Con Ordinanza di Ingiunzione del 15 aprile 2021, l’Autorità Garante per la protezione dei dati personali (il ”Garante”) ha sanzionato una società operante nel settore manifatturiero per non aver informato correttamente e puntualmente i lavoratori interessati circa le caratteristiche di un sistema informatico in uso presso la stessa. Così facendo, la società ha trattato illecitamente i dati dei lavoratori andando oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato del lavoro territorialmente competente e le finalità indicate nelle informative rilasciate.
Il Garante è intervenuto a seguito del reclamo presentato dalla FIOM CGIL, su mandato di alcuni lavoratori, con cui veniva richiesto di adottare un provvedimento di accertamento e prescrittivo nei confronti della società datrice di lavoro. In particolare, veniva denunciato che il sistema in uso in azienda prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare l’attività che permetteva di archiviare i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante tutto l’arco della giornata lavorativa. Pertanto, stante la riferibilità dei dati raccolti all’attività dei singoli dipendenti a seguito dell’autenticazione con la password, attraverso tale sistema la società, a parere del sindacato, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle indicate nelle informative rilasciate.
All’esito dell’istruttoria svolta dal Garante è emerso, tra le altre, che il sistema informatico coesisteva con la precedente modalità di organizzazione delle attività di lavoro, basata sulla compilazione di moduli cartacei in cui il nominativo dei dipendenti era indicato in chiaro. I moduli venivano conservati e registrati sul software, ma senza alcuna forma di separazione, contravvenendo in questo modo a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione amministrativa, che avevano vietato espressamente l’utilizzo dei dati raccolti a fini disciplinari. Era, infatti, emerso che i dati raccolti attraverso tale strumento erano stati utilizzati per verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato nei suoi confronti.
E’ emersa, inoltre, la sussistenza di irregolarità nei tempi di conservazione dei dati così raccolti e trattati che, stando a quanto dichiarato dalla società, avrebbero dovuto essere commisurati con quanto necessario per “il monitoraggio/valutazione dei cicli produttivi”.
Alla luce delle informazioni raccolte, il Garante ha disposto la limitazione definitiva dei trattamenti effettuati mediante i dati raccolti attraverso il sistema in uso, ingiungendo la società (i) a conformare la propria organizzazione e i propri trattamenti al Regolamento (UE) 2016/679 anche aggiornando l’informativa da fornire ai dipendenti interessati, (ii) ad adottare adeguate misure di segregazione dei dati raccolti sia attraverso i form cartacei sia attraverso il software oltreché (iii) a pagare la somma di euro 40.000,00 a titolo di sanzione pecuniaria per le violazioni riscontrate.
Altri insights correlati:
L’Autorità Garante per la protezione dei dati personali (il “Garante”), il 10 dicembre 2020, ha avviato una consultazione pubblica in merito alle “Linee Guida sull’utilizzo dei cookie, o di altri strumenti di tracciamento” (le “Linee Guida”) redatte il precedente 26 ottobre.
L’intervento del Garante fa seguito alle indicazioni fornite dal Comitato dei Garanti europei (“EDPB” – “European Data Protection Borard”) nelle “Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679” del 4 maggio 2020.
I cookie sono piccole stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno del dispositivo in uso (ad esempio, Smartphone, Pc o Tablet). I cookie permettono di raccogliere informazioni e migliorare la navigazione dell’utente/interessato.
Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“GDPR”), pur non modificando direttamente la disciplina relativa a detti strumenti di tracciamento, regolamenta puntualmente il consenso al trattamento dei dati personali. In particolare, viene stabilito che il consenso deve essere fornito dagli interessati tramite una “manifestazione di volontà libera, specifica, informata e inequivocabile” (cfr. articolo 4, GDPR).
Quanto sopra pone l’attenzione, secondo il “principio dell’accountability”, sull’attuazione dei principi di protezione dei dati già dalla progettazione e per impostazioni predefinite (cd. “privacy by design e by default“), rendendo necessaria una analisi sulle corrette modalità di rilascio dell’informativa online agli utenti/interessati e di acquisizione, ove necessario, del loro consenso.
Ciò detto, Le Linee Guida, recependo quanto affermato dall’EDPB, chiariscono, tra le altre, che:
Le Linee Guida chiariscono, altresì, che ciascun Titolare del trattamento ha il dovere di fornire ai propri interessati/utenti puntuali informazioni sul trattamento effettuato con i loro dati. Informativa questa che deve essere fornita su un doppio livello: (i) informativa c.d. breve o banner che contenga il link di rinvio (ii) all’informativa estesa.
Al termine della consultazione pubblica diretta ad imprenditori, consumatori, utenti ed operatori del settore e dell’analisi, seguita dell’eventuale recepimento, delle osservazioni pervenute, l’Autorità provvederà emettere il provvedimento finale.
Altri insights correlati:
Con un provvedimento del 1° aprile 2020, l’Autorità spagnola per la protezione dei dati personali (“Agencia Española Protección Datos” – “AEPD”) ha sanzionato una società iberica di consegne a domicilio, realizzate attraverso prenotazioni su una piattaforma on line, utilizzata da migliaia di clienti, per omessa nomina del Data Protection Officer (“DPO” o “Responsabile della protezione dei dati”) ai sensi dell’articolo 37 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“Regolamento”).
La figura del DPO rappresenta uno dei profili di novità introdotti dal Regolamento. Gli articoli 37, 38 e 39, infatti, contengono, rispettivamente, le prescrizioni in merito (i) alla designazione del DPO (ii) alla posizione che tale figura assume all’interno di una organizzazione nonché (iii) all’indicazione dei compiti minimi che devono essergli assegnati tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità dei trattamenti posti in essere dal Titolare o dal Responsabile del trattamento.
Tuttavia, stando ad una interpretazione letterale del Regolamento, non tutti i Titolari o i Responsabili del trattamento sono obbligati a designare tale figura.
Tale linea interpretativa nasce dal contenuto dell’articolo 37 secondo il quale si deve procedere con la nomina del DPO ogniqualvolta: “(i) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (…)”, “(ii) le attività principali (…) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” ovvero “(iii) le attività principali (…) consistono nel trattamento, su larga scala, di categorie particolari di dati personali (…) o di dati relativi a condanne penali (…)”.
Sin dalle prime interpretazioni del Regolamento, tali ipotesi hanno intavolato numerosi dibattiti con conseguenti posizioni differenti da parte della dottrina. Le espressioni “larga scala” “monitoraggio regolare e sistematico degli interessati sul larga scala” sottendono dei profili di genericità che spesso, nell’applicazione operativa del Regolamento, possono determinare dei dubbi interpretativi.
Sul punto, il provvedimento dell’AEPD in esame assume profili di rilevanza non solo perché contiene una delle prime sanzioni erogate dall’entrata in vigore del GDPR in seguito alla rilevazione della mancata nomina del DPO ma, soprattutto, perché rappresenta un precedente nella definizione e demarcazione del concetto di “larga scala”. L’Autorità spagnola, infatti, mette in luce la rilevanza numerica dei soggetti interessati dal trattamento quale condizione utile a determinare il generico concetto di larga scala.
In ambito nazionale, fermo restando quanto prescritto dal Regolamento, il Garante per la protezione dei dati personali ha precisato come sia possibile nominare un DPO anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, tale figura. Si ricorda, infine, che la violazione degli obblighi previsti dai citati artt. 37, 38 e 39 del Regolamento comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.
Altri insights correlati:
Le FAQ del Garante sul Responsabile della Protezione dei Dati (RPD) in ambito privato
Con una nota del 16 ottobre 2019, l’Associazione dei Componenti degli Organismi di Vigilanza ex D.lgs. 231/2001 (l’“Associazione”) ha richiesto all’Autorità Garante per la Protezione dei dati personali (il “Garante”) un incontro per discutere il tema della qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza (l’“OdV”).
Tra i soggetti definiti dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “Regolamento”) e dal D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 recante disposizioni di adeguamento dell’ordinamento nazionale al Regolamento stesso (il “Codice Privacy”, ed unitamente al Regolamento la “Normativa Privacy”), vi rientrano il (i) Titolare del trattamento, definito come “la persona fisica o giuridica (…) che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”; (ii) Responsabile del trattamento, ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” e (iii) Soggetto Autorizzato al trattamento dei dati personali, ovvero “(…) chiunque agisca sotto l’autorità” del Titolare o del Responsabile.
La questione, ampiamente discussa in dottrina sin dalle prime interpretazioni del Regolamento, ha visto contrapporsi la tesi secondo la quale l’OdV, ai fini di una corretta applicazione della Normativa Privacy, dovesse essere qualificato come Titolare del trattamento avverso la contrapposta tesi che lo riteneva come un Responsabile del trattamento, ossia un soggetto terzo rispetto al Titolare ma agente per conto di quest’ultimo.
L’Associazione ha sostenuto una terza via secondo la quale l’OdV, “in quanto parte dell’impresa”, non debba essere definito né come un Titolare del trattamento né come un Responsabile ma la sua qualificazione soggettiva debba essere fatta rientrare all’interno dell’organizzazione dell’Ente che è chiamato a vigilare.
Il Garante ha chiarito che l’OdV non può essere qualificato come un autonomo Titolare del trattamento poiché non ha la facoltà di determinare i suoi stessi compiti. Questi, infatti, unitamente al loro funzionamento, ai mezzi e alle misure di sicurezza nonché all’eventuale attribuzione di risorse, vengono definiti dall’organo dirigente dell’impresa sulla base del modello organizzativo precedentemente adottato.
Secondo il Garante, inoltre, l’OdV non si qualifica nemmeno come un Responsabile esterno del trattamento poiché il Regolamento attribuisce a questi ultimi una serie di obblighi e una conseguente e diretta responsabilità nel caso in cui tali obblighi non dovessero essere rispettati. Nelle ipotesi in cui, invece, l’OdV ometta di effettuare dei controlli circa l’osservanza dei modelli organizzativi predisposti dall’Ente, la responsabilità ricade direttamente su quest’ultimo e non sull’OdV.
Fatte tali precisazioni, il Garante accoglie la tesi sostenuta dall’Associazione e chiarisce come l’OdV non è un organo distinto dall’Ente ma è parte dello stesso e a quest’ultimo è demandato il compito di definire il perimetro e le modalità di esercizio dei compiti da assegnare ad esso. Pertanto, i suoi membri, in quanto parte dell’Ente, così come previsto dagli artt. 29 del Regolamento e 2-quaterdecies del D.Lgs. 101/2018, devono essere designati come dei soggetti autorizzati al trattamento dei dati di cui vengono a conoscenza nell’esercizio delle loro funzioni e devono attenersi a delle precise istruzioni fornite loro dal Titolare.
Alla luce di quanto appena riportato, il Garante chiarisce che tali precisazioni, dedotte sulla base dei principi contenuti nella normativa privacy, non superano e non contrastano con quanto previsto dalla normativa 231 che attribuisce all’OdV autonomi poteri di iniziativa e controllo per un corretto esercizio delle sue funzioni.
Altri Insights correlati:
Il 6 maggio 2020 sono state pubblicate sul sito dell’Autorità Garante per la protezione dei dati personali (“Autorità” o “Garante”) le nuove FAQ (“Frequently Asked Questions”) contenenti indicazioni sui corretti trattamenti dei dati personali strettamente connessi al diffondersi del nuovo virus Covid-19 (“Coronavirus”), integrate il successivo 14 maggio.
Con specifico riferimento al contesto lavorativo, il Garante fornisce importanti chiarimenti in merito alla possibilità, per il datore di lavoro, di rilevare la temperatura corporea di dipendenti, clienti, fornitori o visitatori occasionali all’ingresso dei locali o delle sedi aziendali, precludendo l’accesso a coloro che manifestano una temperatura superiore ai 37,5°, così come stabilito dalla legge applicabile.
Secondo il Garante l’espressa possibilità di rilevare la temperatura corporea viene prevista dal “Protocollo di sicurezza” (“Protocollo”) condiviso dalle Parti Sociali e dal Governo, sottoscritto lo scorso 14 marzo 2020 ed aggiornato il successivo 24 aprile.
Premesso che la rilevazione della temperatura corporea associata all’identità dell’interessato, costituisce un trattamento di dati personali, l’Autorità chiarisce come il datore di lavoro possa registrare il superamento della soglia stabilita limitatamente alle situazioni in cui sia necessario documentare le ragioni che hanno impedito al dipendente l’accesso al luogo di lavoro.
Non occorre registrare il dato della temperatura corporea di clienti, fornitori o visitatori occasionali poiché, per tali soggetti, non è necessario documentare le ragioni di un eventuale diniego di accesso. Tale chiarimento viene fornito alla luce del “principio di minimizzazione” previsto dall’articolo 5, comma 1, lett. c) del Regolamento (UE) 2016/679 (“GDPR”) secondo cui “i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Il 14 maggio 2020 l’Autorità ha integrato le FAQ precedentemente condivise per chiarire se il datore di lavoro possa effettuare direttamente dei test sierologici per il Coronavirus ai propri dipendenti.
Nello specifico, si precisa come sia esclusivamente il Medico competente, o altro professionista sanitario, (i) a poter disporre l’effettuazione dei test sierologici sui dipendenti o, comunque, (ii) ad indicare l’adozione di strumenti diagnostici qualora li ritenga utili al fine di contenere la diffusione del virus, prestando, in ogni caso, attenzione alle indicazioni di volta in volta fornite dalle competenti autorità sanitarie anche relativamente all’appropriatezza e all’affidabilità degli strumenti indicati. Tali prescrizioni, si applicano anche alle visite e agli accertamenti posti in essere al fine di valutare la riammissione alle mansioni del lavoratore dopo, ad esempio, una prolungata assenza per malattia.
Ciò, secondo il Garante, lo si desume dall’espresso richiamo del paragrafo 12 del Protocollo (“12-Sorveglianza sanitaria/Medico Competente/RLS”), ove si sottolinea l’importanza della sorveglianza sanitaria. Sorveglianza questa che deve essere disposta non solo nel massimo rispetto delle misure igieniche contenute nelle indicazioni del Ministero della Salute e delle competenti autorità ma anche integrata attraverso l’informazione e la formazione che il Medico competente può fornire ai lavoratori per evitare la diffusione del contagio.
Il Medico competente, nell’ipotesi in cui disponga l’effettuazione di tali test, deve limitarsi a condividere con il datore di lavoro un mero giudizio configurante l’idoneità o la non idoneità del lavoratore interessato.
Il Garante sottolinea che il datore di lavoro
Fermo restando quanto sopra esposto, le FAQ in esame precisano la possibilità, da parte dei lavoratori, di aderire alle campagne di screening avviate e promosse dalle competenti autorità sanitarie, anche per il tramite del datore di lavoro che sia stato direttamente coinvolto dal dipartimento di prevenzione locale al fine di promuoverne l’adesione, anche sgravando i propri dipendenti circa eventuali costi economici connessi.
Resta inteso, a parere del Garante, che il Medico competente, il datore di lavoro e il Rappresentante dei Lavoratori per la Sicurezza, nel cooperare all’adozione di tutte le misure di regolamentazione necessarie al contenimento del diffondersi del Covid-19, devono prestare particolare attenzione alla normativa applicabile, alle indicazioni delle Autorità competenti e al pieno rispetto della normativa in materia di protezione dei dati personali, garantendo l’adozione di metodologie e strumenti idonei ad assicurare la dignità e la riservatezza dei soggetti interessati.
Altri insights correlati:
