Il Covid-19 ha riportato alla ribalta il rapporto tra privacy individuale e sicurezza collettiva, rievocando su scala decuplicata le settimane che seguirono l’11 settembre 2001.

Come allora gli Stati sono determinati ad adottare ogni provvedimento utile alla salute (e alla sicurezza) dei loro cittadini, consapevoli che l’obiettivo potrebbe richiedere, in parte, il sacrificio di alcune facoltà individuali, anche relative alla riservatezza.

L’esperienza, del resto, insegna che le situazioni di pericolo creano la ricerca di sicurezza, rendendo accettabile che il raggiungimento dell’obiettivo possa implicare la cessione di quote di libertà.

La questione centrale di cui vorrei occuparmi è tuttavia un’altra: comprendere in quali misure ciò è accaduto in queste settimane, non solo in Italia ovviamente.

La lotta al Covid-19, vista dal profilo che qui analizzo, ha sviluppato due sistemi di contrasto al contagio.

Il nostro Paese e la maggior parte degli Stati hanno adottato, sino ad ora, un approccio basato sull’isolamento fisico delle aree di focolaio e sul trattamento dei dati sanitari nella misura indispensabile a garantire l’attuazione dei provvedimenti di salute pubblica. Il Trattamento è stato effettuato principalmente dagli organi del Ministero della salute e, da qualche giorno, anche dalle aziende nell’ambito delle misure di contrasto alla diffusione del virus negli ambienti di lavoro.

Vi è poi il sistema di difesa adottato dalla Corea del Sud (e con profili diversi da Israele)[1], basato sulla limitazione dei lockdown, sostituiti da un sistema di sorveglianza digitale, in grado di individuare i contagiati, ricostruire le loro catene di contatto e sorvegliare l’attuazione della quarantena.

Sul campo quest’ultimo metodo ha dimostrato una indiscutibile superiorità. La Corea è stata tra le prime nazioni a registrare focolai di Covid-19 nel mondo, eppure al 20 Marzo conta 8.652 contagiati, laddove nel nostro Paese, purtroppo, le persone infette sono 41.035. Il dato che rende ancor più schiacciante il confronto è quello legato ai decessi: 94 persone morte in Corea contro 3405 in Italia.

La medaglia di questo successo ha però anche un’altra faccia: il prezzo che tutto ciò ha comportato in termini di compressione dei diritti (e della riservatezza).

Lo Stato coreano ha utilizzato un sistema di cliniche mobili, installate lungo le strade, che hanno lavorato con la stessa logica del box dei team di Formula 1 durante i pit stop: lunghe code di persone hanno transitato davanti ai sanitari per ricevere la somministrazione del test. In alcuni casi è stato possibile eseguire l’operazione anche restando in macchina. In 7 settimane sono stati eseguiti all’incirca 300 mila tamponi.

Nel frattempo, i team investigativi del governo sono stati incaricati di creare una traccia digitale di ciascuna persona analizzata, all’interno della quale far confluire e interconnettere dati personali, dati sanitari, utenze telefoniche, account digitali, dati Gps, immagini di video sorveglianza, movimenti di spesa mediante app e carte di credito.

Queste tracce, attraverso un sistema efficiente di big data analysis, hanno consentito di ricostruire a ritroso la catena dei contatti degli infetti, individuare nuovi soggetti da analizzare e verificare che le persone si adeguassero alle prescrizioni che il sistema aveva loro inviato sullo smartphone a seguito del tampone.

Il metodo utilizzato in Corea è stato certamente efficacia, ma certamente è poco compatibile con la nostra cultura giuridica e la nostra stessa concezione di democrazia.

Visto sotto il profilo della tutela della riservatezza, il nostro approccio al contagio è figlio di una diversa sensibilità sul tema che si è sviluppata in Italia e in Europa. L’esempio coreano rappresenterebbe per noi l’azzeramento e la negazione delle norme che regolano la privacy e del sistema di principi costruito intorno a essa.

È certo, per quanto già detto, che in condizioni di eccezionale pericolo possa rendersi necessario derogare a qualche facoltà individuale. Anche in queste ipotesi è condizione imprescindibile che si tratti di una deroga temporanea e circoscritta alla libertà di ciascuno di noi di sottrarre ambiti della propria vita privata al controllo statale, quando tale controllo non risulti indispensabile.

In Sud Corea il trattamento dei dati ha certamente avuto un risultato eccezionale nella lotta alla diffusione del contagio ma ha determinato un’invasione capillare in molti aspetti della vita dei singoli. Aspetti che sarebbe stato preferibile non condividere con il Governo. Inoltre, non ci sono conferme del destino che questa enorme massa di dati potrà avere nel prossimo futuro, e in particolare se verrà cancellata finita l’emergenza o se sarà utilizzata ancora e magari per ulteriori scopi[2].

Questi esempi ci insegnano in ogni caso che i principi di trasparenza, di proporzionalità, di temporaneità e di coerenza del trattamento dei dati personali non sono dei semplici totem, ma costituiscono validi misuratori della liceità del trattamento, anche quando è lo Stato il titolare di questa attività.

Anche nei casi eccezionali questi principi non dovrebbero infatti essere mai derogati e ritengo che tali limitazioni non sarebbero in grado di sopravvivere nella cultura della tutela dei dati personali che si è sviluppata in Europa e in Italia in tutti questi anni.

Bilanciare la salute pubblica e la riservatezza non è certamente un compito agevole. Credo però che il nostro Paese lo stia svolgendo con attenzione in questo momento difficile, anche quando si tratti di regolare i trattamenti tra privati.

A tal proposito credo che meriti una menzione il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” adottato dal Governo e Parti Sociali il 14 marzo scorso.

Il Protocollo prevede che l’azienda debba accertare la temperatura corporea degli addetti, prima del loro ingresso all’interno dei luoghi di lavoro.

Ciò, tuttavia, senza alcuna facoltà – ritengo – per il datore di lavoro, che è titolare del trattamento del dato sanitario rilevato, di conservare queste informazioni se non per comprovare l’isolamento temporaneo della persona e la richiesta di intervento sanitario. Dunque, il dato della temperatura corporea, se inferiore ai 37.5°, deve essere istantaneo e non memorizzato.

Le aziende devono in ogni caso fornire ai propri addetti una adeguata informativa (anche orale) su questo ulteriore trattamento dei dati sanitari, esplicitando che il medesimo è finalizzato all’adozione delle misure di contenimento del Covid-19 e di fatto attuando, anche in relazione a questo particolare tipo di trattamento dei dati personali, sempre e comunque i principi di trasparenza, proporzionalità, temporaneità e coerenza.

Il trattamento dei dati personali dei lavoratori, anche nelle situazioni di emergenza, merita sempre una attenta riflessione sulle modalità da adottare e le conseguenze che ne derivano, poco prestandosi a improvvisazioni o a scelte drastiche.

---

[1] Esisterebbe, in realtà, anche il metodo utilizzato dalla Cina, che ha manifestato però tratti autoritaristici, che non permettono neppure di richiamare il concetto di privacy.

[2] Non vogliamo cadere nel tranello di una teoria del complotto, ma solamente mettere in luce un possibile rischio.

Il Covid-19 ha messo in luce l’utilità del lavoro agile, sino a qualche tempo fa ritenuto dai più un oggetto misterioso, utilizzato da manager, neomamme e freelance.

Lo smart working ha dimostrato in queste settimane di essere una valida opzione per il contenimento del contagio nonché per il mantenimento delle nostre attività lavorative e il termine è subito diventato un trend topicdi post, articoli e pubblicazioni specialistiche. Anche il Governo ha preso coscienza della utilità di questa forma di esecuzione della prestazione lavorativa, dando vita, in fase emergenziale, a condizioni di accesso più semplici alla medesima.

Il lavoro agile si è così diffuso a macchia d’olio e sta portando evidenti vantaggi alla salute dei lavoratori e alla continuità delle attività aziendali.

Attenzione però a non cadere in facili semplificazioni, dettate dalla fretta di risolvere un problema imminente. Mi riferisco, tra gli altri, a un particolare aspetto, che riguarda la tutela dei dati aziendali e personali.

Il lavoro agile, infatti, comporta che lo svolgimento di una vasta gamma di attività aziendali avvenga, ovviamente, al di fuori dei luoghi di lavoro e della infrastruttura informatica aziendale. Ciò non pone, di regola, particolari problemi: nella maggior parte delle ipotesi infatti la dislocazione della prestazione lavorativa viene realizzata mediante dispositivi aziendali, perfettamente integrati, anche sotto il profilo della sicurezza, nella rete aziendale.

In queste settimane di grande emergenza sta accadendo tuttavia che diversi smart worker abbiano iniziato a lavorare da casa utilizzando pc, tablet e smartphone personali.

È necessario quindi, a mio avviso, fare qualche riflessione sul tema del lavoro agile e della tutela dei dati aziendali, e personali di conseguenza.

La versione originaria del lavoro agile prevedeva che lo stesso fosse eseguito mediante dispositivi aziendali, che consentivano margini di garanzia circa il fatto che tutte le attività svolte da remoto rispondessero ai criteri di sicurezza ed integrità dei dati (aziendali e personali) già individuati dall’azienda. Il datore di lavoro dello smart worker è infatti anche il titolare del trattamento dei dati affidati all’azienda.

Per questo motivo quanto accade oggi, a mio avviso, potrebbe esporre i dati aziendali a maggiori possibilità di attacco. Ipotizzo infatti che lo smart worker privo di dispositivi aziendali impieghi i propri strumenti elettronici sia nell’attività lavorativa, che nella vita privata. Per questo motivo, i dati aziendali potrebbero essere esposti a maggiori rischi, provenienti, ad esempio, dalle vulnerabilità delle reti domestiche e dei device stessi o da comportamenti incauti, seppur involontari, dei lavoratori.

Infatti, l’adozione dello smart working non richiede particolari competenze tecnico-informatiche del lavoratore il quale potrebbe inconsapevolmente esporre (o aver già esposto) il proprio dispositivoa rischi in grado di coinvolgere i dati aziendali trattati nelle sessioni di lavoro agile.

Un esempio: statisticamente i dispositivi (non aziendali) potrebbero non essere aggiornati con le ultime patch di sicurezza o essere protetti solo da software reperiti gratuitamente sul web, non sempre in grado, dunque, di garantire gli standard di sicurezza richiesti all’interno di un ambiente informatico aziendale. Ancora: trattandosi di strumenti (smartphone, tablet, pc) utilizzati anche nella vita privata, non è da escludersi che alcune applicazioni di terze parti precedentemente installate non siano potenzialmente in grado di realizzare (o far realizzare da remoto) comportamenti malevoli sui dati aziendali affidati al lavoratore. Ciò senza scendere nel particolare delle vulnerabilità delle reti domestiche.

Certamente le infrastrutture aziendali sono disegnate e gestite per impedire che simili criticità possano ricadere sui serveraziendali; l’attenzione a mio parere dovrebbe essere portata anche ai singoli dispositivi personali degli smart worker e alle conseguenze che il loro coinvolgimento in atti malevoli potrebbe determinare sull’integrità di dati aziendali.

Perché preoccuparsi di questo ulteriore problema?

La risposta è semplice: il datore di lavoro è anche il titolare del trattamento dei dati aziendali. Compete a lui, dunque, adottare ogni misura utile secondo la tecnica per impedire, tra gli altri, la perdita (anche accidentale), il furto, il danneggiamento o l’accesso abusivo ai dati aziendali (il c.d. data breach), che potrebbe esporre l’azienda a sanzioni anche molto serie (le più importanti delle quali sono previste dal Regolamento europeo 679/2016 sulla protezione dei dati personali, o GDPR). Questa cautela vale a maggior ragione nelle ipotesi in cui l’azienda richieda o accetti che lo smart worker utilizzi strumenti informatici propri. Una decisione che aumenta il fattore di rischio per i dati aziendali e impone di creare, di conseguenza, le migliori condizioni di sicurezza possibili, soprattutto nel caso si tratti di dati personali.

È dunque necessario soppesare la richiesta dello smartworker di usare propri dispositivi, tenendo in debita considerazione oi profili della tutela della infrastruttura informatica e dei dati aziendali.

Che fare dunque?

Il primo passo utile potrebbe essere la revisione delle policy aziendali in tema di sicurezza informatica, integrità dei dati, trattamento dei dati personali e gestione dei dispositivi. Questo intervento aiuterà infatti a capire se la normativa aziendale in vigore è adeguata alla evoluzione e alla diffusione in azienda in queste settimane dello smart working, introducendo, se necessari, alcuni correttivi o integrazioni.

A mio parere non sarebbe indifferente, inoltre, avviare sessioni di formazione pratica, anche on line, per fornire agli smart worker novelli le informazioni utili sulla gestione della sicurezza dei dispositivi, sui comportamenti da tenere e su quelli, ovviamente, da evitare. È utile, oltre che necessario, fornire al lavoratore agile le coordinate per un uso consapevole dei dati al di fuori della struttura informatica aziendale, dotandolo, nel caso, di software di sicurezza e richiedendo l’utilizzo di piattaforme MDM (Mobile Device Management) la gestione e l’amministrazione da remoto dei dispositivi mobili.

L’utilizzo dei dispositivi privati, del resto apre anche un ulteriore problema, la possibilità, anche solo astratta, che si crei una interazione tra il sistema informatico aziendale e dati personali del lavoratore, contenuti nello strumento utilizzato in regime di lavoro agile.

Anche questo è un tema su cui torneremo con qualche approfondimento.