Un aspetto cruciale nella gestione di un cantiere è sicuramente la responsabilità solidale che impone una serie di adempimenti di grande impatto sul trattamento di dati personali di tutti i lavoratori all’interno dell’area cantierata. Impatto che è stato, ad oggi, totalmente trascurato.
Da un punto di vista puramente normativo facciamo riferimento ad alcune norme che regolano e disciplinano la responsabilità solidale negli appalti: il D. Lgs. 81/2008, il Codice civile, il D. Lgs 276/2003 così come modificato dalla L. 35/212 e dalla L. 92/2012 e, infine, il D. Lgs. 81/2015.
Come è disciplinata la responsabilità solidale
Questo complicato dedalo di norme e codici va a disciplinare la responsabilità solidale che viene definita dall’art. 26 comma 4 del D. Lgs. 81/08: l’imprenditore committente risponde in solido con l’appaltatore, nonché con ciascuno degli eventuali subappaltatori, per tutti i danni per i quali il lavoratore, dipendente dell’appaltatore o del subappaltatore, non risulti indennizzato ad opera dell’INAIL o dell’IPSEMA. Il Codice civile, art. 1676, specifica poi che il dipendente dell’appaltatore può proporre azione direttamente contro il committente per conseguire quanto è dovuto. Tale obbligo permane per 24 mesi dalla cessazione dell’appalto (art. 29 del D. Lgs. 276/2003).
Per tradurre dal “legalese” a un linguaggio comprensibile le varie figure operanti nel cantiere, dunque committente, appaltatore ed eventuale sub-appaltatore, esecutore ed eventuale sub-esecutore, rispondono tutti in forma solidale per un periodo di due anni dalla cessazione dell’appalto di eventuali mancati pagamenti retributivi, comprese le quote di trattamento di fine rapporto, contributivi, previdenziali e i premi assicurativi dovuti in relazione al periodo di esecuzione del contratto d’appalto.
Prendiamo ad esempio un appalto di medie dimensioni, l’appaltatore (Pinco S.r.l.) appalta dei lavori edili a un esecutore (Pallino S.r.l.). L’esecutore decide di subappaltare a una ditta specializzata in idraulica (Acqua S.r.l.) l’esecuzione di alcuni lavori. Per un mese un dipendente (Mario) del sub-esecutore lavora all’interno del cantiere. Dopo poco tempo Acqua S.r.l. fallisce e il povero Mario non riceve quanto pattuito. Ed è qui che si attiva la responsabilità solidale. Per i mancati pagamenti retributivi, previdenziali e i premi assicurativi Mario può chiamare in causa la Pallino S.r.l. e la Pinco S.r.l., fino al committente finale, tutte obbligate in solido a rispondere dei mancati pagamenti.
Responsabilità solidale, dalla teoria alla pratica
All’interno di un cantiere possono transitare decine o centinaia di dipendenti di varie ditte che svolgeranno, nel corso del tempo, diverse mansioni. Ognuno di questi potrà quindi esercitare e attivare la responsabilità solidale nei confronti di tutte le altre imprese. Per tutelarsi il committente deve accertarsi, generalmente per il tramite dell’impresa affidataria, che tutti i lavoratori che transitano all’interno del cantiere, anche solo per poche ore, siano in regola con tutti i versamenti, pagamenti e contributi.
Nelle norme su citate non vi sono chiare prescrizioni sulla documentazione da controllare o da conservare, pertanto le tipologie di controlli variano da cantiere a cantiere, da committente a committente. Può essere effettuato un controllo approfondito, dove vengono non solo richieste le buste paga dei vari lavoratori ma anche l’evidenza della retribuzione mensile. Si può invece passare a un controllo a campione, analizzando la situazione retributiva e contributiva solo di alcuni lavoratori. Oppure si può optare per un controllo light, verificando quindi soltanto i pagamenti di INPS, INAIL e cassa edile.
Tante tipologie di controlli, un unico comun denominatore: una grande quantità di dati personali.
Risalire il flusso di questi dati diventa un’impresa complicata ma importantissima per tutelarli al meglio. Più il cantiere aumenta di dimensioni, più questo flusso si spezzetta in rigagnoli e rivoli. Proviamo a ricostruirlo.
Il flusso di dati
All’ultima ditta esecutrice (ultima nella filiera del cantiere) verrà dunque sicuramente richiesta la prova del corretto versamento retributivo e contributivo di tutti i lavoratori che entreranno in cantiere. Supponiamo 10 lavoratori, allora da quella ditta partiranno 10 buste paga contenenti tanti, tantissimi dati personali e, potenzialmente, dati di tipo particolare (pensiamo ad esempio a sussidi di cura o iscrizione a sindacati). Dati che potranno essere inviati direttamente all’impresa affidataria o, in alternativa, andranno a risalire la filiera: vengono inviati all’impresa o all’imprese esecutrici e poi verranno girati all’affidataria che dovrà inviarli al committente.
Parliamo chiaramente di dati digitali la cui copia rimarrà nella casella mail del mittente e sicuramente del destinatario, dati digitali che verranno poi salvati da tutti gli attori in questione. Duplicazione e successiva conservazione da parte di tanti titolari differenti che potrebbero (un “potrebbero” non tanto distante dalla realtà) conservarli per un tempo potenzialmente illimitato. Dati che verranno poi alimentati mensilmente dai cedolini inviati per dimostrare il corretto versamento contributivo e retributivo.
L’impresa affidataria, destinatario “naturale” di questi dati, conserverà sicuramente questo volume di documenti all’interno dei suoi sistemi per un periodo minimo di due anni ma, generalmente, non vengono più eliminati. Le ragioni sono le classiche: “se dovessimo lavorare con quella specifica impresa abbiamo già tutto” e, in seconda battuta, “in caso di controlli vogliamo essere tranquilli”.
Responsabilità solidale, le figure coinvolte nel trattamento dei dati
Da un punto di vista prettamente legato alla privacy, ognuno di questi attori si qualificherà come titolare del trattamento, potendo autonomamente determinare le modalità e le finalità del trattamento in questione. Questo si traduce in una generale responsabilizzazione di tutte le imprese coinvolte nella responsabilità solidale, guardiamole con ordine.
Impresa esecutrice per cui il lavoratore è dipendente
L’impresa esecutrice per cui il lavoratore presta la sua opera è il Titolare dei dati del dipendente, colui che per ragioni lavorative raccoglie, in fase di assunzione, tutti i dati del lavoratore ed elabora la busta paga per la corretta gestione dello stesso. Oltre a tutti i classici oneri informativi e di corretto trattamento dei dati questa impresa dovrà preoccuparsi di un aspetto fondamentale: cosa è opportuno trasmettere all’impresa affidataria in seguito a richiesta legata alla responsabilità solidale. In questa circostanza l’impresa esecutrice si trova in una posizione di “sudditanza” rispetto all’impresa affidataria, dunque sarà indotta, per ragioni lavorative, ad assolvere alle richieste che provengono “dall’alto”, cioè dall’impresa affidataria o direttamente dal committente.
Occorre uscire da questa concezione poiché la responsabilità di una violazione del dato personale ricade sempre sul titolare, dunque sull’impresa esecutrice. Analizzare in questo frangente la disciplina del data breach (violazione del dato personale) è fondamentale per comprendere i rischi a cui ci si espone inviando, senza alcuna analisi preliminare, dati personali verso l’esterno. Occorre specificare innanzitutto che vi sono varie tipologie e diverse forme di violazione, quella che riguarda questo contesto è la perdita di riservatezza: qualcuno che non dovrebbe avere l’accesso ai dati personali è riuscito a ottenerlo.
La definizione di perdita di riservatezza
I dati personali che il dipendente fornisce alla sua azienda (nome e cognome, coordinate bancarie, etc.) o che comunque vengono generati durante l’attività lavorativa (ad esempio la busta paga) possono essere trattati (e dunque visualizzati/consultati) soltanto dai soggetti a ciò autorizzati (fondamentalmente i dipendenti dell’azienda). Alcuni dati possono essere trasmessi quando questo è giustificato da una legge, un regolamento o una norma. Nel caso della responsabilità solidale chiaramente alcuni dati devono essere comunicati all’impresa affidataria ma in un’ottica di non eccedenza dovranno essere filtrati da quelli non necessari. All’impresa affidataria interessa sapere se il lavoratore è stato correttamente retribuito, non interessa in alcun modo conoscere l’iscrizione ad un sindacato o la cessione del quinto dello stesso lavoratore. Far conoscere questi dati a un soggetto non autorizzato a riceverli costituisce, a tutti gli effetti, un data breach.
Attrezzarsi dunque con una “maschera” di cedolino correttamente anonimizzato che quindi esclude dalla comunicazione dati eccedenti rispetto a quelli necessari alla disciplina della responsabilità solidale potrebbe fare la differenza tra una violazione di dati e un corretto trattamento. Occorre sempre tenere in considerazione che di una violazione non risponde mai il destinatario ma il mittente, dunque in caso di controlli o segnalazioni è l’impresa che ha comunicato i dati che dovrà dimostrare la sua accountability, ossia la sua corretta compliance al GDPR.
Oltre a questo aspetto occorre prestare particolare attenzione alla fase di invio dei dati, cancellando tempestivamente gli allegati dalla posta inviata per evitare l’eccessiva duplicazione di documenti delicati.
Impresa Affidataria/Committente
L’impresa affidataria (o in alcuni casi il committente) si qualifica come Titolare che, per assolvere agli obblighi su menzionati, richiede i dati alle imprese operanti all’interno del cantiere. Il trasferimento è legittimato dunque da un obbligo di legge a cui soggiacciono tutti gli attori coinvolti. Non essendo tuttavia presente un vero e proprio elenco di documenti da dover o poter richiedere, l’impresa affidataria (o il committente) non può richiedere tutti i dati presenti all’interno della busta paga. Per il principio di non eccedenza e di proporzionalità, l’impresa affidataria (o il committente) dovrà richiedere e conseguentemente trattare solo i dati strettamente necessari per l’assolvimento degli obblighi dettati nel contesto della responsabilità solidale.
Anche qui occorre dunque minimizzare i dati richiesti rigettando eventuali dati in eccesso. Per farlo sarebbe sufficiente predisporre, come nella precedenti ipotesi, una “maschera” di busta paga da richiedere per indicare all’azienda esecutrice quali dati dovrà inviare e quali invece anonimizzare. In questo modo si disciplina la corretta acquisizione dei dati personali strettamente necessari all’assolvimento degli obblighi legali e regolamentari.
Da questo momento l’impresa affidataria o il committente che li riceve ne diventa titolare a tutti gli effetti e dovrà rispettare tutti i principi dettati dal Regolamento Europeo 2016/679, il GDPR.
I principi più impattanti in questa fattispecie sono sicuramente la limitazione del tempo di conservazione e la garanzia di integrità e riservatezza, vediamoli nel dettaglio:
- Limitazione del periodo di conservazione
I dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. La finalità è sicuramente la tutela del committente da eventuali inadempienze delle varie imprese operanti sul cantiere. Considerato che l’art. 29 del D. Lgs. 276/2003 sancisce un periodo massimo di 24 mesi dal termine del cantiere per poter esercitare o subire la responsabilità solidale allora i dati dovranno essere necessariamente conservati per un periodo di 24 mesi. Come farlo lo stabilirà l’azienda in base ai sistemi utilizzati. Potrebbe essere utile, ad esempio, denominare le varie cartelle in cui verranno conservati i dati in base al mese di chiusura del cantiere. In questo modo periodicamente si potranno dedicare pochi minuti per cancellare tutti i documenti del cantiere la cui chiusura ha superato i 24 mesi.
- Integrità e riservatezza
Per rispettare il principio di integrità e riservatezza occorre adottare, in base ai sistemi e agli strumenti utilizzati, le misure tecniche e organizzative idonee a tutelare i dati da accessi non autorizzati, perdite o modifiche illecite. Alcune misure potrebbero essere le seguenti:
- Individuazione chiara e puntuale dei soggetti destinati a trattare i dati;
- Formazione di tali soggetti sulle tematiche privacy;
- Cartelle sul server ad accesso dedicato dei soggetti autorizzati;
- Documenti cartacei (se presenti) chiusi a chiave e protetti da accessi non autorizzati;
- Server e strumenti informatici adeguatamente protetti: password robusta di accesso e periodicamente modificata, antivirus e firewall costantemente aggiornati, gruppi di continuità e stabilizzatori presenti;
- Copie di backup dei dati per evitare perdite;
- Procedura operativa per la gestione dei data breach;
- Procedura per la gestione degli autorizzati: assunzioni, dimissioni e cambio di mansione;
- Cancellazione puntuale di allegati presenti nell’account di posta elettronica.
Queste sono alcune delle misure assolutamente indispensabili per proteggere adeguatamente i dati personali.
Conclusioni
La privacy e il GDPR sono ormai aspetti comuni nella vita di tutti i giorni. Numerosi enti, pubblici e privati, hanno avviato un percorso di adeguamento al Regolamento Europeo 2016/679, altri sono in difficoltà, altri lo ignorano accettando il rischio. Alcuni settori sono stati tuttavia totalmente dimenticati o trascurati. Uno di questi è sicuramente il cantiere: garantire la sicurezza all’interno dell’area e rispettare la normativa in materia di responsabilità solidale determina un flusso di dati personali importante. Nessuna informativa, nessuna o poca attenzione alla tutela del dato, duplicazione infinta dei documenti, principi trascurati, fino a oggi si è in pratica lavorato e si continua a lavorare in questo modo.
Occorre assolutamente un cambio di passo. Considerare i dati dei propri dipendenti, le loro buste paga e i cedolini, i loro attestati o certificati come dati alla mercé di chiunque o dati con poca importanza non è più compatibile con la nuova disciplina privacy. Sono sufficienti pochi passaggi, alcuni accorgimenti per poter aumentare considerevolmente la sicurezza di quei dati, evitarne la diffusione, gestirli in maniera corretta.
La differenza tra una sanzione e un trattamento corretto, tra una violazione del dato e una gestione accorta è minima: richiede un passo, almeno un primo passo verso l’adeguamento al GDPR, un primo passo per iniziare un percorso che mira non a bloccare l’attività lavorativa ma a renderla rispettosa della privacy di tutti gli attori coinvolti, per tutelare il dipendente e l’azienda.
Il cantiere, di qualunque dimensione, dovrà necessariamente non essere più un’area “GDPR free”.