Anche l’errore umano è riconducibile alla sfera di responsabilità del titolare del trattamento dei dati
L’Autorità Garante per la protezione dei dati personali (il “Garante”), con ordinanza di ingiunzione
del 28 aprile 2022 , ha comminato all’Istituto Nazionale per l’Assicurazione contro gli Infortuni sul
Lavoro (l'”INAIL” o l'”Istituto”), una sanzione di 50.000 euro, per aver subito 3 incidenti informatici
che hanno consentito ad alcuni utenti di accedere ai dati relativi ad altri utenti.
In particolare, l’INAIL, in qualità di Titolare di trattamento, aveva notificato al Garante, ai sensi
dell’art. 33 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”), tre
diverse violazioni di dati personali avvenute tra il 2019 e il 2020.
Violazioni queste che avevano riguardato il servizio online “Sportello Virtuale Lavoratori”, che
consente ai dipendenti incorsi in infortunio o vittime di malattie professionali di visualizzare lo stato
di avanzamento delle proprie pratiche ed i provvedimenti emanati dall’Istituto.
Dall’istruttoria avviata dal Garante è emerso, infatti, che lo “Sportello Virtuale Lavoratori” aveva
permesso ad alcuni lavoratori di consultare accidentalmente le pratiche di altri lavoratori e
visualizzare così sia informazioni personali (quali ad es. nome, cognome) che dati relativi allo stato di
salute (c.d. “dati particolari”). È stato, peraltro, verificato che una delle tre violazioni segnalate era
stata determinata da un “errore umano” il quale, come si legge nel provvedimento, “è comunque
riconducibile alla sfera di responsabilità del titolare”.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.

Per una corretta gestione di un sistema di whistleblowing è indispensabile prestare la dovuta attenzione alla protezione dei dati personali trattati.

Nel realizzare il necessario bilanciamento tra l’esigenza di riservatezza del segnalante e della segnalazione, la necessità di accertamento dell’illecito e il diritto del segnalato alla difesa e al contraddittorio, l’adozione di misure adeguate a garantire la tutela e la sicurezza delle informazioni personali rappresentano un fattore determinante per il raggiungimento di tale equilibrio.

Vittorio De Luca, Managing Partner dello Studio De Luca & Partners commenta: “Il recente provvedimento adottato dall’Autorità Garante per la privacy è solo l’ultimo dei provvedimenti adottati sul tema che, come ricorda la stessa Autorità, si inserisce in un più ampio piano ispettivo dedicato a verificare il massimo rispetto della tutela della protezione dei dati personali nell’ambito della gestione delle segnalazioni di condotte illecite. Fermo ciò, è opportuno evidenziare come una corretta gestione del «sistema whistleblowing» si inserisce anche all’interno di una efficace strategia di compliance aziendale. Implementare modelli di organizzazione, gestione e controllo costruiti a partire dai risultati di quanto emerge da una preliminare analisi dei rischi permette di ridurre sia il pericolo di commissione di reato sia il rischio di incorrere nelle pesanti sanzioni previste dalla normativa oggi applicabile. In tale contesto, occorre, quindi, adottare specifiche procedure aziendali e adeguate misure tecniche ed organizzative a tutela della protezione e della sicurezza delle informazioni di tutti i soggetti coinvolti; senza trascurare l’importanza della sensibilizzazione e della formazione tanto degli utilizzatori di tali sistemi tanto di coloro che sono incaricati di gestire e verificare le segnalazioni effettuate. Raggiungere un alto livello di consapevolezza e cultura tra la popolazione aziendale deve rappresentare uno dei primi obiettivi da raggiungere”.

Negli ultimi giorni servizi on line e siti italiani, tra cui i siti web del  Senato e del Ministero della Difesa, hanno subito un attacco informatico da parte di un gruppo  di cyber criminali russi. Vittorio De Luca, dello Studio De Luca & Partners commenta:

“Quanto accaduto dimostra come gli attacchi informatici siano all’ordine del giorno e che  nessuno può considerarsi esente da rischi. Gli attacchi alle istituzioni, infatti, fanno scalpore, ma  ormai da anni, ogni giorno sono centinaia le aziende oggetto di attenzione da parte dei  cybercrimers. Gli attacchi hanno notevoli ripercussioni sulla produttività, comportano furti di dati  e interruzione di servizi, oltre a causare danni all’immagine. Una solida sicurezza informatica è  essenziale per tutelare il patrimonio di conoscenze dell’azienda e la sua continuità operativa. Non  solo, il GDPR in materia di privacy impone alle aziende – sia di piccole che di grandi dimensioni – di effettuare un censimento dei principali rischi informatici a cui sono esposte e gli impatti che  questi rischi potrebbero avere sul proprio business. All’esito, occorre predisporre un piano di  risposta agli “incidenti”, adottando specifiche politiche e misure di sicurezza, atte a proteggere il  sistema informatico, ed eseguendo periodicamente degli audit. È fondamentale, altresì,  sensibilizzare, mediante apposite sessioni formative, i propri dipendenti sul tema della  cybersicurezza affinché possano riconoscere e fronteggiare le varie minacce. La protezione dagli  attacchi informatici agisce, in sostanza, in due fasi: una fase di prevenzione ed una fase di  protezione. È appena il caso di ricordare che, in caso di attacco riuscito, le imprese devono  informare il garante della privacy, attivando la procedura del cosiddetto data breach entro 72  ore da quando ne sono venute a conoscenza”. 

Da una parte l’esigenza di salvaguardare la salute pubblica, a maggior ragione ora che una nuova ondata pandemica va prendendo piede, dall’altra il diritto alla riservatezza garantito dal sistema normativo comunitario e nazionale. È lo scenario nel quale si trovano a fare i conti molte aziende a fronte dell’obbligo per i lavoratori di possedere ed esibire il green pass. A partire da oggi il certificato si sdoppia, distinguendo, da un lato, il c.d. green pass “rafforzato” (ossia la certificazione che spetta solo a coloro che hanno concluso l’iter vaccinale e a coloro che sono guariti dal Covid-19) dall’altro il green pass “base” (che si ottiene a fronte di un tampone con esito negativo).

Il punto di partenza, ricorda Vittorio De Luca, Managing Partner dello Studio Legale De Luca & Partners, è l’articolo 32 della Costituzione, in virtù del quale “la Repubblica tutela la salute come fondamentale diritto dell’individuo e interesse della collettività, e garantisce cure gratuite agli indigenti”. Tale disposizione deve essere letta congiuntamente all’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea che sancisce il diritto alla riservatezza quale diritto fondamentale dell’individuo. “Dunque, il delicato bilanciamento tra diritti fondamentali effettuato dal nostro legislatore è legittimo nella misura in cui il compromesso individuato, cioè l’obbligo di esibizione della certificazione verde per accedere ai luoghi di lavoro introdotto per finalità di tutela della salute pubblica, è quello che comporta il minor sacrificio degli interessi concorrenti, vale a dire quelli privacy”, spiega l’avvocato Vittorio De Luca. Guardando a tale obbligo, anche l’Autorità Garante per la protezione dei dati personali aveva espresso parere favorevole in merito allo schema di decreto con il quale è poi stato introdotto l’obbligo di green pass nei luoghi di lavoro, evidenziando come lo stesso fosse legittimo poiché teneva conto, nel rispetto della libertà di scelta in ambito vaccinale, della disciplina della protezione dei dati personali e della disciplina in vigore in materia di certificazioni verdi.

Questo vale anche per la facoltà di consegnare al datore di lavoro copia del proprio green Pass, ottenendo in cambio l’esenzione dai controlli per tutta la durata di validità del documento? Su questo l’esperto ricorda che: “Secondo l’Autorità Garante, che si è espressa con segnalazione al Parlamento e al Governo lo scorso 11 novembre, la conservazione di una copia delle certificazioni è in primo luogo in contrasto con la normativa comunitaria (Considerando n. 48 del Regolamento (UE) 2021/953), secondo la quale, qualora la certificazione non venga utilizzata per scopi medici, non ne ammette la conservazione. Inoltre, tale trattamento di dati personali, si legge nella Segnalazione, violerebbe il principio di esattezza delle informazioni oggetto di trattamento nonché il principio di riservatezza da riconoscere al lavoratore. L’Autorità avverte che la conservazione del green pass non può essere ritenuta legittima sulla base giuridica del consenso del lavoratore e l’adozione, da parte datoriale, di misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, potrebbe causare un incremento importante di oneri, anche sotto un profilo economico”. Di conseguenza, ricorda De Luca, anche se lo scopo di questa misura è meritorio (l’intento è infatti quello di semplificare la vita in azienda, evitando controlli giornalieri), “i datori di lavoro nell’applicazione concreta potrebbero trovarsi a dover porre in essere una serie di adempimenti privacy che potrebbero avere quale conseguenza proprio quella di vanificare l’intento della previsione legislativa”.

Per altro, la legge n. 165 del 19 novembre 2021 di conversione del decreto-legge 21 settembre 2021, n. 127  è intervenuta sulla verifica del green pass per i lavoratori in somministrazione, precisando che nei loro confronti il controllo viene effettuato solo dall’utilizzatore, fermo restando l’onere in capo al somministratore di informare i lavoratori circa l’obbligo del possesso e ed esibizione del green pass. “Questa precisazione, senz’altro utile, era già stata oggetto d’attenzione da parte di Assolavoro”, ricorda l’avvocato, “con riferimento a una circolare che aveva chiarito come “l’onere dell’utilizzatore sarà […] quello di verificare il possesso del Green Pass da parte del lavoratore”, rimettendo così in capo all’utilizzatore (presso cui la prestazione viene effettivamente resa) l’onere di verificare il possesso e la validità della certificazione”. La legge di conversione non si è preoccupata invece di disciplinare un’altra ipotesi, maggiormente dibattuta, relativa a chi debba controllare il green pass dei lavoratori subordinati inviati in trasferta presso soggetti terzi, quantomeno nelle ipotesi in cui tale trasferta avvenga senza il preventivo transito presso la sede di appartenenza, lasciando in tale ipotesi ancora margini di opinabilità”, conclude De Luca.

Sulla Gazzetta Ufficiale n. 246 del 14 ottobre 2021 è stato pubblicato il Decreto del Presidente del Consiglio dei Ministri 12 ottobre 2021 (il “DPCM” o il “Decreto”).

Il DPCM, integrando e aggiornando il primo Decreto dello scorso 17 giugno, reca le modalità di verifica con cui i datori di lavoro pubblici e privati possono effettuare, dal 15 ottobre, i controlli circa il possesso delle certificazioni verdi Covid-19 (“Green pass”) da parte dei dipendenti.

Nello specifico, il Decreto illustra le nuove funzionalità di verifica del Green pass che si affiancano alla app “VerificaC-19”, già in uso per l’accesso ai luoghi in cui è obbligatorio entrare con il certificato.

Nell’ambito del settore privato, la verifica del possesso del Green pass, quotidiana e automatizzata, può avvenire attraverso:

• SDK (Software Development Kit): un pacchetto di sviluppo per app che consentel’integrazione del sistema di lettura e verifica del QR code del Green pass nei sistemi di controllo agli accessi fisici, inclusi quelli di rilevazione delle presenze o della temperatura. La modalità SDK offre le stesse funzionalità dell’app di verifica “VerificaC19”;
• Portale INPS: prevista solo per i datori di lavoro con più di 50 dipendenti, consente una interazione asincrona tra il Portale istituzionale INPS e la Piattaforma nazionale-DGC. Il Portale INPS – avvalendosi dei suoi canali e delle informazioni di cui dispone su datori di lavoro e lavoratori – agisce come intermediario con la Piattaforma nazionale-DGC per la verifica del Green pass con riferimento all’elenco dei codici fiscali dei lavoratori.Il verificatore designato, pertanto, può visualizzare la validità del certificato di tutti o parte dei dipendenti. Nelle more del rilascio e dell’eventuale aggiornamento del Green Pass da parte della piattaforma nazionale DGC, i soggetti interessati possono comunque avvalersi dei documenti rilasciati, in formato cartaceo o digitale, dalle strutture sanitarie pubbliche e private, dalle farmacie, dai laboratori di analisi, dai medici di medicina generale e dai pediatri di libera scelta che attestino o refertino una delle condizioni per il suo rilascio.

Viene poi precisato che le attività di verifica interessano esclusivamente il personale effettivamente in servizio per cui è previsto l’accesso al luogo di lavoro nel giorno in cui è effettuata la verifica, escludendo i dipendenti assenti per specifiche casuali (es. ferie, malattie, permessi) o che svolgono la prestazione lavorativa in modalità agile (c.d. Smart Working).

Entrambe le predette funzionalità di verifica devono essere attivate previa richiesta del datore di lavoro e sono rese disponibili al solo personale autorizzato alla verifica per conto dello stesso.

Inoltre, il lavoratore soggetto al controllo, nel caso in cui all’esito delle verifiche effettuate con le modalità sopra descritte non risulti in possesso di un valido Green pass, ha diritto di richiedere una nuova verifica del proprio certificato al momento dell’accesso al luogo di lavoro mediante l’app “Verifica C-19”.

Il Decreto, infine, fornisce importanti chiarimenti anche in materia di protezione dei dati personali. Si precisa, in particolare, che nell’effettuare le attività di verifica il datore di lavoro:

• non dovrà raccogliere dati personali dell’intestatario;
• dovrà trattare i dati nel limite delle informazioni pertinenti e delle operazioni necessarie allo svolgersi dei controlli;
• non potrà, in alcun modo, conservare il codice a barre bidimensionale (QR Code) delle Certificazioni, nonché estrarre, consultare, registrare o comunque trattare per finalità ulteriori rispetto a quelle previste le informazioni rilevate dalla lettura dei QR code e fornite in esito ai controlli;
• dovrà informare i destinatari dei controlli circa il trattamento dei loro dati personali ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679.

Si segnala che sulle nuove indicazioni contenute nel DPCM, l’Autorità Garante ha espresso parere favorevole [doc. web. n. 9707431], confermando, in tal modo, il rispetto da parte dello stesso della disciplina in materia di protezione dei dati personali.

Altri insight correlati:

• Green pass sui luoghi di lavoro: obblighi in capo al datore di lavoro
• LO SAI CHE… È stato pubblicato in Gazzetta il Decreto che ha esteso l’obbligo del Green pass nel lavoro privato?