« Le nouveau protocole national pour la réalisation de plans d’entreprise visant à la création de centres extraordinaires de vaccination contre le SARS-CoV-2/ Covid-19 sur les lieux de travail pose de nouveaux défis mais aussi de nouvelles responsabilités pour les employeurs qui adhèrent au projet ».
Maître Vittorio De Luca, directeur associé du Cabinet d’avocats De Luca & Partners, spécialisé en droit du travail et RGDP (Règlement Général sur la Protection des Données), rappelle que « les vaccins sont en premier lieu des traitements sanitaires pour lesquels, comme le prévoit la Constitution, seul le législateur peut prévoir l’obligation d’administration ».
Déjà, le protocole du 6 avril 2021 permet que les employeurs se déclarent disponibles à mettre en place des plans d’entreprise, au sein de leurs structures, pour l’installation de centres extraordinaires de vaccination anti Covid-19, destinés aux travailleurs qui en auraient fait la demande, volontairement et librement. « Les employeurs qui décident d’adhérer à cette initiative – explique l’avocat -, ont l’opportunité de participer activement à la poursuite de la campagne de vaccination nationale, en impliquant activement leurs propres ressources et lieux de production, mais ils sont appelés à fournir des garanties appropriées en vue de la protection des données personnelles des travailleurs intéressés par cette initiative, en garantissant la sécurité et la confidentialité des informations traitées et en évitant toute forme de discrimination ».
Concernant les responsabilités de l’employeur, le « médecin compétent » joue un rôle important ; il doit être impliqué aussi bien dans la phase préliminaire, en fournissant au travailleur des informations appropriées sur les avantages, les risques liés à la vaccination et sur le type spécifique de vaccin administré, également en établissant un triage préalable en fonction de son état de santé et en ayant soin d’acquérir de la part de celui-ci un « consentement informé », que dans la phase successive : l’administration du vaccin, qu’il devra, après l’avoir administré, enregistrer au moyen des canaux et des instruments mis à disposition par les Services Sanitaires Régionaux (Ssr).
« À la lumière de cela, il semble nécessaire et opportun de rappeler ce qu’a indiqué l’Autorité Garante pour la protection des données personnelles à ce sujet », ajoute Me De Luca, en se référant à la date du 17 février 2021 dernier, quand l’Autorité a publié sur son site une Foire aux Questions portant justement sur la question du traitement des données relatives à la vaccination contre le Covid-19 dans le contexte professionnel. « Les précisions données par l’Autorité rappellent que l’employeur ne fait pas partie des personnes ayant qualité à demander aux salariés de fournir des informations sur la situation de leurs vaccinations ou une copie des documents prouvant qu’ils ont été vaccinés », explique Me De Luca, en précisant que « la seule personne ayant qualité à connaître et à traiter, de façon confidentielle, les informations sanitaires des travailleurs est le médecin compétent».
L’avocat souligne ensuite que « l’employeur ne peut même pas demander au médecin compétent de communiquer la liste des noms des travailleurs ayant adhéré à la campagne de vaccination en cours. Cela aussi bien dans le cas où la personne participerait à la campagne organisée par le Système Sanitaire National que dans le cas où il adhérerait au plan extraordinaire éventuellement organisé par l’employeur, conformément au protocole de vaccination signé le 6 avril dernier ». Me De Luca observe que « conformément à ce qui est prescrit par la réglementation actuellement en vigueur en matière de santé et de sécurité sur le lieu de travail, il devra se limiter à obtenir seulement les avis sur l’aptitude à exercer les fonctions spécifiques et les éventuelles prescriptions et/ou limitations qui seraient indiquées dans ces derniers, tels qu’ils sont décrits par le médecin compétent ».
L’avocat conclut : « Ce qui est prescrit par le nouveau protocole signé par le Ministère du Travail et des Politiques sociales et par le Ministère de la Santé, d’un commun accord avec les partenaires sociaux, pose de nouveaux défis mais, en même temps, de nouvelles responsabilités pour les employeurs qui manifestent leur disponibilité à mettre en place les plans d’entreprise qui y sont prévus, dont la réalisation, dans tous les cas, reste strictement liée à l’évaluation de facteurs tels que les coûts du plan, à la charge de l’employeur, ainsi que la disponibilité des doses de vaccins ».
Fonte: Affari & Finanza – La Repubblica.
Le 16 juillet dernier, la Cour de Justice de l’Union européenne (la « CJUE » ou la « Cour ») par son arrêt « Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18 », a invalidé la décision n° 2016/1250 et, par conséquent, l’accord conclu entre l’Union européenne et les États-Unis destiné à protéger et régir le transfert de données personnelles de citoyens de l’Union à des destinataires situés sur le territoire américain (le « Privacy Shield »).
Pour ceci, Comité européen de la protection des données (« l’EDPB ») a préparé une « Foire Aux Questions » (« FAQ ») que l’Autorité de protection italienne (« l’Autorité de protection ») a traduit en Italien.
Celles-ci prennent le soin de souligner que peuvent encore être considérés comme aptes à justifier le transfert des données personnelles à des destinataires établis hors du territoire de l’Union européenne les autres instruments prévus par le Règlement UE 2016/679 en matière de protection des données personnelles (le « Règlement »), en citant les Clauses contractuelles types (les « Standard Contractual Clauses » ou « SCC ») et les règles d’entreprise contraignantes (les « Binding Corporate Rules » ou « BCR »). Il est de plus souligné que les parties ont la responsabilité d’évaluer au cas par cas les transferts effectués étant précisé que : « le Comité européen de la protection des données est en train d’analyser l’arrêt de la Cour pour décider quelles mesures supplémentaires pourraient être mises en place en plus des SCC ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers dans lesquels les SCC ou les BCR ne pourront pas garantir seules un niveau suffisant de garanties ».
Cela dit, les FAQ renvoient à un autre instrument servant de base juridique justifiant de tels transferts, à savoir le consentement des personnes concernées. En particulier, il est bien précisé que le langage du consentement doit être simple et clair et doit informer de façon transparente les personnes concernées sur les éventuels risques qu’un transfert vers les États-Unis ou, en tout état de cause, d’autres juridictions étrangères pourrait poser.
Par souci d’exhaustivité, il est de plus signalé que les autres instruments prévus par le Règlement comme bases juridiques permettant de justifier les transferts à l’étranger sont : (i) la présence d’une Décision constatant le niveau de protection adéquat aux exigences européennes en matière de protection des données personnelles et (ii) l’adhésion à des Codes de conduite spécifiques ou, en tout état de cause, à des mécanismes de certification qui doivent être appliqués par la personne à laquelle les données sont transférées.
◊◊◊◊
En tout état de cause, à la lumière des commentaires de la Cour à travers l’arrêt commenté et des FAQ de l’EDPB, toute organisation effectuant des transferts de données vers des destinataires établis hors du territoire de l’Union doit effectuer une évaluation spécifique des traitements ainsi que des risques afférents en identifiant au cas par cas l’instrument permettant de justifier le transfert effectué.
Autres Insights:
Le 8 août dernier a été approuvé dans sa version définitive le projet de décret législatif dit « d’harmonisation » du Code de protection de la vie privée (Décret législatif n° 196/03) avec le Règlement européen (UE) 2016/679 sur la protection des données à caractère personnel (RGPD). Plus précisément, le décret stipule que les droits de la personne concernée peuvent être limités ou exclus lorsqu’ils entrent en conflit avec les exigences des lois de l’État, comme dans le cas de la lutte contre le blanchiment d’argent ou le whistleblowing (lancement d’alerte). Ce décret présente aussi certains types de délits qui ne seraient pas absorbés par le principe ne bis in idem et qui resteraient donc prévus et sanctionnés par le droit pénal du système italien. Il s’agit, entre autres : (i) du traitement illicite de données ; (ii) de la communication et de la divulgation illicites de données faisant l’objet d’un traitement à grande échelle ; (iii) de l’acquisition frauduleuse de données à caractère personnel faisant l’objet d’un traitement à grande échelle ; (iv) de la violation des dispositions en matière de contrôles à distance et aux enquêtes sur l’opinion des travailleurs. Le projet prévoit également que les affaires pendantes devant l’Autorité de contrôle et non réglée à la date du 25 mai 2018 pourront se conclure par le paiement des deux cinquièmes du montant minimal prévu pour la sanction administrative pécuniaire, dans un délai de 60 jours à compter de la date d’entrée en vigueur du décret. En revanche, en ce qui concerne les litiges futurs, le contrevenant et la partie solidairement responsable peuvent régler le litige en se conformant aux dispositions de l’Autorité de contrôle (si elles sont données) et en payant une somme correspondant à la moitié de la sanction infligée. En outre, le nouveau projet abaisse à 14 ans l’âge à partir duquel les enfants peuvent donner leur consentement directement, pour des activités sur les réseaux sociaux ou similaires (également et précisément en ce qui concerne le marketing et le profilage). Enfin, il convient de noter qu’aux fins de l’application de sanctions administratives et dans la mesure où cela est compatible avec le RGPD, au cours des huit premiers mois, il est demandé à l’Autorité de contrôle de tenir compte des difficultés de mise en œuvre des premiers mois. La publication au Journal officiel de la République italienne est attendue dans les prochains jours (semaines) : l’entrée en vigueur du décret est prévue le jour même de sa la publication.
