trattamento dei dati c.d. sensibili, compresi quelli sanitari, salvo la sussistenza di particolari circostanze, quali quelle di cui all’art. 9.2, lett. c) e lett. i) GDPR.
Inoltre, lo smart working, quale modalità di lavoro agile incentivata dal Governo per l’intera durata dello stato di emergenza, pone importanti quesiti sul tema.
Al riguardo la legge 22 maggio 2017, n. 81 di riferimento non fornisce prescrizioni in materia di privacy e protezione dei dati personali, se non mediante un generico rinvio all’art. 4 dello Statuto dei Lavoratori, disposizione che - al centro di numerose questioni interpretative - impone, in via generale, il divieto per il datore di lavoro di effettuare un controllo a distanza dei dipendenti.
Sono fatti savi i seguenti casi:
- in presenza di specifiche esigenze organizzativo-produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, e sempre che sia stato preventivamente raggiunto un accordo con le rappresentanze sindacali in tal senso o, in alternativa, sia stata ottenuta un’autorizzazione amministrativa da parte del competente Ispettorato del Lavoro (art. 4, c. 1, Statuto dei lavoratori);
- se il controllo avviene con riguardo agli strumenti utilizzati dal lavoratore “per rendere la prestazione lavorativa” e agli strumenti “di registrazione degli accessi e delle presenze” (art. 4, c. 2, Statuto dei lavoratori). In tal caso i dati raccolti potranno essere trattati dal datore stesso per tutti i fini connessi al rapporto di lavoro, purché al lavoratore sia stata fornita un’adeguata informativa, con la specificazione, ad esempio, della possibilità di un loro trattamento per finalità disciplinari. 
Ciò chiarito, anche ove vi sia il consenso del lavoratore [che difficilmente lo negherà, rischiando di porre fine al rapporto lavorativo], il trattamento dei dati dovrà comunque rispettare i principi di necessità e proporzionalità sanciti dal GDPR, nonché dal Codice della Privacy, a pena di illiceità. Quale corollario, il datore di lavoro potrà:
- accedere alle comunicazioni di posta elettronica aziendale nel rispetto delle condizioni sopra citate, come confermato recentemente dal Tribunale di Roma (decreto del 26.03.2019), fermo restando il divieto categorico di accesso alla mail personale del lavoratore.
Inoltre, il datore di lavoro non potrà:
- adottare misure quali il monitoraggio del movimento del mouse, l’utilizzo della webcam o di tecnologiche di “screen capture”, perché eccessive e lesive della libertà e dignità dello smart worker, nel caso di politiche incentivanti l’utilizzo di strumentazione informatica da remoto (quale ad esempio il BYOD, ovvero l’utilizzo di dispositivi personali per l’accesso a dati aziendali);
- esimersi dal rispetto delle ulteriori disposizioni sancite dal GDPR, che impongono una forte limitazione della finalità e dei tempi di conservazione dei dati, a garanzia dell’esattezza, dell’integrità e della riservatezza degli stessi.
Infine, si segnala come tali misure debbano essere applicate altresì al fine di tutelare i dati aziendali, resi accessibili e trattati dallo smart worker al di fuori dell’azienda o dello studio.
La sicurezza di tali informazioni potrà essere garantita solo da operazioni di implementazione della sicurezza dei sistemi utilizzati da remoto, dall’elaborazione di specifiche politiche applicabili al lavoro agile, e, inevitabilmente, dal comportamento particolarmente diligente dello smart worker.
 
 
Dott.ssa Mariachiara Ceriani
 
 
 
Per ogni ulteriore informazione e/o richiesta di approfondimento, contattare:
DDC Studio Legale (P.IVA 05986790961)
Tel: + 39 02.6431749 - Fax: + 39 02.66116694
This email address is being protected from spambots. You need JavaScript enabled to view it.
www.ddcstudiolegale.com