L’applicazione del GDPR all’interno di un cantiere, un’impresa difficile

Quando si parla di GDPR viene subito in mente il consenso, la cancellazione dei dati, le dispendiose sanzioni o i grandi data breach; si pensa subito all’archivio con le buste paga dei dipendenti da chiudere a chiave, alle foto dei bambini a scuola, all’informativa privacy da accettare; due sono gli elementi cardine su cui si fonda la raccolta, la conservazione e il trattamento di dati personali all’interno di un cantiere.

Il primo è la sicurezza: le aziende che operano all’interno di una area di cantiere devono garantire “prioritariamente” l’igiene e la sicurezza dei lavoratori e vedremo che questo comporta, da parte delle figure incaricate, la raccolta e la gestione di molteplici dati e documenti. Il secondo elemento è la responsabilità solidale: in caso di mancato versamento della parte contributiva al lavoratore ne potranno rispondere in solido tutte le aziende operanti nella filiera del cantiere, dall’esecutore alla società affidataria fino al committente. Tale responsabilità permane fino ai 24 mesi successivi alla cessazione dell’attività lavorativa della singola impresa nel cantiere.

Quindi due aspetti nettamente separati meritano un approfondimento dedicato.

La sicurezza all’interno di un cantiere

Gli aspetti di sicurezza all’interno di un cantiere sono estremamente importanti e si rifanno al Titolo IV del D. Lgs. 81/2008. È in questo Decreto che ritroviamo la definizione delle varie figure che raccolgono e trattano dati personali:

• Committente: il soggetto per conto del quale l’intera opera viene realizzata. Nel caso di appalto di opera pubblica, il committente è il soggetto titolare del potere decisionale e di spesa relativo alla gestione dell’appalto.
• Responsabile dei lavori: soggetto che può essere incaricato dal committente per svolgere i compiti ad esso attribuiti. In caso di soggetto pubblico il responsabile dei lavori è il responsabile del procedimento.
• Impresa affidataria: impresa titolare del contratto di appalto con il committente che, nell’esecuzione dell’opera appaltata, può avvalersi di imprese subappaltatrici o di lavoratori autonomi.
• Impresa esecutrice: impresa che esegue un’opera o parte di essa impegnando proprie risorse umane e materiali.

Queste le figure che, a vario titolo e in vario modo, entrano nella gestione dell’attività di cantiere. Occorre considerare che nella realtà tali figure possono duplicarsi: possono essere presenti più imprese affidatarie e, ad eccezione dei cantieri molto piccoli, una moltitudine di imprese esecutrice e sub-esecutrici. Quindi la catena e il flusso dei dati personali in realtà transita attraverso diversi titolari del trattamento.

Per comprendere appieno quali dati possono circolare e perché circolano occorre innanzitutto elencare alcune delle responsabilità in capo al committente o al responsabile dei lavori, in quanto obbligatori ai sensi dell’art. 90 e allegato XVII (e che comunque rappresentano dei minimi):

• Nominativi delle persone incaricate con specifiche mansioni
• Documento di valutazione del rischio nel quale vengono riportati i rischi e i nominativi delle persone con specifiche mansioni incaricati per l’assolvimento.
• Dichiarazioni e autocertificazioni attestanti la propria condizione formativa (sia generale che specifica) e di idoneità sanitaria alla mansione.

Questi sono, in linea di principio, i compiti e le responsabilità del committente o del responsabile dei lavori che devono essere rispettati preventivamente all’ingresso delle aziende nell’area di cantiere attraverso una serie di controlli.

Per effettuare tutti i controlli necessari e mettersi al riparo da eventuali risvolti giudiziari il committente/responsabile dei lavori e/o le imprese dovranno raccogliere una serie di documenti, il cui volume sarà tanto maggiore quanto più elevata sarà la durata del cantiere e gli uomini/giorni previsti.

Vogliamo qui uscire dalla classica disamina di tipo normativo ed entrare nel caso concreto. La domanda a cui vogliamo rispondere non è quali dati dovrebbero essere raccolti e come dovrebbero essere trattati, ma quali dati sono effettivamente raccolti in un cantiere di medie dimensioni e come effettivamente vengono trattati, per poi provare a proporre delle soluzioni concrete.

GDPR: quali dati vengono raccolti in un cantiere

Si parte chiaramente dai dati dei lavoratori impiegati in cantiere, siano essi autonomi o dipendenti delle imprese esecutrici necessari per regolamentare all’accesso al cantiere. Vengono inoltre richieste, dal committente/responsabile dei lavori e/o dall’impresa sia essa affidataria che esecutrice, l’idoneità alla mansione e gli attestati di formazione relativi ai corsi sulla sicurezza per valutare la capacità del lavoratore di eseguire uno specifico compito e di eseguirlo in totale sicurezza. Parliamo dunque di dati personali, in grandissime quantità. Il GDPR entra di diritto nella gestione di tali dati in un cantiere in quanto si applica ogniqualvolta si effettui un trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

I problemi che sorgono dal trattamento di questi dati personali e che, ancora oggi, non sono stati affrontati, sono sostanzialmente di due tipologie: chi e come vengono gestiti.

Chi gestisce i dati personali raccolti

Nella struttura piramidale introdotta dal D. Lgs. 81/2008 si innestano una miriade di attori che, per assolvere agli obblighi dettati dal decreto, dovranno trasferire tra loro i dati personali dei lavoratori. Quindi imprese affidatarie che si avvalgono di imprese esecutrici che a loro volta si avvarranno di sub-esecutrici dovranno necessariamente raccogliere e inviare i dati dei propri dipendenti all’impresa affidataria o direttamente al committente/responsabile dei lavori. Ma di imprese affidatarie potrebbero essercene più di una quindi ognuna raccoglierà i dati di sua competenza, scambiandoli e inviandoli al committente o al responsabile dei lavori, tutti documenti e dati che verranno copiati, salvati, backuppati o fotocopiati da ognuno di questi attori. Una marea di dati duplicati che solitamente vengono scambiati e conservati in formato cartaceo in ambienti, quali il “box” di cantiere, abitualmente privo delle necessarie sicurezze antintrusione e scarsamente presidiato.

In un cantiere di medie dimensioni, i dati vengono trattati da varie figure: in primis l’impresa affidataria (titolare del trattamento dei dati dei propri dipendenti) obbligata ai sensi dell’art. 97 del D. lgs 81/08 e smi e in funzione dell’allegato XVII che cita testualmente “in caso di subappalto il datore di lavoro della impresa affidataria verifica l’idoneità tecnica professionale dei subappaltatori con gli stessi criteri…”, alla trasmissione dei dati al committente/responsabile dei lavori.

Il committente/responsabile dei lavori dovrà richiedere alle imprese che a loro volta dovranno richiedere e fornire l’elenco dei dipendenti che accederanno al cantiere, comprensivi di idoneità alla mansione, attestati di formazione e quant’altro possa ritenere utile per garantire la massima sicurezza possibile nella attività di cantiere.

Questi dati verranno conservati in formato cartaceo all’interno del cantiere e duplicati, solitamente, all’interno della sede dell’impresa affidataria o del committente. Laddove presente una guardiania, solitamente gestita esternamente, anch’essa sarà destinataria dei nomi e cognomi degli autorizzati ad accedere per regolamentare l’accesso.

Procedure ovviamente enfatizzate dagli ulteriori adempimenti in ambito Covid-19 che prevedono l’obbligo, nelle sole attività di cantiere, del controllo preventivo della temperatura.

Come vengono gestiti i dati

Nei cantieri, di ogni ordine e dimensione, le modalità di gestione dei documenti è prevalentemente cartacea.

Documentazioni che passano da varie persone e da un’impresa a quella successiva e il cui punto di arrivo non è mai definibile a priori (es. guardiania in caso di controllo degli accessi). Parliamo di nomi, cognomi, indirizzi di casa, numeri di telefono e indirizzi e-mail duplicati all’infinito, fino ad arrivare a carte di identità dei dipendenti per il riconoscimento all’ingresso, codici fiscali, buste paga e i registri di ingresso e uscita. Senza contare, in questo periodo, le misurazioni della temperatura corporea o le autodichiarazioni compilate e firmate.

Nei cantieri di medie dimensioni i dati vengono trattati quasi esclusivamente in formato cartaceo. Ogni impresa affidataria o il responsabile dei lavori avrà il suo ufficio al cui interno verranno conservati i documenti e i dati dei dipendenti, da controllare ed esibire in caso di controlli. Qui sorge un grande problema di sicurezza dei dati, considerato che raramente le misure di sicurezza, anche minime, vengono garantite all’interno dei “box”.

GDPR: come identificare le figure coinvolte nel trattamento in un cantiere

Chi tra tutte queste figure è responsabile in caso di data breach? Chi è il titolare di questi dati? Chi li dovrà cancellare o anonimizzare? Sono aspetti del GDPR che meritano un particolare approfondimento, proprio per proteggere e tutelare in un cantiere i soggetti a cui quei dati si riferiscono.

La distinzione tra le varie figure, il comprendere chi tra il dedalo di imprese ricopre il ruolo di titolare è indispensabile per garantire il rispetto dei principi dettati dall’art. 5 del GDPR in cantiere, in particolare la lett. f), che stabilisce che i dati devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Chi dovrà dunque attuare e mettere in piedi le misure di sicurezza tecniche e organizzative e quali potrebbero essere tali misure?

Parimenti a quanto accade a livello di sicurezza sul lavoro, dove le varie figure si intersecano ma mai si confondono, allo stesso modo anche all’interno di un cantiere dovrebbe essere chiaro chi ha la titolarità del dato, chi risponderà in caso di violazioni, a chi si potrà rivolgere il soggetto interessato.

Parlando di dati di dipendenti appare evidente che il primo soggetto da menzionare è l’azienda, sia essa affidataria o esecutrice, che si qualificherà come titolare del dato dei propri dipendenti.

Per il rispetto della normativa su menzionata tale impresa, se esecutrice, dovrà comunicare tali dati (comunicandolo preventivamente al dipendente tramite apposita informativa) all’imprese affidataria che a sua volta, dopo attenta verifica, li trasmetterà al committente/responsabile dei lavori che li tratterà per finalità e con modalità da questo momento proprie, qualificandosi dunque come titolare autonomo. Eventuali scambi tra imprese appaltatrici o tra imprese appaltatrici e committente rientra nella medesima fattispecie.

Qualificandosi come titolari autonomi ognuno di essi dovrà adempiere e rispettare in cantiere i principi dettati dal GDPR: l’obbligo di liceità, correttezza e trasparenza; di limitazione delle finalità; di minimizzazione dei dati; di esattezza; di limitazione della conservazione; di integrità e riservatezza; di responsabilizzazione. Come rispettarli tutti per evitare problemi in caso di violazioni o di controlli?

1. Liceità, correttezza e trasparenza: per rispettare questo principio i vari titolari devono innanzitutto individuare la base giuridica che permette loro di trattare i dati personali raccolti. Gravitando intorno al D. Lgs. 81/2008 la base giuridica è rinvenibile nell’art. 6 lett. c) – obbligo legale. Per essere corretto e trasparente occorre informare, in maniera chiara, i vari interessati rispetto al trattamento che si andrà a fare, dunque informativa. Informativa che dovrà essere redatta e consegnata innanzitutto dal datore di lavoro del dipendente, informandolo che i suoi dati, per esigenze lavorative e per obblighi di legge, potranno essere comunicati a società terze. Il titolare che riceverà quei dati, dunque l’impresa o il committente, dovrà procedere a un ulteriore livello di comunicazione fornendo a tutti i dipendenti delle varie imprese esecutrici di cui tratterà i dati i propri estremi e le modalità di esercizio dei diritti sanciti dal GDPR oltre a tutte le informazioni obbligatorie ai sensi del Regolamento Europeo. Il dubbio resta sul come informare tutti: potrebbe essere inviata l’informativa alle imprese chiedendo loro di diffonderla ai vari dipendenti; potrebbe essere affissa in uno spazio comune dove i dipendenti accedono di frequente o all’ingresso dell’area cantierata; potrebbe essere consegnata direttamente al primo ingresso in cantiere. I metodi sono tanti, il risultato deve essere uno: informare adeguatamente il soggetto interessato.
2. Limitazioni delle finalità: i dati raccolti potranno essere trattati solo ed esclusivamente per raggiungere le finalità indicate dal D. Lgs. 81/2008. Tutta la gestione di quei dati dovrà essere impostata per il rispetto della normativa in questione, nessun’altra attività eccedente potrà essere realizzata.
3. Minimizzazione dei dati: quali dati sono indispensabili per rispettare il d. lgs. 81/2008? Questa la domanda che ci si deve sempre porre, la risposta determinerà quali dati si possono richiedere e quindi trattare. Tutti gli altri dati non dovranno essere richiesti o dovranno essere cancellati/oscurati appena raccolti. Tendenzialmente per velocizzare le operazioni e non sovraccaricare gli uffici, si chiede e si ottiene tutto. Questa pratica causa una eccessiva duplicazione dei dati personali. Sarebbe utile predisporre una maschera con cui raccogliere i dati veramente necessari, escludendo tutto l’eccedente.
4. Esattezza: i dati dovranno essere sempre esatti e dunque aggiornati. Le aziende affidatarie tendono sempre a conservare senza limitazione temporale tutti i dati che durante un cantiere hanno raccolto. Questo genera inevitabilmente dati obsoleti e non aggiornati. Bene richiedere periodicamente aggiornamenti alle varie imprese esecutrici, anche quando alcuni dati sono già in pancia dell’impresa affidataria;
5. Limitazione della conservazione: nota dolente per molte aziende operanti del settore. La prassi è quella di conservare tutti ciò che viene raccolto per due ordini di motivi: tranquillità di caso di controlli e non dover richiedere tutti i dati in caso di nuova collaborazione con un’impresa. Entrambe questa motivazioni sono eccessive: la sicurezza nel cantiere va rispettata durante i lavori, non successivamente, dunque bene conservarli per un determinato periodo di tempo (12 mesi al massimo). Per quanto riguarda invece la collaborazione in virtù del principio di esattezza occorre sempre richiedere tutti i dati per evitare di avere in archivio dati non più esatti, dunque occorre stabilire un congruo periodo di conservazione e rispettarlo, adottando delle procedure che permettano la cancellazione dei dati trascorso tale periodo;
6. Integrità e riservatezza: questo doppio principio è probabilmente il più difficoltoso da seguire. Tutti i dati raccolti e trattati dovranno essere sempre integri e nessuno, al di fuori del personale autorizzato, dovrà accedere a tali dati. Da qui discendono una serie di obblighi finalizzati a metterli in sicurezza indipendentemente dal loro formato. Normalmente si tende ad accumulare, all’interno dell’ufficio in cantiere, tutti i dati raccolti per poterli esibire velocemente in caso di controlli. Trattandosi però di uffici “temporanei “e promiscui, non sono pensati fin dal principio come luoghi sicuri in cui proteggere i dati. Si tende inoltre a consegnare, fotocopiare, far circolare i vari documenti (alla guardiania per controllare gli ingressi, al coordinatore dei lavori, etc.). L’impresa affidataria dovrà invece proteggere tutti gli asset, fin dalle prime fasi di predisposizione del cantiere. Agli archivi, ai registri e a tutta la documentazione dovranno essere applicate idonee misure di sicurezza tecniche e organizzative: chiusura a chiave degli archivi, conservazione idonea dei registri, individuazione e formazione dei soggetti autorizzati. Ma ancora quegli stessi dati portati sui propri server e sulle proprie postazioni informatiche dovranno essere sempre protetti: copie di backup, antivirus e firewall, password robuste sono solo alcune delle misure di sicurezza di tipo informatico che dovranno essere predisposte.
7. Responsabilizzazione: occorre sempre essere in grado di comprovare il rispetto dei principi, attraverso un’apposita documentazione o delle strutturate prassi/procedure che possano permettere al titolare di dimostrare che i principi sono rispettati. Niente viene predisposto oggi in cantiere per poter dimostrare cosa si sta facendo da un punto di vista della protezione del dato personale. Occorre invece essere in grado di dimostrare che il corso di formazione su “come” trattare i dati è stato seguito dal dipendente, che gli archivi sono protetti anche per il tramite di procedure scritte, che il registro a fine giornata viene chiuso e protetto.

Per ricapitolare:

Come tradurre questi principi nella pratica, nell’attività quotidiana? Chiaramente molto dipende dalle dimensioni del cantiere, dagli uomini/giorni e dalla durata dello stesso, ma proviamo a titolo esemplificativo a proporre alcuni accorgimenti che potrebbero aiutare le imprese che lavorano e operano in un cantiere a trattare in maniera corretta i dati personali:

Dati, tanti, tra mille rivoli diversi, ruoli poco chiari, misure di sicurezza non presenti o mal applicate, commistione di tanti attori: questa è la privacy nei cantieri analizzata da un punto di vista della sicurezza sul lavoro. Occorre dunque un rapido ripensamento della gestione dei dati personali raccolti, per evitare che un trattamento troppo “libertino” possa danneggiare i soggetti interessati, cioè i vari lavoratori, autonomi o dipendenti. Attraverso una analisi preliminare sarà possibile implementare, sin da subito, in cantiere le misure di sicurezza idonee a tutelare al meglio i dati personali, raggiungendo quel livello minimo di conformità al GDPR che garantirà alle varie aziende operanti nel cantiere di evitare sanzioni in caso di controlli o in seguito a violazioni di dati personali (data breach). Non solo, una gestione puntuale di tutte queste informazioni permetterà anche un’ottimizzazione dei tempi, una razionalizzazione delle risorse e dunque una maggiore efficienza nei processi di controllo dei vari dipendenti.

La gestione della privacy diviene dunque volano per un nuovo modo di concepire l’organizzazione, la gestione e la lavorazione di tutti i dati personali necessari al rispetto delle disposizioni contenute nel D. Lgs. 81/2008 nel pieno e costante rispetto del Regolamento Europeo 2016/679.