Articoli

App “Immuni” – Utilizzo nei luoghi di lavoro

In data 29 giugno 2020 è stata pubblicata in Gazzetta Ufficiale la Legge n. 70/2020 di conversione del Decreto Legge n. 28 del 30 aprile 2020, con il quale il Governo, nell’ambito delle misure di sanità pubblica legate all’emergenza Covid-19, ha istituito la piattaforma unica nazionale per la gestione del sistema di allerta dell’app “Immuni”, finalizzata a tutelare la salute di tutti gli individui entrati in stretto contatto con soggetti risultati positivi al Covid-19.

L’art. 6, inserito nel capo II (Misure urgenti per l’introduzione del sistema di allerta Covid-19), del sopracitato decreto statuisce che l’installazione dell’app avviene su “base volontaria” e che “il mancato utilizzo dell’applicazione (…) non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”.

Il Legislatore ha inoltre previsto che gli utenti debbano ricevere, in ossequio agli artt. 13 e 14 del GDPR, idonea informativa al fine di raggiungere una piena consapevolezza in ordine alle finalità del trattamento, alle tecniche di pseudonimizzazione utilizzate ed ai tempi di conservazione dei dati.

Quanto alla conservazione dei dati, il Legislatore ha stabilito che l’utilizzo dell’applicazione e della piattaforma siano interrotti alla data di cessazione dello stato di emergenza (allo stato proclamato fino al 31 luglio 2020, salvo proroghe) e comunque entro e non oltre il 31 dicembre, e che entro la medesima data tutti i dati personali raccolti siano cancellati o resi definitivamente anonimi.

Con provvedimento n. 95 del 1° giugno 2020 il Garante per la Protezione dei Dati Personali ha autorizzato il Ministero della Salute ad avviare il trattamento dei dati relativo al sistema di allerta Covid-19, imponendo però il rispetto di alcune prescrizioni, tra le quali l’obbligo di informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio e l’obbligo di consentire agli utenti di poter disattivare l’app attraverso una funzione facilmente accessibile.

Nel provvedimento il Garante ha chiarito che l’utilizzo su base volontaria comporta che la volontà dell’utente si debba manifestare in tutti gli aspetti del funzionamento dell’app: il download, l’installazione, la configurazione, l’attivazione del rilevatore Bluetooth, la disinstallazione ed altresì il caricamento dei propri dati relativi al risultato del tampone. Ciò significa che ogni aspetto del funzionamento dell’app si basa su una scelta personale dell’utente ed è condizionato alla prestazione del suo consenso.

Lo scorso 15 giugno l’app “Immuni” è divenuta operativa su tutto il territorio nazionale. Essa funziona sostanzialmente attraverso la memorizzazione, all’interno di un’area crittograficamente protetta del dispositivo, dei dati relativi alle interazioni tra cittadini, e sfruttando la tecnologia Bluetooth Low Energy (BLE) consente il tracciamento dei contatti senza ricorrere alla geolocalizzazione dei dispositivi degli utenti.

A seguito della piena operatività dell’app, ci si è interrogati sulle sue possibilità di utilizzo all’interno dei luoghi di lavoro e, in particolare, ci si è chiesti se soggetti, sia privati che pubblici, che rivestano la qualifica di datori di lavoro possano obbligare i lavoratori, o soggetti terzi, ad utilizzare l’app “Immuni” come condizione per accedere ai luoghi di lavoro; ciò ovviamente nell’ottica di tutela della salute e di implementazione dei protocolli anti-contagio .

A questo proposito si deve fin da subito evidenziare come qualsiasi disposizione unilaterale con la quale il datore di lavoro imponesse al lavoratore l’utilizzo dell’app “Immuni” sarebbe viziata da illegittimità. Tale imposizione violerebbe infatti il principio cardine dell’utilizzo su base volontaria, statuito a livello normativo nel D.L. 30 aprile 2020, n. 28 convertito nella Legge n. 70/2020, nonché espresso dal Garante con il provvedimento n. 95 del 1° giugno 2020, e già raccomandato dall’EDPB con le linee guida n. 4/2020.

Non solo. Tale disposizione creerebbe una discriminazione tra i lavoratori che effettuino il download e l’attivazione dell’app “Immuni” e tutti gli altri (che non potrebbero accedere al luogo di lavoro), laddove invece il Legislatore ha precisato che nessuna conseguenza pregiudizievole può derivare dal mancato utilizzo dell’app “Immuni”.

Alcune aziende (soprattutto i grandi gruppi o comunque le aziende di grandi dimensioni) hanno adottato proprie app di tracciamento, diverse ed ulteriori rispetto ad “Immuni”, che si attivano solo quando “agganciano” le reti wi-fi aziendali. La loro operatività pertanto, da un lato, è limitata al luogo di lavoro e, dall’altro lato, presenta specifiche funzioni espressamente pensate e previste per la tutela dei lavoratori (ad esempio l’app di tracciamento “UBISafe” adottata da UBIBanca verifica in tempo reale se due lavoratori sono troppo vicini ed invia loro un alert con l’invito ad allontanarsi).

Un ulteriore profilo da esaminare è il rapporto tra strumenti di lavoro di proprietà dell’azienda e utilizzo dell’app di tracciamento; a questo proposito ci si chiede se il datore di lavoro possa predisporre gli strumenti di lavoro in modo che su di essi l’app di tracciamento sia già attiva (ad esempio fornendo smartphone aziendali con l’app già scaricata). Alla luce dei principi sopra esposti e della loro rigorosa applicazione la risposta non può che essere negativa: da un lato, il principio di volontarietà impone che sia il download sia la configurazione sia l’utilizzo dell’app siano volontari, dall’altro lato, la predisposizione degli strumenti aziendali con l’app di tracciamento già funzionante creerebbe una disparità di trattamento tra i lavoratori dotati di strumenti aziendali (e perciò obbligati all’utilizzo dell’app) e tutti gli altri lavoratori (liberi di utilizzare o meno l’app).

Non è superfluo inoltre ricordare che l’utilizzo dell’app di tracciamento non potrà mai comunque tradursi in un controllo a distanza, vietato dallo Statuto dei Lavoratori.

Uno strumento che potrebbe essere utilizzato e che potrebbe assumere una nuova veste in questo panorama è l’accordo sindacale con il quale parte datoriale e le parti sociali potrebbero condividere e disciplinare delle azioni per sensibilizzare i dipendenti e promuovere l’utilizzo dell’app di tracciamento nell’ottica comune di proteggere la salute sul luogo di lavoro.

Dati di localizzazione, tracciamento dei contatti e Covid-19: le linee guida dell’EDPB

L’utilizzo di app per il tracciamento dei contatti sociali (c.d. contact tracing) pone necessariamente una serie di aspetti problematici in materia di privacy e protezione dei dati personali. Il monitoraggio sistematico e su larga scala dell’ubicazione e o dei contatti tra persone fisiche costituisce infatti una grave interferenza nella sfera della vita privata dell’individuo.

Ad oggi, in assenza di provvedimenti del Legislatore, il Commissario Straordinario per l’emergenza COVID-19, con l’ordinanza n. 10/2020, ha disposto di procedere alla stipula del contratto di concessione gratuita della licenza d’uso e di appalto di servizi gratuito con la società creatrice dell’app “Immuni”, prescelta dal Governo. Nell’ordinanza si afferma che il contact tracing è ritenuto un elemento importante all’interno di una strategia sostenibile post-emergenza per un ritorno alla normalità, in quanto tecnologia in grado di rilevare il tracciamento di prossimità in modo molto più efficiente e rapido rispetto a quello tradizionale.

Lo scorso 21 aprile il Comitato Europeo per la Protezione dei Dati (di seguito EDPB) è intervenuto adottando le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19.

Lo scopo di queste linee guida è solamente quello di fornire dei chiarimenti sulle condizioni e sui principi per un uso proporzionato dei dati di localizzazione e degli strumenti di tracciamento. Il quadro normativo in questo ambito è infatti già rappresentato dal Regolamento UE 679/2016 (GDPR) e dalla Direttiva 2002/58/CE (Direttiva E-privacy) che di per sé consentono di gestire efficacemente tutti gli aspetti relativi alla privacy a fronte alla pandemia in corso.

Con riguardo all’utilizzo dei dati relativi all’ubicazione, l’EDPB ne individua due principali fonti: quelli raccolti da fornitori di servizi di comunicazione elettronica nel corso della prestazione del servizio (come gli operatori di telecomunicazioni mobili), e quelli relativi all’ubicazione raccolti da fornitori di servizi della società dell’informazione la cui funzionalità richiede l’uso di tali dati (ad es: servizi di navigazione).

Questi dati possono essere trattati solo entro i limiti di cui agli artt. 6 e 9 della direttiva 2002/58/CE; ciò significa che il fornitore potrà comunicarli alle autorità o a terzi solo se siano stati resi anonimi ovvero, per il caso in cui non siano dati relativi al traffico, subordinatamente alla raccolta del consenso dell’utente.

L’archiviazione di queste informazioni, ai sensi dell’art. 5 della sopracitata direttiva, può poi avvenire solo se l’utente ha prestato il consenso, ai sensi degli artt. 4 e 7 del GDPR, oppure solo se la memorizzazione e/o l’accesso sono strettamente necessari al servizio esplicitamente richiesto dall’utente.

In ogni caso nelle linee guida in analisi si evidenzia come dovrebbe essere privilegiato il trattamento dei dati relativi all’ubicazione in forma anonimizzata. L’anonimizzazione consente infatti di utilizzare i dati senza limitazioni, eliminando la possibilità di collegarli ad una persona fisica identificata o identificabile con uno sforzo “ragionevole”.

Con riguardo alle app per il tracciamento dei contatti, il loro utilizzo, secondo l’EDPB, può essere legittimato solamente sulla base di un’adozione volontaria da parte degli utenti. Ciò comporta che coloro che non intendano o non possano utilizzare tali applicazioni non debbano subire alcun pregiudizio.

La realizzazione di applicazioni per il tracciamento dei contatti deve poi fondarsi sui principi di responsabilizzazione, di limitazione delle finalità di trattamento, di minimizzazione, di protezione dei dati fin dalla progettazione e di limitazione della conservazione dei dati. In applicazione di questi principi le app non dovrebbero comportare il tracciamento della posizione dei singoli utenti, bensì utilizzare le informazioni di prossimità relative agli utenti stessi. Queste informazioni, che devono essere pertinenti e strettamente necessarie, dovrebbero poi risiedere nell’apparecchiatura terminale dell’utente. Il trattamento delle informazioni così raccolte non necessita del consenso dell’utente esclusivamente laddove le operazioni di trattamento siano necessarie per consentire al fornitore dell’app di rendere il servizio esplicitamente richiesto.

L’utilizzo delle app di tracciamento può poi comportare il trattamento di dati personali relativi alla salute che come tali sono soggetti alle particolari garanzie contenute nell’art. 9 del GDPR. Il Comitato in proposito ricorda che il trattamento dei dati relativi alla salute è consentito quando è necessario per motivi di interesse pubblico nel settore della sanità pubblica (art. 9, co. II, lett. i) del GDPR) o per le finalità dell’assistenza sanitaria (art. 9, co. II, lett. h) GDPR).

In conclusione, l’EDPB chiarisce che l’attuale crisi sanitaria non dovrebbe trasformarsi in un’occasione per derogare al principio di limitazione della conservazione dei dati. La conservazione infatti dovrebbe essere limitata alla luce delle reali esigenze e della rilevanza medica dei dati personali, i quali dovrebbero essere conservati solo per la durata della crisi dovuta al COVID-19, ed al cui termine dovrebbero essere cancellati o resi anonimi.