L’Autorità Garante della protezione dei dati, con la newsletter 472 del 25 gennaio 2021 ha comunicato che il precedente 14 gennaio, l’EDPB (l’“European Data Protection Board”) ha adottato delle nuove Linee Guida (“Guidelines 01/2021 on Examples regarding Data Breach Notification”, le “Linee Guida”) volte a supportare imprese e pubblica amministrazione nell’affrontare correttamente le violazioni dei dati e nel definire i processi di gestione del rischio.

Il documento si aggiunge alle precedenti linee guida del Gruppo di Lavoro 29 (“Guidelines on Personal data breach notification under Regulation 2016/679”) che, invece, comprendono una analisi tecnico-teorica di quanto prescritto dal Regolamento (UE) 2016/697 (il “Regolamento”) in tema di violazioni dei dati personali (o “Data Breach”).

Alla luce dei principi di sicurezza delle informazioni, richiamando l’”Opinion 3/2014” e le “Guidelines WP 250”, L’EDPB fornisce una classificazione della tipologia di violazioni attuabili, ossia:

  • «violazioni della riservatezza» – che sussistono quando si verifica una divulgazione non autorizzata o un accesso non autorizzato ai dati personali;
  • «violazioni dell’integrità» – che avvengono quando si verifica un’alterazione non autorizzata o accidentale dei dati personali;
  • «violazioni della disponibilità» – che si realizzano quando si verifica una perdita accidentale o un accesso autorizzato o una distruzione di dati personali.

Le Linee Guida, avendo l’obiettivo di fornire indicazioni utili ai Titolari e ai Responsabili del trattamento per gestire correttamente una violazione di dati personali, illustrano i comportamenti da evitare (ad es. l’omessa cifratura dei dati) e contengono numerose casistiche pratiche che hanno visto coinvolti, in diversi paesi europei, ospedali, banche, imprese e società di servizi online di vario genere.

Tali casistiche descrivono le misure preventive adottabili e suggeriscono le modalità di svolgimento del risk assessment in riferimento alla violazione subita, le potenziali misure adottabili per ridurre i rischi e gli obblighi ex lege che devono essere rispettati.

L’EDPB ha avviato una consultazione pubblica europea sul documento che terminerà il 2 marzo 2021.

Altri insights correlati:

Le FAQ hanno l’obiettivo di supportare i datori di lavoro nella corretta applicazione della normativa in vigore derivante dal combinato disposto delle disposizioni in materia di protezione dei dati personali, della disciplina in materia di salute e sicurezza all’interno dei luoghi di lavoro e della normativa emergenziale.

Il 17 febbraio 2021 l’Autorità Garante per la protezione dei dati personali (l’“Autorità”) ha pubblicato sul proprio sito istituzionale le FAQ (“Frequently Asked Questions”) riguardanti il trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo.

L’Autorità ha innanzitutto chiarito che il datore di lavoro non rientra tra i soggetti legittimati a chiedere ai dipendenti di fornire informazioni sul proprio stato vaccinale o comunque una copia dei documenti che comprovino l’avvenuta vaccinazione anti Covid-19.

Secondo l’Autorità un siffatto trattamento di dati personali sanitari da parte del datore di lavoro non sarebbe consentito né dalle vigenti disposizioni emergenziali né dalla normativa applicabile in materia di salute e sicurezza nei luoghi lavoro, ad oggi contenuta nel “Testo Unico Sulla Salute e Sicurezza Sul Lavoro” (“D.Lgs. 81/2008”).

Le FAQ chiariscono che nel contesto lavorativo neppure il consenso dello stesso lavoratore legittima tale trattamento; il consenso, in tal caso, non può costituire una valida condizione di liceità. Ciò in ragione dello squilibrio e dell’assenza di parità nel rapporto tra il datore di lavoro, titolare del trattamento, e il lavoratore, interessato, i quali non assicurano la libertà di espressione del consenso eventualmente prestato dal lavoratore stesso (sul punto cfr. considerando 43 del Regolamento UE 2016/679 in materia di protezione dei dati personali).

Allo stesso modo, a parere dell’Autorità, il datore di lavoro non può chiedere al Medico Competente di condividere l’elenco dei nominativi dei dipendenti che abbiano aderito alla campagna vaccinale in corso.

E’ il Medico Competente il solo soggetto legittimato a trattare i dati sanitari dei lavoratori, tra i quali rientrano, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica, anche le eventuali informazioni relative alla vaccinazione dei lavoratori medesimi.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore

Lo scorso 23 giugno l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha pubblicato la “Relazione annuale 2019” (la “Relazione”) contenente il bilancio di tutte le attività svolte nel corso dell’anno solare precedente.

Con la pubblicazione della Relazione, il Garante ha confermato quanto già precedentemente espresso con la nota prot. n. 7797, del 27 febbraio 2019, in merito alla qualificazione soggettiva del Medico Competente (così come definito dall’art. 38 del D.lgs. 81/2008, il “Decreto”)

Per meglio comprendere la questione, è doveroso fare una brevissima premessa.

L’articolo 4 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”) definisce le figure del Titolare del trattamento di dati personali e del Responsabile del trattamento rispettivamente come (i) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e (ii) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Sin dalle prime interpretazioni ed applicazioni del Regolamento, la dottrina ha aperto un dibattito sulla corretta qualificazione soggettiva del Medico competente in relazione ai trattamenti dei dati personali svolti da quest’ultimo nell’esecuzione delle funzioni e dei compiti assegnatigli dal Decreto.

Le tesi della dottrina

Una parte della dottrina configurava il Medico Competente come Responsabile del trattamento (ex art. 28 del Regolamento), inquadrando il datore di lavoro quale unico Titolare del trattamento e riconoscendogli il compito di determinare le finalità e i mezzi dei trattamenti effettuati dal professionista. La motivazione di tale tesi si fondava sul fatto che il rapporto tra il datore di lavoro e il Medico competente fosse regolato da uno specifico contratto con cui quest’ultimo veniva espressamente autorizzato dal primo ad effettuare i trattamenti di dati personali (ivi inclusi quelli appartenenti a categorie particolari, alias ex dati c.d. “sensibili”) dei dipendenti interessati.

Di contro, una diversa parte della dottrina qualificava il Medico competente quale autonomo Titolare del trattamento affermando che le finalità dei trattamenti effettuati fossero stabilite dal Decreto e non dal datore di lavoro.

La posizione del Garante

Tale ultima tesi è stata espressamente confermata dal Garante che qualifica il Medico competente come un autonomo Titolare del trattamento. La tipologia di trattamenti svolti dal professionista (a titolo esemplificativo, la sorveglianza sanitaria o la creazione delle cartelle sanitarie), di fatto, sono una prerogativa di quest’ultimo e non del datore di lavoro.

Ed anche sotto il profilo sanzionatorio, secondo il Garante, il quadro normativo distingue puntualmente le responsabilità che ricadono sul datore di lavoro da quelle che ricadono sul Medico competente.

Altri Insights correlati: