Lo scorso 23 giugno l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha pubblicato la “Relazione annuale 2019” (la “Relazione”) contenente il bilancio di tutte le attività svolte nel corso dell’anno solare precedente.
Con la pubblicazione della Relazione, il Garante ha confermato quanto già precedentemente espresso con la nota prot. n. 7797, del 27 febbraio 2019, in merito alla qualificazione soggettiva del Medico Competente (così come definito dall’art. 38 del D.lgs. 81/2008, il “Decreto”)
Per meglio comprendere la questione, è doveroso fare una brevissima premessa.
L’articolo 4 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”) definisce le figure del Titolare del trattamento di dati personali e del Responsabile del trattamento rispettivamente come (i) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e (ii) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Sin dalle prime interpretazioni ed applicazioni del Regolamento, la dottrina ha aperto un dibattito sulla corretta qualificazione soggettiva del Medico competente in relazione ai trattamenti dei dati personali svolti da quest’ultimo nell’esecuzione delle funzioni e dei compiti assegnatigli dal Decreto.
Una parte della dottrina configurava il Medico Competente come Responsabile del trattamento (ex art. 28 del Regolamento), inquadrando il datore di lavoro quale unico Titolare del trattamento e riconoscendogli il compito di determinare le finalità e i mezzi dei trattamenti effettuati dal professionista. La motivazione di tale tesi si fondava sul fatto che il rapporto tra il datore di lavoro e il Medico competente fosse regolato da uno specifico contratto con cui quest’ultimo veniva espressamente autorizzato dal primo ad effettuare i trattamenti di dati personali (ivi inclusi quelli appartenenti a categorie particolari, alias ex dati c.d. “sensibili”) dei dipendenti interessati.
Di contro, una diversa parte della dottrina qualificava il Medico competente quale autonomo Titolare del trattamento affermando che le finalità dei trattamenti effettuati fossero stabilite dal Decreto e non dal datore di lavoro.
Tale ultima tesi è stata espressamente confermata dal Garante che qualifica il Medico competente come un autonomo Titolare del trattamento. La tipologia di trattamenti svolti dal professionista (a titolo esemplificativo, la sorveglianza sanitaria o la creazione delle cartelle sanitarie), di fatto, sono una prerogativa di quest’ultimo e non del datore di lavoro.
Ed anche sotto il profilo sanzionatorio, secondo il Garante, il quadro normativo distingue puntualmente le responsabilità che ricadono sul datore di lavoro da quelle che ricadono sul Medico competente.
Altri Insights correlati:
Lo scorso 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) con la sentenza “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, ha dichiarato invalida la Decisione n. 2016/1250 e, di conseguenza, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”)“.
Sul punto il Comitato Europeo per la Protezione dei Dati (“European Data Protection Board” o “EDPB”) ha predisposto delle “Frequently Asked Questions” (“FAQ”) che l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha provveduto a tradurre nella lingua italiana.
Con esse si sottolinea espressamente che possono essere ancora considerati strumenti adeguati a rendere legittimo il trasferimento dei dati personali verso destinatari stabiliti al di fuori del territorio dell’Unione Europea gli altri strumenti previsti dal Regolamento UE 2016/679 in materia di protezione dei dati personali (“Regolamento”), citando le Clausole Contrattuali Standard (“Standard Contractual Clauses” o “SCC”) e le Norme Vincolanti d’Impresa (“Binding Corporate Rules” o “BCR”). Viene evidenziato, inoltre, che è responsabilità delle parti valutare caso per caso i trasferimenti effettuati con la precisazione che: “Al momento il Comitato europeo per la protezione dei dati sta analizzando la sentenza della Corte per stabilire quali misure supplementari potrebbero essere fornite in aggiunta alle SCC o alle BCR, siano esse misure giuridiche, tecniche o organizzative, per trasferire dati verso paesi terzi in cui le SCC o le BCR non potranno assicurare isolatamente un livello sufficiente di garanzie”.
Ciò detto, le FAQ richiamano un ulteriore strumento quale base giuridica che legittima tali trasferimenti, ossia il consenso degli interessati. In particolare, si ribadisce che il linguaggio del consenso deve essere semplice e chiaro e deve informare in modo trasparente gli interessati sui possibili rischi che un trasferimento verso gli Stati Uniti, o comunque altre giurisdizioni estere, potrebbe comportare.
Per completezza di esposizione, si segnala che ulteriori strumenti previsti dal Regolamento quali basi giuridiche atte a legittimare i trasferimenti all’estero sono: (i) la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali e (ii) l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto a cui i dati vengono trasferiti.
◊◊◊◊
In ogni caso, alla luce di quanto espresso dalla Corte con la sentenza in esame nonché dalle FAQ dell’EDPB, sarà compito di ciascuna organizzazione che effettua trasferimenti di dati verso destinatari stabiliti fuori dal territorio dell’Unione effettuare specifiche valutazioni dei trattamenti nonché dei rischi relativi individuando di volta in volta lo strumento adeguato a legittimazione del trasferimento svolto.
Altri Insights correlati:
Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA
Il Quotidiano del Lavoro pubblica un articolo a firma di Vittorio De Luca, Antonella Iacobellis e Martina De Angeli a proposito di un recente provvedimento dell’Autorità Garante per la protezione dei dati personali, che sanziona un ateneo italiano per non aver adeguatamente tutelato, affidandosi alle procedure di sicurezza scelte dal proprio fornitore software, i dati personali di due whistleblowers.
Clicca qui per leggere il DLP insights relativo alla vicenda e le considerazioni dello Studio.
L’Autorità Garante per la protezione dei dati personali con il Provvedimento n. 17 del 23 gennaio 2020, nel sanzionare un Ateneo italiano per non aver adeguatamente tutelato la riservatezza dei dati identificativi di due soggetti – i whistleblowers – che avevano segnalato possibili comportamenti illeciti, ha ribadito la sussistenza dell’obbligo in capo al datore di lavoro “Titolare del trattamento” (ai sensi dell’articolo 4, del Regolamento UE 2016/679, il “GDPR”) di porre in essere misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali trattati (cfr. Newsletter del Garante n. 462 del 18 febbraio 2020).
Nello specifico, all’epoca dei fatti, l’Ateneo nell’adeguarsi agli obblighi di adeguata tutela del dipendente che segnala condotte illecite dall’interno dell’ambiente di lavoro (il c.d. “whistleblowing” introdotto nell’ordinamento italiano con il decreto legislativo n. 165 del 30 marzo 2001), aveva scelto di utilizzare una soluzione tecnologica. In questo caso, per garantire la protezione dell’acquisizione e della gestione delle segnalazioni degli illeciti, l’Ateneo era ricorso all’utilizzo di una piattaforma software fornitagli da un soggetto terzo esterno rispetto all’organizzazione dell’Ateneo stesso.
Durante una modifica con contestuale aggiornamento della piattaforma software, si verificava una c.d. sovrascrittura dei permessi di accesso che aveva comportato l’esposizione dei dati personali dei due whistleblowers, su alcuni motori di ricerca accessibili e visualizzabili da chiunque effettuasse una ricerca tramite Internet.
A fronte di quanto sopra, l’Ateneo notificava all’Autorità Garante per la protezione dei dati personali una violazione – c.d. data breach – con la quale si denunciava la dispersione dei dati personali comuni dei due whistleblowers sulla rete pubblica, resi in tal modo potenzialmente consultabili da chiunque.
L’attività istruttoria, posta in essere dall’Autorità Garante per la protezione dei dati personali, ha rilevato che l’Ateneo non aveva adottato adeguati accorgimenti tecnici ed organizzativi finalizzati a garantire “le esigenze di sicurezza e riservatezza proprie della gestione dei dati nell’ambito delle procedure di whistleblowing”, non impostando, peraltro, una corretta procedura per il controllo degli accessi che avrebbe dovuto limitare il trattamento dei dati al personale autorizzato.
L’Ateneo, infatti, si era limitato a fare proprie le misure di sicurezza scelte dal fornitore del software. Tuttavia, predette misure di sicurezza non erano adeguate e idonee, non prevedendo accorgimenti quali la cifratura o l’adozione di un protocollo di comunicazione sicura delle informazioni e consentendo in tal modo la violazione della riservatezza e dell’integrità dei dati personali trattati e la non corretta conservazione e accessibilità degli stessi.
In particolare, l’Autorità Garante per la protezione dei dati personali sosteneva che “Con riguardo all’applicativo in questione, tenuto conto della natura, dell’oggetto e della finalità del trattamento nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall’Ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (RPCT ed eventuali suoi collaboratori”.
Clicca qui per continuare a leggere l’articolo.
Il 6 settembre 2019, l’European Data Protection Board (“EDPB”) ha terminato i lavori di consultazione pubblica ai quali è stato sottoposto il documento contenente il draft delle prossime Linee Guida n. 3/2019 riguardanti la videosorveglianza (“Guidelines 3/2019 on processing of personal data through video devices”).
Le immagini e le tracce audio che vengono trattate attraverso l’utilizzo dei sistemi di videosorveglianza, rientrano nella definizione di “dati personali” in quanto permettono l’identificazione, diretta o indiretta, di una persona fisica. I trattamenti effettuati riguardo a tali informazioni, pertanto, devono essere pienamente conformi al Regolamento EU 2016/679 – GDPR – in materia di protezione dei dati personali e (nel rispetto della normativa italiana) e al D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 recante norme di adeguamento dell’ordinamento nazionale al Regolamento stesso.
Lo scopo che il Comitato Europeo vuole raggiungere con l’emanazione di queste nuove Linee Guida, è quello di garantire un’applicazione uniforme della normativa in materia di videosorveglianza all’interno di tutti gli Stati Membri dell’Unione Europea.
Ciò premesso, occorre innanzitutto precisare come siano di fondamentale importanza le precisazioni riportate nel draft riguardanti la base giuridica sulla quale si fonda l’installazione dell’impianto.
In linea teorica, è possibile che ricorrano tutte le condizioni di liceità previste dall’articolo 6, par. 1), del GDPR anche se, quelle più applicate nella prassi, sono il legittimo interesse che il Titolare del trattamento necessita di perseguire (art. 6, par. 1), lett. f), GDPR) ovvero l’esecuzione di un compito di interesse pubblico (art. 6, par. 1), lett. e), GDPR).
Il Comitato Europeo chiarisce come il Titolare del trattamento, dovrà specificare dettagliatamente sia la base giuridica sulla quale si fondano i trattamenti posti in essere, sia il dettaglio delle finalità perseguite. Un sistema basato sulla “sicurezza” nella sua nozione più semplice e generica, infatti, non rappresenta più una finalità sufficientemente dettagliata.
Un’altra importante precisazione riguarda le riprese basate sul legittimo interesse. Il trattamento è considerato lecito solamente se tale base giuridica rimane sempre reale, attuale e dimostrabile.
L’Autorità Garante italiana, in diverse occasioni, ha raccomandato ai Titolari del trattamento di utilizzare lo strumento della videosorveglianza in maniera proporzionata e non eccedente e tale approccio è possibile ritrovarlo nel draft delle prossime Linee Guida. Prima di procedere con l’installazione di tali impianti, infatti, il Titolare del trattamento dovrà utilizzare altri strumenti (quali, ad esempio, il supporto da parte di apposito personale addetto alla sicurezza, la dotazione di cancelli telecomandati o di adeguata illuminazione) e dimostrare l’effettiva necessità dell’adozione di un sistema di videosorveglianza. Ciò, prestando particolare attenzione a limitare e definire, sia temporalmente sia geograficamente, le riprese in modo da rispettare costantemente il principio di minimizzazione dei dati personali di cui all’art. 5, punto 1, lettera c) del GDPR.
Ad ogni Titolare del trattamento, viene richiesto di effettuare un bilanciamento tra gli interessi coinvolti analizzando, caso per caso, il legittimo interesse del Titolare da un lato e i diritti e le libertà fondamentali degli interessati dall’altro.
In considerazione di quando sopra, si attende la pubblicazione del testo definitivo delle Linee Guida da parte dell’EDPB le quali rappresentano non solo il primo documento che applica i principi del GDPR ai trattamenti effettuati tramite video riprese ma anche, per l’ordinamento nazionale, il primo nuovo documento in materia dopo il “Provvedimento in materia di videosorveglianza” emanato dal Garante l’08 aprile 2010.
