Articoli

Novità in materia di Green Pass e gestione dell’emergenza Covid-19

Con la pubblicazione del Decreto Legge 24 marzo 2022, n. 24 il Governo italiano ha nuovamente modificato – questa volta in senso permissivo – la regolamentazione dell’uso e controllo del c.d. “Green Pass”, ossia la certificazione verde Covid-19 di cui abbiamo già riportato nei nostri precedenti articoli, all’introduzione qui ed in seguito qui.

Cosa cambia

Anche se la curva dei contagi non accenna a scendere, è stata decretata la fine dello “Stato di Emergenza” deliberato nel 2020 all’inizio della epidemia pandemica.

Con questa impostazione, vanno necessariamente a decadere una serie di restrizioni alla libertà di circolazione, interazione e comportamento poste a carico della collettività, tra cui appunto l’impiego del Green Pass in ambito – per quel che qui conta – lavorativo e aziendale.

Il Decreto fissa una sorta di percorso di “normalizzazione”, tant’è che i titoli degli artt. 6 e 7 sull’utilizzo del Green Pass base e rafforzato recano appunto la dicitura “Graduale eliminazione (…)”.

Un primo tema, riguardo l’accesso ai luoghi di lavoro, è regolato proprio dai menzionati articoli, laddove – pur estendendo di fatto lo Stato di Emergenza al 30 aprile, anche se non espressamente – si passerà dal 1 aprile all’utilizzo della versione base, per poi dal 1 maggio eliminare completamente la necessità di controllo ed esibizione della certificazione verde.

In proposito, resta comunque l’obbligo vaccinale per gli over 50, anche se non sarà più un pre-requisito per l’accesso in azienda, rimanendo unicamente sanzionabile in caso di controllo delle forze dell’ordine.

Un altro punto focale è l’uso delle mascherine sul luogo di lavoro, che parrebbe – a quanto si legge dal dettato normativo – prolungato solo sino al 30 aprile 2022.

E dopo? Molti si interrogano già da tempo sul bilanciamento tra garanzia di sicurezza e salute del personale in azienda, tra i compiti posti a carico del Datore di Lavoro ai sensi del D. Lgs. 81/2008, e libertà personale.

Una risposta certa, ad oggi – ma lo abbiamo ormai imparato – non c’è, e pare non arriverà prima degli ultimi giorni del mese di aprile, quando dobbiamo aspettarci una circolare o altro testo integrativo della situazione attualmente disegnata da questo Decreto Legge.

Tuttavia, una nota di Confindustria recentemente circolata propende, come diverse voci autorevoli nel settore, per una certa prudenza nell’abbandono delle mascherine in ambito lavorativo, anche alla luce dei contagi che non accennano a calare.

Piccola nota conclusiva in materia di trattamento di dati personali, con l’art. 13 che prevede il prolungamento dell’uso delle informazioni raccolte durante il periodo pandemico da parte del Ministero della salute di concerto con l’Istituto Superiore di Sanità, ai fini di monitoraggio della situazione, fissando altresì per legge l’esatta base giuridica da applicarsi (art. 9(2) lett. i) e j) del GDPR) e le modalità di condivisione dei dati con soggetti terzi per fini di elaborazione, ai sensi dell’art. 28 GDPR (nomina a responsabile).

Cosa fare in azienda

Di fondamentale importanza è passare, dal 1 aprile, alla verifica “base” del Green Pass per tutti.

In tal senso, ci si augura che sia l’app VerificaC19 che il portale INPS GreenPass50+ vengano prontamente aggiornati, eliminando rispettivamente la modalità di verifica chiamata “LAVORO” e le specifiche relative agli over-50 ove non vaccinati o guariti.

In ogni caso, sia le app locali che gli eventuali totem o verificatori all’accesso dovranno essere aggiornati e impostati correttamente: permane ancora la necessità di esporre e tenere a disposizione di tutti le informative privacy predisposte, nonché l’ulteriore documentazione – tra cui il protocollo di sicurezza – al fine di mantenere ancora ben ordinate le verifiche, almeno sino a tutto il 30 aprile 2022.

In seguito, si vedrà, come siamo ormai ben abituati a fare. Speriamo, solo, che tutto vada per il meglio e le restrizioni finalmente vengano eliminate in ragione di un effettivo calo dei contagi.

_________________________________________

Photo by Jason Hogan on Unsplash

Statistiche d’uso del sito web: possibile acquisirle legalmente?

Il tema dei “cookie” (e altri identificatori online non meno problematici, come i pixel e i tags) è ormai alla ribalta della vita quotidiana di chiunque si occupi, anche saltuariamente, di data protection per conto di aziende “proprietarie” di siti web (i “titolari” del trattamento) o fornitori di servizi digital marketing (i “responsabili”).

Titolari e responsabili affrontano, giorno dopo giorno, sempre lo stesso dilemma: come acquisire informazioni valide, dirette e affidabili sull’utilizzo e le performance del sito web in conformità con la normativa privacy – ovvero, GDPR e Direttiva ePrivacy, in primo luogo?

Le sanzioni in materia sono già diverse, e tutte puntano contro il medesimo “colpevole”: Google Analytics (o anche “Universal Analytics”), come si è già avuto modo di approfondire in questo articolo di un paio di settimane fa.

Qui di seguito proviamo invece a guardare il tema dal punto di vista tecnico e operativo, cercando una soluzione – per quanto provvisoria – che salvi il salvabile. Il lettore perdonerà se alcuni temi giuridici non sono approfonditi o sono esposti in modo generale: la sintesi non è sempre amica della precisione, ma serve.

Dove sta il problema?

In un settore complesso come quello della data protection anche il nostro tema non poteva avere un problema unico: ne ha infatti due.

Un primo riguarda il “trasferimento internazionale” di dati personali: ogniqualvolta impiego un servizio offerto da un soggetto che direttamente o indirettamente ha sede legale o operativa in un territorio al di fuori dello Spazio Economico Europeo (quindi l’Unione Europea e gli stati di Norvegia, Lichtenstein e Islanda) sto tecnicamente “esportando” il dato e sarò sottoposto ai vincoli previsti dagli artt. 44 e seguenti GDPR (Capo V).

In particolare, sarò tenuto a rispettare dei vincoli per far sì che i dati, anche nel momento in cui si troveranno all’esterno del SEE, godano di un livello di tutela adeguato e conforme ai principi e dettami fissati dalla normativa europea. Senza entrare eccessivamente nel merito, questo concetto è andato in crisi grazie all’operato dell’austriaco Max Schrems (o a causa sua, secondo un altro punto di vista), avendo lui ingaggiato ormai molti anni or sono una battaglia contro Facebook, e avendola – a più riprese – vinta.

Il secondo problema riguarda la tracciabilità dell’utente dopo che sul suo device di navigazione sono stati installati i cookie rilasciati da Google Analytics.

Google dichiara che, troncando l’IP dell’utente (vedi tra poco per i dettagli) sia possibile rendere “anonimo” quel cookie-dato (non più personale quindi) e per questa ragione il cookie stesso sia installabile senza necessità di consenso. Tuttavia, e lo vedremo tra poco, non è così e il tema diviene quello del consenso.

Come se non bastasse, ciascun problema impatta sull’altro, e non è facile uscirne.

Perchè Google Analytics è un problema serio

Come abbiamo visto, per spostare oggi i dati all’estero è necessario svolgere un processo interno di valutazione e avere apposite salvaguardie, tra cui – non solo, ma anche – le Clausole Contrattuali Tipo pubblicate dalla Commissione UE.

Usando Google, in particolare, i dati sono salvati su uno qualunque dei server che il gigante di Mountain View ha nel mondo, tra cui quelli situati in U.S.A. e altri paesi “non adeguati”.

Di qui la prima complicazione, risolta (solo formalmente) da Google tramite stipula delle Clausole Contrattuali Tipo aggiornate: esse non sono però considerate ancora sufficienti da numerose Autorità garanti europee per salvaguardare l’utente dal monitoraggio di NSA e altre entità federali americane.

Fino a ieri, si sosteneva poi che il troncamento dell’IP del device dell’utente – funzionalità offerta da Google e attivabile da qualunque cliente – fosse sufficiente a rendere “anonimo” l’utente che naviga sul sito, e pertanto si potesse inserire il cookie “_ga” tra quelli “tecnici” con finalità statistiche.

Oggi non è più così: diverse analisi svolte sia da soggetti privati (NOYB in primis) che dalle Autorità garanti (in particolare, quelle belga e austriaca) hanno reso evidente come Google, anche a seguito del troncamento dell’IP utente, sia comunque in grado di effettuare una re-identificazione di chi sta navigando, attraverso altri dati e strumenti, così potendo poi riproporre advertising e altri meccanismi di marketing all’interno di altri siti o piattaforme.

Il dato (l’IP troncato), quindi, da anonimo diventa “pseudonimo” e per questo gli si applica, di nuovo, il GDPR: la conseguenza è che per qualunque sito web è necessario, se si impiega Google Analytics, richiedere il consenso libero, espresso e consapevole. In mancanza, il cookie non potrà essere installato e si perderà, così, tutto il flusso di dati statistici generati da quell’utente.

Riassumendo: Analytics manda dati in giro per il mondo – e soprattutto negli USA – e permette al suo fornitore (è gratis..) di reidentificare gli utenti e conoscerne gusti e abitudini di consumo, per targettizzare poi al meglio la pubblicità online.

Tutto questo ricade direttamente sull’utilizzatore dello strumento: il “titolare” del sito e del trattamento diviene, a questo punto, il soggetto esposto da una pratica svolta dal proprio fornitore diretto o indiretto – Google – che l’Autorità italiana, tra le altre, ha dichiarato più volte che non tollererà oltre (vedi Linee Guida in vigore dal 10 gennaio 2022).

E l’agenzia che per anni ha sviluppato Google Analytics e tutti i tool che ad esso si appoggiano potrebbe trovarsi da un lato come “fuori legge”, e dall’altro vedersi spegnere d’improvviso il flusso di dati, tutte le volte che l’utente clicca “Rifiuta tutti i cookie” nei banner aggiornati alle ultime linee guida.

Quindi se uso Google Analytics?

Se proprio non puoi fare a meno di Google Analytics (e vedremo tra poco che.. si può uscirne!) riguardo al tema del trasferimento di dati sarai costretto a fare (o far fare, al tuo cliente) un “TIA” ovvero Transfer Impact Assessment, in cui dare atto delle contromisure assunte per rendere meno semplice il tracciamento degli utenti quando i dati sono all’esterno del SEE.

Quanto invece al secondo aspetto, sarai forzato a mettere i tracciatori di Analytics nei cookie non tecnici, anche laddove tu proceda con l’IP troncato.

Questo causerà la necessità di acquisire il consenso dell’utente che accede al sito, nel rispetto delle linee guida – per l’Italia – fissate con il provvedimento di giugno 2021, valido ed applicabile dal 10 gennaio 2022. Quindi perderai tutti i dati di navigazione di chi clicca su “rifiuta tutti”, se hai ben configurato il banner.

Attenzione: i banner che provano a nascondere il “rifiuta tutti”, tramite dark patterns o semplicemente non esponendolo, non sono compliant alla normativa e passibili di sanzione anche più grave di quella di aver male classificato i cookie di analytics.

Allora, cosa faccio?

Semplice: usa un altro tool!

Nessuno ha prescritto di utilizzare Google Analytics, che è piattaforma certamente ben sviluppata e leader di mercato nell’ambito del digital advertising. Ma se non devi fare marketing con quei dati, rischi di perdere le statistiche del sito senza motivo, per la sola pigrizia di passare ad un altro tool.

Ce ne sono diversi, configurabili come “GDPR compliant“, tra cui:

  • Matomo (meglio se on premise, come suggerisce il garante francese CNIL);
  • Piwik PRO (già utilizzato da numerose grandi aziende);
  • Plausbile (progetto open source e giovane, ma molto interessante);

Sappi tra l’altro che potrai importare i dati storici di Google Analytics e continuare a fare statistica e orientare le tue scelte di marketing (o quelle del tuo cliente) adeguatamente e con attenzione, senza però violare frontalmente il GDPR.

Attenzione che questo, naturalmente, non basta: anche il cookie banner deve essere di qualità e ben impostato.

Senza citare l’ovvia necessità di compliance aziendale a monte (quindi, interna) che deve essere valida e concreta: registro dei trattamenti adeguato, nomine interne ed esterne ben costruite e complete, istruzioni agli operatori che trattano i dati, procedure in caso di richieste o data breach, ecc.

Ma dove finiremo? Un’idea la dà il nostro Alessandro, qui, parlando di FLoC ovvero del nuovo sistema ideato da Google, sostanzialmente già aggiornato e ripreso – dopo le compiute critiche di molti esperti del settore – con un nuovo nome: “Topics API“. Con questi, o con qualunque altro strumento dell’era post-cookie, speriamo che la situazione si chiarisce e renda a tutti – operatori del diritto e tecnici – la vita un po’ meno complicata.

____________________________________________

Photo by path digital on Unsplash

Quadro delle recenti novità in materia di Whistleblowing

Il tema delle segnalazioni interne in materia di illeciti commessi nell’esercizio dell’impresa è di grande rilevanza oggi nel panorama della compliance aziendale, costituendo uno strumento di emersione di comportamenti spesso trascurati o ignorati: la sua normazione genera al contempo rilevanti e spinose questioni di bilanciamento tra l’autonomia dell’esercizio dell’azione economica privata e la protezione degli interessi pubblici, oltre che di privacy e protezione degli individui segnalanti.

Breve panorama del concetto e della normativa italiana di rilievo

Il concetto di “Whistleblower” (letteralmente: “colui che soffia il fischietto”) entra per la prima volta nel linguaggio e nel panorama giuridico italiano con la Legge n. 190/2012, la c.d. “Anticorruzione” che, tramite aggiunta dell’art. 54-bis nel corpo del D.Lgs. 165/2001, introduce nel nostro ordinamento la figura del dipendente pubblico “segnalatore di illeciti”. Qualche anno più tardi la Legge n. 179/2017 va a modificare il D.Lgs. 231/2001, offrendo così anche al settore privato una base giuridica su cui costruire il proprio sistema interno di segnalazione degli illeciti.
Con la Direttiva 1937/2019 l’UE ha, di recente, inteso fissare i punti fondamentali per garantire ai “segnalatori di illeciti” uno standard minimo di tutela in ambito comunitario. Vengono quindi posti in capo ad ogni Stato Membro obblighi e divieti mirati a far adottare , entro il termine del 17 dicembre 2021, un adeguato sistema di segnalazione degli illeciti in grado di proteggere il segnalante da tutte le conseguenze negative che potrebbero insorgere a seguito della sua azione, e ciò tanto per il settore pubblico quanto per quello privato.

I requisiti fissati dalla Direttiva e le prospettive di recepimento

Innanzitutto, anche per il settore privato (a partire da una soglia minima di 50 dipendenti) diviene obbligatorio dotarsi di un sistema di prevenzione degli illeciti conseguenti alla violazione del diritto comunitario.
In questo senso, ciò che per l’Italia rappresenta ancora oggi l’eccezione- ci si riferisce infatti a quegli enti che abbiano volontariamente adottato i modelli di organizzazione previsti dal Decreto 231 e limitatamente ai reati da questo previsti- diverrà quindi (e finalmente) la regola.

Viene poi predisposto un ventaglio più ampio di soggetti che possono godere delle garanzie della Direttiva una volta coinvolti nel “processo di segnalazione”. Superata la dicotomia apicali-sottoposti, si aprono le porte a segnalazioni di soggetti che in modi diversi ed in diversa misura entrano in contatto con l’ente. Basti pensare che, a titolo esemplificativo, può assumere la qualifica di segnalante anche colui che non ha ancora cominciato un rapporto di lavoro con l’ente, perché il processo di selezione è ancora in corso.

Appare qui evidente l’intenzione del legislatore comunitario di assicurarsi che anche le violazioni commesse nelle fasi prodromiche all’instaurazione del rapporto di lavoro non rimangano impunite.

Ai fini della segnalazione, la Direttiva non richiede poi l’effettiva commissione di un illecito- così come previsto dalla L. n. 179/2017 e dal D.Lgs. 231/2001- ma soltanto il sussistere nel denunciante del “ragionevole motivo” di ritenere che le informazioni denunciate rispondano al vero e all’interesse pubblico.

Novità anche per quanto riguarda i canali di segnalazione.

Se il legislatore italiano non entra attualmente nel merito delle scelte operative, limitandosi a richiedere che i canali predisposti siano genericamente idonei a garantire la riservatezza (e non anche l’anonimato) dell’identità del denunciante, il legislatore comunitario si rivela più puntuale, richiedendo la implementazione di canali interni ed esterni all’ente, ai quali si affianca il canale pubblico, c.d. “public disclosure”.

La Direttiva lascia comunque libero il denunciante nella scelta del canale, sebbene incoraggi alle segnalazioni interne, soprattutto nei casi di più semplice risoluzione.

Molto importante anche la questione privacy.

La Direttiva prevede che qualsiasi trattamento di dati personali effettuato in occasione della Direttiva stessa debba svolgersi nel rispetto del Regolamento 2016/679 e della Direttiva 2016/680 (per il trattamento di dati con finalità di polizia).

L’obiettivo è quindi quello di scongiurare quanto più possibile il rischio che la segnalazione diventi l’occasione per una violazione della privacy; inoltre, viene espressamente sancito che non vadano raccolti e trattati dati eccedenti o non pertinenti rispetto ad una specifica segnalazione, e – laddove raccolti o trattati – essi vengano prontamente cancellati.

I ritardi nel recepimento della Direttiva

Benché la legge di delegazione europea n. 53/2021 rechi indicazioni per il recepimento della c.d. “Direttiva Whistleblowing”, l’Italia tutta è ancora in attesa di azioni concrete da parte del Governo.

Se indubbiamente molte sono state le “distrazioni” in questi ultimi due anni, a partire dalla pandemia fino alla questione del Colle, è tuttavia opportuno chiedersi quante e quali di queste siano effettivamente in grado di giustificare l’inerzia dell’Esecutivo su un tema particolarmente sensibile come quello della segnalazione di comportamenti illeciti all’interno delle società di capitali.

Ciò è particolarmente rilevante quando entra in gioco la vita umana, come nel caso tristemente noto della Funivia del Mottarone: è di dominio pubblico, infatti, la notizia per cui un ex dipendente avrebbe subito minacce di licenziamento per aver denunciato, molto tempo prima dell’incidente, problemi tecnici alla cabina poi coinvolta nella strage.

_________________________________________________________

Photo by Geron Dison on Unsplash

Cookie: a che punto siamo?

Nelle ultime settimane, al di là della fatidica data del 10 gennaio in cui le Linee Guida in materia cookie del Garante italiano sono divenute “applicabili”, si sono succeduti diversi eventi che hanno modificato il quadro della gestione, da parte delle aziende, di questo aspetto tanto importante quanto spinoso.

Vediamo allora gli elementi che si possono derivare dalle più recenti decisioni e novità.

La decisione dell’Autorità austriaca

L’uso di Google Analytics (“GA”) comporta il trasferimento di dati verso gli U.S.A. (oltre che verso altri paesi considerati non adeguati, stante il posizionamento dei server di Google in diverse parti del mondo).

L’uso di tale tool di statistiche, retargeting e adv implica inoltre la possibilità per il gigante di Mountain View di re-identificare gli utenti anche laddove si utilizzino cookie con IP “troncato”.

Per queste ragioni, l’Autorità di Vienna ha deciso di porsi nel solco della decisione “Schrems II” e di dichiarare illegittimo l’uso di tale tool, anche laddove il titolare del sito web lo utilizzo esclusivamente per attività di statistica dell’utilizzo del proprio portale.

La posizione del Garante belga

Con il provvedimento del 22 gennaio 2022, l’Autorità in oggetto ha chiarito alcuni punti ulteriori e fondamentali di come interpretare e maneggiare i cookie:

  • i cookie “tecnici” sono esclusivamente quelli che permettono all’utente di compiere attività e utilizzare funzioni “base” del sito web, e sono forniti dalla prima parte (cioè il proprietario del sito);
  • per tutti gli altri cookie e identificatori, anche e soprattutto quelli che “chiamano” funzionalità e servizi esterni al sito web visitato, è necessario il consenso;
  • detto consenso può essere raccolto per categorie;
  • la pratica di utilizzare un link su “come gestire i cookie nel browser” è comprensibile e corretta verso l’utente.

In Francia, il CNIL sanziona Google e Facebook

All’inizio di gennaio, l’Autorità francese ha emanato due sanzioni pesantissime nei confronti dei principali player del mercato adv, proprio per l’utilizzo non conforme alla normativa GDPR dei cookie e tracciatori online.

In particolare, il Garante transalpino ha ritenuto che i due soggetti sanzionati abbiano volontariamente reso complesso e arduo per l’utente rifiutare l’uso dei cookie, rispetto invece alla fornitura di un “comodo” pulsate di accettazione dell’intero pacchetto di identificatori.

Tale pratica, come le più note tecniche di c.d. “dark patterns” che disegnano flussi di accettazione che favoriscono (illecitamente) l’assenso e non il rifiuto dei cookie, sono ritenute illegali e pericolose, in quanto minano alla base la natura libera da vincoli del consenso richiesto.

Questa specifica decisione ha anche costituito un interessante precedente in merito alla competenza dell’autorità, in quanto Google e Facebook asserivano fosse la DPC (irlandese, quindi) il Garante che – in forza del meccanismo one-stop-shop – avrebbe dovuto decidere il caso.

E in tale sede, come per altre vicende, sappiamo che le cose vanno tendenzialmente molto più per le lunghe.

Quindi?

Restiamo alla finestra, sapendo anche che NOYB (con Max Schrems alla guida) ha inviato numerose contestazioni anche al Garante italiano.

Forse, prima dell’estate, avremo anche noi il primo “leading case” nostrano in materia, e il quadro diverrà un po’ più chiaro tra GDPR, Direttiva ePrivacy tutt’ora in vigore (del Regolamento ePrivacy non si hanno notizie da parecchio) e interpretazione “locale” del mondo cookie.

Intanto, prossimamente proveremo ad approfondire il tema delle “alternative plausibili” a Google Analytics.

_____________________________________________

Photo by Sara Sperry on Unsplash

Lo Smart Working: nuova normalità

Il prossimo 31 marzo, salvo novità dell’ultima ora, terminerà lo “stato di emergenza” in vigore sin dall’inizio dell’epidemia Covid-19 (marzo 2020), che ha consentito – tra le altre cose – di svolgere le mansioni lavorative di milioni di persone “da remoto” e/o con modalità “agili”, senza tuttavia dover sottostare ai requisiti fissati dalla legge in materia (l. n. 81/2017, QUI un link diretto a Normattiva).

Dal 1 aprile 2022, pertanto, le aziende che intendono continuare a consentire lo svolgimento del lavoro da remoto dovranno implementare una delle opzioni concesse dalla normativa speciale, e pertanto implementare in alternativa (i) il c.d. “Lavoro Agile” (o smart working) o (ii) il c.d. “telelavoro”, di cui alla risalente normativa in materia.

In mancanza di accordo individuale – firmato dal lavoratore e relativo protocollo – redatto dall’azienda – e/o di altri strumenti normativi (es. telelavoro) non sarà più consentito il lavoro da remoto.

Concentriamoci allora su quali aspetti fondamentali deve valutare l’azienda e, in seguito, quali documenti deve predisporre, anche alla luce del Protocollo stipulato dalle parti sociali in data 7 dicembre 2021 (reperibile QUI).

Gli aspetti da valutare

Un primo tema, fondamentale, è l’organizzazione aziendale: in questa nostra “nuova normalità” non si può trascurare il fatto che le persone si siano ormai abituate a lavorare (anche) da remoto, in movimento, altrove. Al contempo, le esigenze – della struttura, dei clienti, ecc. – sono di fondamentale importanza per la riuscita del progetto.

Tale valutazione ha impatti, ad esempio, riguardo alla “finestra” giornaliera di esecuzione della prestazione (es. fascia oraria 8-19, nella quale svolgere le 8 ore).

Un altro tema fondamentale riguarda la c.d. “security” tecnologica delle informazioni: è posto in capo al datore di lavoro, anche dall’ultimo Protocollo stipulato tra le parti sociali (dicembre 2021), di garantire strumenti adeguati sia alla corretta resa della prestazione, che alla riservatezza e tutela delle informazioni aziendali.

Allo stesso modo non può mancare anche una riflessione in materia privacy, riguardante i dati personali dei lavoratori, quanto al loro trattamento ed alle possibili caratteristiche dei sistemi implementati in ottica di c.d. “controllo da remoto”.

Infine, fissate tutte le linee guida generali, è assolutamente opportuno effettuare un ragionamento di “flessibilità” sia sulle variazioni a livello individuale (es. meno giornate, diminuzione su richiesta, ecc.) che di tipo “organizzativo” (es. richiamo in sede per necessità imposte dall’attività svolta e/o da uno specifico cliente).

I documenti da predisporre

I requisiti di legge prevedono, in primo luogo, la stipula di un accordo individuale tra azienda e lavoratore, che contenga le indicazioni fondamentali del nuovo assetto del rapporto di lavoro e del suo svolgimento, tra cui:

  • giornate di lavoro agile assegnate (meglio se per “unità organizzative”);
  • finestra oraria giornaliera di esecuzione della prestazione;
  • le modalità di eventuale allontamento (durante la prestazione) e interruzione o disconnessione (al termine della prestazione);
  • strumenti forniti per la prestazione (con particolare attenzione agli aspetti di security);
  • la durata e le modalità di recesso da parte di ciascun attore coinvolto.

Al di là dell’accordo, è consigliato – quasi necessario – stilare anche un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione “smart”.

Accanto agli aspetti strettamente inerenti il lavoro agile, inoltre, la funzione RSPP è opportuno che condivida una informativa in materia di salute e sicurezza sul lavoro inerente le tematiche di operatività da casa, postazione di lavoro, infortuni in itinere ed altro.

In aggiunta, si suggerisce la predisposizione e/o revisione di un regolamento dell’uso degli strumenti aziendali e del codice disciplinare per riscontrare le novità operative introdotte dall’assetto organizzativo aggiornato.

Suggerimenti operativi

Un primo aspetto che ha impatto sulla ricezione, da parte dei dipendenti, di un progetto di smart working è la comunicazione: è importante avvisare i lavoratori che il progetto è in sviluppo, fissando incontri di approfondimento o raccogliendo informazioni tramite survey per capire – tra le tante cose – se ad esempio le persone preferiscono 3, 4 o 5 giorni di lavoro agile rispetto a quello in azienda.

Allo stesso modo, va gestita con grande attenzione la contrattazione individuale, con cui si arriva alla firma dell’accordo con il singolo lavoratore: ciascuna persona può avere esigenze o desideri diversi (tra i tanti, una abitazione personale non adeguata o, invece, delle esigenze familiari particolari) che hanno grandi impatti sulla riuscita del progetto.

Gli aspetti normativi sono infine numerosi, e derivano non solo dalla normativa strettamente in materia di smart working, ma anche – ad esempio – in ambito privacy e sicurezza sul lavoro: per questa ragione è sempre opportuno coinvolgere, sin dall’inizio, tutti i consulenti e referenti aziendali interessati dall’ambito di innovazione e variazione derivante dal lavoro agile, per rendere questa “nuova normalità” sempre più una quotidianità ordinaria e conforme alla normativa non emergenziale.

________________________________________

Photo by Kevin Bhagat on Unsplash

Privacy e tutela del consumatore – Considerazioni a margine dei “Digital Service” e “Digital Markets” Acts

La protezione dei dati personali e la tutela del consumatore sono, oggi più che mai, tematiche connesse tra di loro: animate entrambe da una comune intenzione difensiva rispetto alle asimmetrie e alle distorsioni, si confrontano con un contesto sociale ed economico profondamente mutato dalle nuove tecnologie.

La disciplina della privacy, in particolare, si è fatta carico di rispondere alle esigenze di tutela del contraente debole che la digitalizzazione delle nostre vite ha lasciato emergere e che la pandemia ha esacerbato: in questo senso, è riconosciuta oggi come uno strumento particolarmente adeguato a questa funzione, come elemento trasversale alla data economy in quanto i dati personali sono, sostanzialmente, ovunque.

La situazione e gli interventi delle Autorità

Le Autorità Garanti di numerosi Paesi si confrontano di frequente con fenomeni invasivi, quali ad esempio telemarketing e furto di identità.

Il primo è spesso stato inquadrato in un più ampio sistema aziendale di violazione sistematica della privacy dei consumatori, fatto anche di assenza di informative adeguate, la cessione senza controllo dei dati personali e il contatto reiterato e invasivo al privato.

Il secondo fenomeno, che ha avuto come sfondo la progressiva liberalizzazione del mercato dell’energia e del gas, riguarda più o meno sofisticate forme di falsificazione di contratti di somministrazione, mediante l’utilizzo di dati personali dei clienti (in particolare, copia di documenti di identità) a loro insaputa.

Nonostante in diverse pronunce le autorità hanno preso posizione su questi temi in modo risoluto, la sensazione diffusa è quella del permanere di numerosi interrogativi e “vuoti” di tutela, i quali richiedono interventi più organici e trasversali all’esito di un ripensamento profondo delle normative applicabili.

L’azione della Commissione Europea

In quest’ottica le proposte della Commissione europea sul “Digital Service Act” e sul “Digital Markets Act” si muovono nella direzione dell’adeguamento delle tutele del consumatore a una realtà molto particolare come quella digitale: ciò, in primo luogo, attraverso il riconoscimento all’utente una gamma di strumenti di intervento volti a promuoverne, anche in forma proattiva, la tutela ad ampio spettro; in secondo luogo, attraverso il rafforzamento degli obblighi e, di conseguenza, la responsabilizzazione delle piattaforme digitali.

Sul piano della prevenzione, emerge inevitabilmente la necessità di una garanzia della libertà cognitiva del consumatore, intesa come il diritto di non subire il potere pervasivo di condizionamento derivante dal c.d. “microtargeting“.

Con tale espressione si intende il meccanismo volto a potenziare la capacità persuasiva della pubblicità, adattando il messaggio ai dati desunti dalla profilazione mediante algoritmo; esso è quindi teso a influenzare e orientare le scelte di consumo degli utenti, proponendo loro i prodotti o i servizi ritenuti suscettibili di gradimento secondo le stime predittive degli algoritmi digitali.

I meccanismi di tutela previsti dalle proposte di legge

La massima tutela è considerata risiedere, oggi come in passato, nel presidio dell’autodeterminazione di ciascuna persona fisica: quindi nel consenso specifico, inequivoco e informato. In una parola, nel “consenso consapevole“.

Anche per questo le Autorità insistono da tempo sull’educazione digitale quale necessario presupposto di scelte libere e consapevoli, tanto difficili quanto indispensabili al tempo della c.d. “zero-price economy“, in cui servizi – apparentemente gratuiti – sono pagati al caro prezzo dei dati personali e, di conseguenza, della libertà degli utenti ristretta da algoritmi presuntivi basati sulle scelte di consumo desiderate dagli OTT e/o dalle aziende.

Sul piano dei rimedi, un impulso importante al rafforzamento delle garanzie dei consumatori può venire dalle tutele collettive, ammesse anche nel settore privacy dal GDPR e dall’ammissibilità di azioni rappresentative avanzate da associazioni per la tutela degli interessi dei consumatori.

Le forme di tutela previste dalle nuove normative mirano, in definitiva, a supportare l’avvio della protezione collettiva del singolo, come persona e come consumatore, sulla scia di quanto fatto con il GDPR, volendo così rappresentare un efficace deterrente contro violazioni massive di dati personali.

____________________________________________

Photo by Ryoji Iwata on Unsplash

Aggiornamenti in materia di “Green Pass” sui luoghi di lavoro

*articolo ora aggiornato, qui*

Da domani 15 febbraio 2022 entra in vigore l’obbligo, per i soggetti oltre i 50 anni di età (compiuti o da compiersi entro il 15 giugno), di accedere ai luoghi di lavoro dotati di vaccinazione per Covid-19 – per cui la relativa imposizione è divenuta effettiva lo scorso 1 febbraio in forza dell’art. 4-quinquies D.L. 44/2021 (come introdotto dall’art. 1 D.L. 1/2022).

Conseguenze operative

Sarà ora necessario, per i soggetti con data di nascita anteriore al 16 giugno 1972, esibire il c.d. “Green pass rafforzato” all’accesso in sede, da verificarsi sempre tramite utilizzo della App “Verifica C19” e/o altri sistemi automatizzati, se presenti.

Solo e soltanto in sede di controllo dei soggetti interessati, pertanto, sarà necessario utilizzare la modalità “rafforzata” della verifica all’interno della App, in quanto per tutti gli altri lavoratori restano valide le precedenti modalità di verifica “base”, quindi anche da tampone antigenico o molecolare.

In proposito, va notato che l’app Verifica C19 riporta ora la modalità “LAVORO”, come precisato dal Ministero della Salute (QUI), con cui effettuare automaticamente la selezione corretta del tipo di Green Pass da verificare. Non è quindi necessario verificare la data di nascita del soggetto esaminato: il colore verde conferma la validità del Green Pass in azienda.

In caso di mancanza della certificazione verde di tipo adeguato restano altresì valide le medesime conseguenze di cui al protocollo oggi vigente, e pertanto l’assenza “ingiustificata” senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro fino alla presentazione di adeguata certificazione, sino a tutto il 15 giugno 2022. Anche le sanzioni in caso di mancato possesso a seguito di controlli restano le medesime.

Come e su cosa intervenire

In primo luogo è necessario procedere ad informare i soggetti verificatori di tale variazione delle impostazioni della App che utilizzano regolarmente, precisando altresì che, in caso di dubbio sull’età effettiva della persona verificata, è sufficiente esaminare l’esito della verifica e richiedere – se necessario – un documento di identità al soggetto verificato.

Anche il procotollo interno avrà necessità di un minimo aggiornamento, anche laddove riporti i riferimenti di legge che sono variati.

Nessuna modifica particolare, invece, pare necessaria per l’informativa relativa alla verifica del Green Pass, qualora essa non sia così approfondita da chiarire il livello di certificazione verde richiesta all’ingresso delle sedi aziendali: diversamente, anche qui i nuovi riferimenti di legge saranno da indicarsi puntualmente.

_____________________________________________

Photo by LYCS Architecture on Unsplash

Controlli “difensivi”: legittimo l’uso dei dati solo se il lavoratore è correttamente informato

Con recente pronuncia (n. 25732/2021, consultabile QUI), la Corte di Cassazione è intervenuta su un tema spinoso, che riguarda il difficile bilanciamento tra la tutela della sfera di riservatezza del lavoratore e la garanzia di protezione dei beni aziendali (in senso lato).

I fatti di causa

Una lavoratrice, dipendente di una Fondazione, veniva licenziata – per giusta causa – per aver navigato continuativamente in internet a fini privati durante l’orario lavorativo, in particolare facendo accesso ad alcuni siti non sicuri fonte di diffusione di un virus nella rete aziendale, con successiva compromissione di vari dischi di rete ed files (c.d. data breach).

Dopo aver visto dapprima accolta la propria domanda di reintegrazione in primo grado, e successivamente rigettata la medesima domanda in sede di appello, la lavoratrice proponeva ricorso per Cassazione denunciando la violazione e la falsa applicazione, per ciò che qui rileva, dell’art. 4 dello Statuto dei Lavoratori e del Codice Privacy (n.b. i fatti si sono svolti in epoca antecedente sia all’entrata in vigore del GDPR, sia alla modifica dell’art. 4 St. Lav per opera del Jobs Act).

La tesi, in sostanza, poggiava sulla contestazione della decisione in appello di aver ritenuto utilizzabili, a fini disciplinari, le informazioni acquisite in violazione dei diritti, in particolare, di informativa, contenuti nell’allora vigente Codice Privacy (D. Lgs. 196/2003).

In effetti, l’Autorità Garante, investita della questione, aveva confermato la violazione degli obblighi di informativa e l’eccedenza del trattamento rispetto alle finalità ed aveva intimato alla Fondazione di astenersi da ulteriori trattamenti.

Veniva poi contestata la mancata tipizzazione del comportamento imputato alla lavoratrice tra gli illeciti disciplinari e tra le regole ed i principi del Codice Etico aziendale.

La disciplina dei controlli sui lavoratori

La vicenda in oggetto si concentra sull’ambito applicativo dei controlli sui lavoratori, la cui disciplina generale è dettata dall’art. 4 dello Statuto dei Lavoratori (L. 300 del 1970) nonché dal GDPR e dalle linee guida e pronunce sul tema dell’Autorità Garante.

L’art. 4 St. Lav. citato, in particolare, ha subito una radicale riforma nel 2015: l’originaria versione dello stesso, applicabile ratione temporis alla vicenda in oggetto, prevedeva un generale divieto di uso di strumenti di controllo a distanza.

Nel corso degli anni però la giurisprudenza, a tutela del patrimonio e dell’immagine aziendale, aveva determinato che i c.d. “controlli difensivi”, cioè i controlli effettuati dopo l’attuazione del comportamento illecito, e quindi dopo l’insorgenza del sospetto in merito al comportamento scorretto, non fossero soggetti a tale divieto, pur nel rispetto dei principi di buona fede e correttezza.

La riforma dell’art. 4 St. Lav. ha fatto cadere il precedente divieto, prevedendo la possibilità per il datore di lavoro di effettuare controlli sui lavoratori nel rispetto di determinate modalità ed a condizioni tassative.

Tuttavia, ai fini dell’utilizzabilità dei dati raccolti (anche a scopo disciplinare), è condizione necessaria, a prescindere dallo strumento di controllo utilizzato, fornire al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

La decisione della Corte

La Corte ha accolto il ricorso della lavoratrice: attraverso un’approfondita disamina giuridica sull’ambito di applicazione dei controlli difensivi pre e post riforma, le doglianze della lavoratrice sono state ritenute fondate in quanto, in sentenza: (i) non era stato verificato se i dati di navigazione fossero stati raccolti prima o dopo l’insorgere del fondato sospetto (ii) non era stato valutato il corretto bilanciamento tra le esigenze di protezione dei beni aziendali rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.

Nello specifico, viene sottolineato che il datore di lavoro potrebbe, in difetto di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire e conservare per lungo tempo ed ininterrottamente ogni tipologia di dato e, poi, invocare la natura mirata e successiva del controllo.

A parere della Suprema Corte, la Corte d’Appello aveva anche omesso di verificare l’utilizzabilità dei dati raccolti ai fini disciplinari, sempre in mancanza di adeguata informativa.

La sentenza in oggetto, nel confermare che sono consentiti i controlli, anche tecnologici, posti in essere dal datore di lavoro e finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti in presenza di un fondato sospetto, ribadisce l’importanza di un corretto bilanciamento tra:

  • da un lato, le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e
  • dall’altro, le imprescindibili tutele della dignità e della riservatezza del lavoratore, per cui il controllo mirato sul singolo lavoratore deve riguardare dati acquisiti successivamente all’insorgere del sospetto.

In mancanza delle condizioni suddette, i dati raccolti non possono essere utilizzati ai fini disciplinari in conformità a quanto statuito dall’art. 4 St. Lav., in particolare dai commi 2 e 3.

Un’informativa adeguata

L’utilizzabilità delle informazioni e dei dati acquisiti, a tutti i fini connessi al rapporto di lavoro, anche disciplinari, dipende, in sostanza, dall’adeguatezza dell’informativa fornita.

Ma in cosa consiste un’informativa “adeguata”?

Prima di tutto, l’informativa deve – oggi – riportare tutti gli elementi previsti dall’art. 13 GDPR, e non limitarsi a fare generici riferimenti a finalità, relative basi giuridiche e tempi di conservazione, ma essere specifica e ben dettagliata, oltre che leggibile, chiara e comprensibile nella sua formulazione grafica e testuale.

Per quanto riguarda la navigazione in internet, fermo restando il divieto di controllo indiscriminato della navigazione (v. Newsletter Garante Privacy 22.06.2021: l’episodio riguarda il Comune di Bolzano, sanzionato per Euro 84.000,00), la raccolta dei dati di navigazione è legittima e può essere utilizzata in funzione disciplinare contro il lavoratore, purché egli ne sia informato e quindi consapevole dell’effettuazione di controlli, delle modalità degli stessi, dei comportamenti consentiti o meno e delle conseguenze disciplinari e/o penali correlate.

L’informativa dovrà essere coordinata e coerente con il disciplinare interno, il quale deve essere redatto in modo chiaro e adeguatamente pubblicizzato.

Si segnala che il Garante ha emanato, già nel 2007, delle linee guida sull’utilizzo della posta elettronica e di internet nel rapporto di lavoro (consultabile QUI) cui è possibile fare riferimento.

______________________________________

Photo by Alex Kotliarskyi on Unsplash

Raccolta di spunti in materia Green Pass (14 ottobre 2021)

*articolo ora aggiornato, qui*

Riassumo qui i ragionamenti svolti nelle ultime ore, e pubblicati rapidamente su LinkedIn – oltre che inviati ai poveri clienti che navigano a vista, e che ringrazio sempre per la pazienza dimostrata in queste giornate turbolente!

Riporto qui la personale linea guida seguita: buonsenso, conoscenza delle norme (almeno, per come sono scritte), e interpretazione secondo l’obiettivo che ciascuna regola mira a raggiungere. Se non serve per tale scopo, una attività è superflua e inutile.

Checklist del 14/10 (pomeriggio)

Devo aver completato (e firmato o reso comunque ufficiale!) il mio protocollo utile sia sul fronte requisiti dell’art. 9-septies DL 52/2021 che per gestire gli aspetti privacy (non pochi). Uno fra tanti, tutto il flusso di comunicazione in caso di verifiche negative (tra verificatore, direzione, HR, consulente del lavoro per le paghe, referenti di funzione che gestiranno le assenze, e altri).

Devo aver dato le istruzioni ai “verificatori” che da domani inizieranno le attività di controllo, come organizzate su carta all’interno del protocollo: mi sono anche accertato che gli sia tutto chiaro, e che i loro nomi siano inseriti in una lista che potrei dover fornire all’autorità che viene a controllarmi.

Ho messo a disposizione di tutti i verificatori la informativa privacy in merito al trattamento dei dati (possibilmente, un documento snello – si può fare su una facciata: sono poche le informazioni essenziali, dato che ad es. ai dipendenti ho già fornito una precedente informativa generale!)

Se mi voglio sentire sicuro, ho previsto un verbalino da far compilare ai verificatori con dati SOLO STATISTICI sui controlli svolti: niente dati personali (tranne il loro nome e firma..)

Ho infine nominato e istruito i miei fornitori a supporto per gli specifici trattamenti previsti (consulente del lavoro per le paghe, vigilanza, altri)

Sono a posto? Forse.

Se non l’ho già fatto, potrei mandare una mail a tutti, lavoratori consulenti e fornitori, per ricordargli che domani entra in vigore l’obbligo? Si, per trasparenza (soprattutto verso i lavoratori), ma state certi che ciascun fornitore ne avrà ricevute molte, e sarà informato di sicuro della cosa.

Le fonti sono i Decreti Legge (ancora da convertire), i DPCM come da ultimo aggiornati (e non ancora interamente pubblicati), le FAQ del Governo (non ancora fonte di legge, almeno per ora!) e le posizioni espresse dall’Autorità Garante.

Spunti di mercoledì 13/10

A poche ore dall’entrata in vigore della obbligatorietà del possesso della certificazione verde Covid-19 per l’accesso ai luoghi di lavoro, arrivano gli ultimi aggiornamenti (e qualche cantonata, a cui siamo tutti esposti in questo periodo convulso)

FAQ del Governo, in cui si legge che “il datore di lavoro deve (…) effettuare una segnalazione alla Prefettura ai fini dell’applicazione della sanzione amministrativa” in caso di verifica di un lavoratore sprovvisto del Green Pass. In che modo? E poi, sempre o solo se il lavoratore è entrato (e non se lo si respinge all’ingresso)? Non è chiaro, nè chiarito. Ma si “colora” l’art. 9-septies ultimo comma di una lettura che prima veniva considerata esclusa (quella del “soggetto incaricato dell’accertamento” individuato – inizialmente – solo nella forza pubblica).

Il Garante Privacy a approvato lo schema di DPCM di aggiornamento dell’uso di VerificaC19 e app complementari: SI ai totem e altri meccanismi automatizzati, nel rispetto del GDPR, SI alla piattaforma unica per la verifica massiva ma sempre con determinate cautele e con minimizzazione dei dati trattati. Nuovamente un chiaro NO alla conservazione dei dati estratti dalla verifica del Green Pass, per “schedature” del personale.

Confindustria ha pubblicato diverse (interessanti) note di aggiornamento e modelli, che hanno però creato una certa confusione, insieme a qualche passaggio di un articolo del Sole24ore. Chiariamoci: NO alla conservazione dei dati personali dei verificati, SOLO annotazione di eventuali situazioni di assenza del Green Pass per la finalità – esclusivamente – di gestione delle conseguenze lavoristiche e organizzative. Quindi i diversi “verbali” circolati come modelli vanno depurati delle colonne relative ai dati personali (la finalità di questi report è, in effetti, solo quella di comprovare la consistenza delle verifiche, se svolte a campione).

Controlli in azienda e Green Pass: novità del 21 settembre 2021

Tenuto conto della novità di ieri – ancora in via di esatta definizione – riguardo alla obbligatorietà di possesso del Green Pass per accedere ai luoghi di lavoro in ambito privato, ho ritenuto utile cominciare a proporre alcuni appunti sul Decreto Legge appena approvato, corredati da spunti operativi dedicati ai naviganti (le aziende). Tutto questo, alla data del 22 settembre 2021, ore 15:30 (caveat per i posteri).

La situazione attuale

E’ stato approvato oggi (21 settembre) il Decreto Legge n. 127/2021 (QUI in Gazzetta Ufficiale), con cui il Governo interviene in via d’urgenza – come siamo ormai abituati a vedere – sulla gestione della pandemia da Covid-19 tutt’ora in atto.

Con l’art. 3 del Decreto Legge si forniscono le disposizioni in “ambito lavorativo privato”: in sostanza, e prima di tutto, per le aziende, gli studi professionali, le ONLUS e tutti gli ambiti “non pubblici” e/o giudiziari (su cui invece rilevano gli artt. 1 e 2).

Giova ricordare che il Decreto Legge dovrà essere convertito in legge entro 60 giorni dalla sua pubblicazione, da parte del Parlamento, con eventuali modifiche.

La norma chiave sarà quindi, salvo modificazioni, l’art. 9-septies del D. L. 52/2021.

Principali tematiche aperte

Primo punto è, ovviamente, la data fatidica di “obbligo” della verifica del Green Pass: il 15 ottobre 2021. Va anche precisato che, al momento – e non poteva essere diversamente – l’obbligo resterà valido fino a tutto il 31 dicembre 2021, termine previsto dello stato di emergenza. Si dubita, naturalmente, che al 1 gennaio 2022 tutto ciò venga meno, in quanto (purtroppo) la situazione pandemica appare ben lontana dall’essere conclusa.

Ruota tutto intorno alla verifica, posta in capo ai datori di lavoro (comma IV), del rispetto dell’obbligo di possedere la “certificazione verde” (o Green Pass) attribuita a chiunque presti lavoro nel settore privato.

Il Decreto prevede:

  • la definizione delle “modalità operative” di verifica del Green Pass (istruzioni ai verificatori, procedure esatte),
  • la sua verifica “anche a campione”,
  • i luoghi di verifica (“prioritariamente, ove possibile, … al momento dell’accesso ai luoghi di lavoro”),
  • le sanzioni – sia per il lavoratore sprovvisto che per il datore che non controlla adeguatamente – in caso di mancato rispetto della normativa in vigore.

Tutto ciò oltre, naturalmente, al rispetto della protezione dei dati personali, su cui sia il legislatore che il Garante si sono già soffermati, e su cui probabilmente torneranno con l’emanazione di un DPCM (il Governo) e di linee guida (l’Autorità), ci si augura non a ridosso del 15 ottobre prossimo.

Si crea allora un quadro sempre più complesso e articolato, rispetto alla ultime news a cui ci siamo rapidamente abituati (QUI alcuni spunti pubblicati nei giorni scorsi).

Azioni operative in vista del 15 ottobre

La formulazione della norma appare il risultato – evidente – di una mediazione, che si è svolta tra diverse sensibilità e potrebbe anche non essere del tutto terminata.

Si lascia infatti al datore di lavoro una certa discrezionalità – utile e pericolosa insieme – su come predisporre i controlli e gestire il flusso di informazioni e dati personali.

La flessibilità è utile, perché in aziende di ampie dimensioni e/o suddivise in diversi luoghi (ad esempio, di produzione) sarà possibile fare verifiche “a campione”, ovvero non puntuali e stressanti ogni giorno, ma predisporre un piano di controlli sensato e adatto alle esigenze.

Una prima proposta di lavoro, ad esempio, potrebbe esser quella di verificare una prima volta tutti i lavoratori, il 15 ottobre, e poi disporre controlli a campione, non potendo sapere quali Green Pass fossero “da vaccinazione” e quali “da tampone” (l’app VerificaC19 non dà informazioni in merito, e non è permesso chiedere dati ulteriori).

Vero è che con i controlli a campione potrebbero sfuggire situazioni di assenza del Green Pass, anche per più giorni consecutivi: e allora, se non in base alla sanzione del Decreto Legge, il rischio per il datore di lavoro – e l’RSPP – sarebbe configurabile certamente in tema D. Lgs. 81/2008, ovvero lato sicurezza sul lavoro. Un bilanciamento di esigenze sarà probabilmente da studiare, caso per caso, escludendo soluzioni “standard”.

Stessa flessibilità viene concessa anche per il luogo di effettuazione delle verifiche: “prioritariamente, ove possibile” al momento dell’accesso ai luoghi di lavoro. Ciò significa che ben potrebbe il datore di lavoro gestire la verifica (sempre a campione, in teoria) anche all’interno dello stabilimento, qualora non vi siano altre possibilità o esse siano particolarmente gravose – anche considerando che andiamo incontro al periodo invernale. Come potrebbe essere sensato creare lunghe file all’esterno di un capannone industriale, magari al freddo, tenendo decine o centinaia di lavoratori per diversi minuti fermi, mentre il personale verifica tramite l’App ufficiale i Green Pass?

Va infatti ricordato, per chiudere le considerazioni pratiche, che non è consentito alcun trattamento di dati ulteriore, rispetto all’uso “manuale” della App ufficiale.

Non sono previsti totem o altri sistemi di memorizzazione, né raccolta su file excel o database di informazioni inerenti il Green Pass (“valido”/”non valido” si è visto in ambito scolastico, solo tramite piattaforma validata dal Garante, e solo con accesso limitato a pochi soggetti ben determinati).

In ultimo, va ricordato anche che la norma di cui all’art. 9-septies impone la verifica non solo verso i propri dipendenti, ma anche sui collaboratori esterni, fornitori e consulenti che accedono ai locali aziendali – in collaborazione con il datore di lavoro di questi ultimi, se presente.

In sostanza, le cautele dovranno essere molte, e ben strutturate.

_____________________________________________

Photo by LYCS Architecture on Unsplash