Quali sono i requisiti richiesti dal regolamento UE 679/2016 per l’incarico del responsabile del trattamento dei dati personali?
In caso di dati sensibili, soprattutto sulla salute, occorrono requisiti specifici?
Emergono criticità in riferimento alla normativa relativa al c.d. Green Pass e all’obbligo vaccinale per il SARS-CoV-2 da ultimo previsti in ambito lavorativo?
Si è già visto in precedenza che per la nomina del responsabile del trattamento dei dati personali il regolamento UE 679/2016 ha disposto delle norme chiare, univoche e vincolanti in ordine alla necessaria sussistenza di requisiti sostanziali e formali.
Trattasi di norme inderogabili poiché previste a garanzia del nucleo primario del diritto alla privacy come diritto fondamentale.
Tali norme vanno, pertanto, considerate in combinazione con le ulteriori norme limitative del trattamento dei dati sensibili, soprattutto per quanto riguarda i dati sulla salute.
È, pertanto, innegabile che tutti coloro i quali hanno il potere di trattare i dati personali (in particolare il titolare e il responsabile) devono trovarsi nelle condizioni di fornire garanzie sufficienti di tutela degli stessi dati.
Si ricordino la potenziale gravità degli effetti che può determinare una violazione dei dati personali e i correlati obblighi di informativa attribuiti al titolare.
In proposito è sufficiente riportare quanto precisato al considerando 85 del Regolamento UE 679/2016: “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo”.
Alla luce di tutto quanto sopra e considerato che l’attuale decretazione d’urgenza sugli obblighi lavorativi in riferimento al COVID-19 apre le porte ad un traffico generalizzato e indiscriminato di una imponente mole di dati personali sulla salute, appare quantomai opportuno rispettare il dettato della normativa europea a tutela del trattamento dei dati sanitari sensibili.
Indice:
- Che requisiti deve avere il responsabile del trattamento dei dati personali?
- Sussistono requisiti specifici necessari perché il responsabile tratti dati sensibili?
- Quali requisiti sono necessari per legittimare il responsabile al trattamento dei dati sulla salute?
- Quali sono i requisiti necessari del contratto o atto giuridico che conferisce l’incarico del trattamento al responsabile?
- Riflessioni in riferimento alla normativa relativa alla certificazione verde COVID-19 e agli obblighi vaccinali per il SARS-CoV-2 in ambito lavorativo.
- Chi sono il titolare e i responsabili in riferimento alla normativa relativa a certificazioni COVID-19 (Green Pass e obblighi vaccinali)?
- Valutazioni in ordine ai requisiti dell’incarico di responsabile previsti dal regolamento UE 679/2016.
- Necessità di un’interpretazione compatibile con il Regolamento UE 679/2016.
- Eventuali profili di responsabilità civile e penale.
1. Che requisiti deve avere il responsabile del trattamento dei dati personali?
Per approfondire la figura del responsabile del trattamento dei dati personali occorre considerare le norme dettagliatamente contenute nell’art. 28 del regolamento UE 679/2016.
In esso si legge: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Se ne deduce che il responsabile debba possedere gli stessi requisiti che deve avere il titolare per potersi ritenere legittimato al trattamento di un certo tipo di dati.
2. Sussistono requisiti specifici necessari perché il responsabile tratti dati sensibili?
Il dato è desumibile anche dal paragrafo 3, art. 28 regolamento UE 679/2016 laddove si specifica che il contratto o atto giuridico di conferimento dell’incarico debba prevedere che il responsabile del trattamento, tra le altre cose, “garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza”.
Laddove, quindi, sono richiesti requisiti specifici a garanzia di riservatezza per il trattamento di categorie di dati particolarmente sensibili, è necessario che essi siano posseduti dal responsabile affinché questi possa essere legittimamente autorizzato.
In caso contrario il trattamento sarà da ritenersi illecito.
3. Quali requisiti sono necessari per legittimare il responsabile al trattamento dei dati sulla salute?
Nel caso del trattamento dei dati sulla salute deve ritenersi applicabile anche al responsabile la norma di cui all’art. 9, par. 3, regolamento UE 679/2016.
Si ricordi in proposito che i dati sulla salute possono essere “trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale”.
Qualora l’incarico riguardi questo tipo di dati, il responsabile dovrà quindi necessariamente essere un professionista soggetto al segreto professionale.
In difetto, l’incarico e il relativo trattamento devono ritenersi illeciti.
Si richiama in proposito quanto disposto dall’art. 37, comma 5, Regolamento UE citato proprio in riferimento a dati trattati da pubbliche autorità o su larga scala o relativi a particolari categorie: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Per approfondimenti si rimanda a questo articolo e, con specifico riferimento ai dati sulla salute dei lavoratori, anche a questo articolo.
4. Quali sono i requisiti necessari del contratto o atto giuridico che conferisce l’incarico del trattamento al responsabile?
Di talché e in sintesi, alla luce di quanto sopra ed in considerazione di quanto disposto dall’art. 28 Regolamento UE 679/2016, il contratto o atto giuridico di conferimento dell’incarico di trattamento dei dati, per essere lecito e valido, dovrà avere i seguenti requisiti:
- Forma scritta avente data certa;
- Possesso da parte del responsabile di tutti i requisiti tecnici e professionali richiesti in riferimento alla natura specifica dei dati da trattare;
- Attribuzione al responsabile dei poteri di organizzazione, gestione e controllo necessari per la natura specifica delle funzioni richieste.
A ciò si aggiunga l’obbligo da parte del titolare, ai sensi dell’art. 37 comma 7 del citato regolamento UE, di comunicare la nomina del responsabile all’autorità di controllo che, in riferimento allo stato italiano, è rappresentata dal Garante della privacy, dalla Commissione Europea e dal Comitato Europeo per la protezione dei dati.
Il link relativo alla comunicazione al Garante della Privacy del responsabile del trattamento è reperibile alla pagina “Risorse e utilità” di questo blog.
5. Riflessioni in riferimento alla normativa relativa alla certificazione verde COVID-19 e agli obblighi vaccinali per il SARS-CoV-2 in ambito lavorativo.
Date le su esposte premesse, qualche breve riflessione va fatta in riferimento alla normativa relativa all’applicazione dell’obbligo di certificazione verde COVID.19 (c.d. Green Pass) o di certificazione vaccinale anti SARS-CoV-2 in ambito lavorativo.
Si ricordi, in proposito, che i controlli delle citate certificazioni, in base agli ultimi decreti legge emanati, sono effettuati direttamente dai datori di lavoro pubblici o privati.
6. Chi sono il titolare e i responsabili in riferimento alla normativa relativa a certificazioni COVID-19 (Green Pass e obblighi vaccinali)?
Com’è noto, secondo quanto specificato dal Regolamento UE 953/2021, art. 10, par. 6 il titolare del trattamento dei dati relativi alle citate certificazioni è l’ente che le ha emesse e cioè il Ministero della Salute.
I datori di lavoro o chi per essi dovrebbero essere considerati, alla stregua del regolamento UE 679/2016, come responsabili che trattano i dati sulla salute dei lavoratori per conto del titolare (il Ministero della Salute) mediante consultazione della piattaforma DGC.
7. Valutazioni in ordine ai requisiti dell’incarico di responsabile previsti dal regolamento UE 679/2016.
Nelle ipotesi normate come sopra risulta, tuttavia, assente il contratto o l’atto giuridico di incarico.
I datori di lavoro, inoltre, sono privi dei requisiti professionali e tecnici necessari o, comunque, non è stata fatta alcuna valutazione individuale in ordine alla sussistenza degli stessi.
Si è verificata una concessione estesa e generalizzata del trattamento di dati personali sulla salute di tutti i lavoratori.
8. Necessità di un’interpretazione compatibile con il Regolamento UE 679/2016.
I decreti legge relativi all’obbligo di certificazione verde COVID.19 o di certificazione vaccinale anti SARS-CoV-2 in ambito lavorativo dovranno, pertanto, essere valutati secondo un’interpretazione compatibile con la normativa europea tutt’ora vigente in tema di tutela della privacy.
Non è possibile escludere la necessità di stipula, per ciascun datore di lavoro o, come sub delegati, eventuali dirigenti e responsabili, di contratti o atti giuridici personalizzati.
I dati personali sensibili di cui alle certificazioni COVID, d’altra parte, ai sensi dell’art. 10 comma 3 Regolamento UE 953/2021 possono essere trattati solo “dalle autorità competenti dello Stato membro di destinazione o di transito, o dagli operatori di servizi di trasporto passeggeri transfrontalieri tenuti, a norma del diritto nazionale, ad attuare determinate misure di sanità pubblica durante la pandemia di COVID-19”.
Tali soggetti sono stati indicati come responsabili dallo stesso regolamento de quo in quanto possessori dei requisiti richiesti in riferimento all’obbligo di segreto professionale.
9. Eventuali profili di responsabilità civile e penale.
In difetto di un legittimo incarico conferito secondo le prescrizioni di forma e sostanza prescritte dalla normativa europea, potrebbe configurarsi un’eventuale responsabilità sia civile che penale per illecito trattamento dei dati personali anche in capo al responsabile (in tal caso il datore di lavoro o il dirigente/responsabile di servizio).
Si tenga presente, come disposto dall’art. 83 del regolamento UE 679/2016, par. 4, che in caso di violazione degli obblighi relativi al trattamento dei dati personali, il responsabile del trattamento può essere soggetto ad una sanzione amministrativa pecuniaria fino ad euro 10.000.000,00 o, per le imprese, fin al 2% del fatturato mondiale totale annuo dell’esercizio precedente se superiore.
Tramite il form di contatto è pervenuta la seguente richiesta di chiarimenti:
“Buonasera vorrei sapere/capire in che modo bisogna agire nei confronti del datore di lavoro relativamente al trattamento dei dati sensibili, essendo il datore di lavoro o chi per lui non nominato formalmente dal Ministero della salute per il trattamento degli stessi.”
Si riporta di seguito la risposta poiché potenzialmente utile anche per altri utenti:
“Premesso, preliminarmente, che occorrerebbe conoscere le peculiarità del singolo caso specifico al fine di valutare le modalità di azione, in linea generale qualsiasi violazione della normativa sulla privacy determina responsabilità sia di natura penale che civile.
Per quanto riguarda la responsabilità penale, qualora la fattispecie concreta riguardi l’applicazione dei decreti sulle certificazioni COVID19, occorre distinguere tra datori di lavoro privati e pubbliche amministrazioni. Nei confronti dei primi potrebbe operare la scriminante di cui all’art. 51 c.p. giacché il comportamento sembrerebbe consentito da altra norma interna (i decreti legge relativi a green pass e obbligo vaccinale, per l’appunto) a meno che non si ritenga che essa non escluda la necessità di un contratto o atto giuridico di nomina del responsabile.
Nei confronti, invece, dei datori di lavoro pubblici la questione è diversa almeno in parte giacché essi dovrebbero avere l’obbligo di disapplicare le norme interne difformi rispetto alla normativa europea cogente. Sul punto occorrerebbe un maggiore approfondimento poiché da ultimo è intervenuta una recente sentenza del TAR che sostiene il contrario.
In ipotesi dubbie si può, comunque, valutare l’opportunità di agire con reclamo al Garante della Privacy oppure, preferibilmente, adire l’autorità giudiziaria mediante proposizione di querela. I due procedimenti sono alternativi e non cumulabili. Il ricorso ad uno, pertanto, esclude l’altro.
Per quanto riguarda la responsabilità civile essa non è esclusa anche in presenza di scriminanti e può riguardare sia eventuali danni materiali (ad esempio perdita della retribuzione, mancato guadagno, danno biologico, etc.) sia danni immateriali (ad esempio danno esistenziale, danno all’immagine, etc.). Per ottenere il relativo risarcimento e salvo l’eventuale costituzione di parte civile qualora fosse instaurato il processo penale con rinvio a giudizio, è possibile proporre azione civile dinnanzi all’autorità giudiziaria (il giudice del lavoro) territorialmente competente. In caso di sospensione del rapporto di lavoro è possibile proporre, altresì, azione giudiziaria ex art. 700 c.p.c. sempre presso il giudice del lavoro al fine di ottenere la temporanea reintegra in attesa che si concluda il giudizio ordinario.”
Si precisa, inoltre, che il giudice del lavoro è l’autorità competente in riferimento sia ai rapporti di lavoro privato che ai rapporti di pubblico impiego privatizzato mentre per i rapporti di pubblico impiego non privatizzato (come, ad esempio, le forze armate) rimane la competenza dei Tribunali amministrativi.