Il Regolamento Generale sulla Protezione dei Dati Regolamento (UE) n. 2016/679 (in inglese GDPR, General Data Protection Regulation), è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea. Il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e ha abrogato gli articoli diventati incompatibili del codice per la protezione dei dati personali (D.Lgs. n. 196/2003).

I “dati personali” oggetto della tutela della norma sono “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (Regolamento (UE) n. 2016/679, art. 4 c. 1) e, come “trattamento” si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. È necessario riflettere che i requisiti che fanno di un “dato”, un “dato personale” è la possibilità di identificarne l’interessato. Se questo attributo non sussiste, non si applicano le procedure previste dalla norma.

Esistono poi alcune categorie di dati personali che godono di una particolare protezione: sono quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattano dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Il trattamento di questi dati è vietato, con l’esclusione di una serie di casi accuratamente individuati.

Con definizioni tanto generiche e un campo di applicazione così ampio, necessariamente le attività correlate alla gestione della sicurezza sul lavoro possono risentire pesantemente dei vincoli e delle guarentigie previste dalla norma, i cui criteri generali possono essere riassunti in:

• Legittimità dello scopo. I dati devono essere utilizzati per gli scopi per cui sono stati raccolti, consentiti dalla norma, che sono stati comunicati agli interessati, e per il tempo strettamente necessario.
• Minimizzazione, ovvero vanno raccolti e trattati solo i dati strettamente necessari al raggiungimento degli obiettivi. Ad esempio, se dobbiamo identificare chi ha frequentato un particolare corso di formazione interno, nome, cognome e data di nascita sono sufficienti e non è necessario raccogliere anche residenza o domicilio.
• Accuratezza. I dati devono essere esatti e mantenuti aggiornati. Gli interessati hanno il diritto di potere accedere ad essi per poterli rettificare.
• Integrità e riservatezza. I dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

La norma individua un “Titolare del trattamento dei dati” nella persona o organismo che definisca, all’interno di una organizzazione, le modalità del trattamento dei dati personali e degli strumenti utilizzati a questo fine, incluse le precauzioni e le misure di sicurezza. In determinate condizioni è richiesta l’individuazione di un “Responsabile per la protezione dei dati”, noto anche come Data Protection Officer o DPO, quando ad esempio all’interno dell’organizzazione vengono trattati dati sensibili, che è una condizione molto comune, occupandosi di sicurezza, o di dati relativi a condanne penali. Il DPO ha come obiettivo assistere le organizzazioni gestiscono i dati personali al fine di verificare il rispetto dei principi stabiliti dal regolamento.

Nella gestione quotidiana della sicurezza sul luogo di lavoro, il trattamento di dati che rientrano nell’ambito dell’applicazione del GDPR è costante. Quasi tutte le organizzazioni hanno provveduto, sin dai tempi del Decreto Legislativo 30 giugno 2006, Codice in materia di protezione dei dati personali, ad una mappatura dei principali processi di trattamento dei dati. È consigliabile che questa mappatura sia ripresa e riveduta, per verificarne l’adeguatezza ai nuovi criteri stabiliti dal GDPR, ma soprattutto per andare ad individuare tutti quei processi “informali” che possono essere sfuggiti in passato. Se questi sono i database della formazione o i calendari della sorveglianza sanitaria, il problema è relativo: il trattamento di dati personali “semplici” normalmente è già coperto dalle policy aziendali in materia di gestione del personale. La questione diventa tutt’altro che secondaria quando si va a ragionare sui dati sensibili, che normalmente derivano dallo svolgimento della sorveglianza sanitaria prevista dal Decreto Legislativo 81/2008, al Titolo I, Capo III, Sezione V – Sorveglianza sanitaria. Come è noto, il datore di lavoro invia i lavoratori al medico competente per la sorveglianza sanitaria, preventiva e periodica, costui esegue gli accertamenti previsti dal protocollo sanitario o che ritiene opportuni, al fine di predisporre una cartella sanitaria e di rischio emettere un certificato di idoneità alla mansione, secondo quanto definito dal D.Lgs. 81/2008 all’allegato 3A. È palese che i dati contenuti nella cartella sanitaria e di rischio ricadono pienamente nel perimetro di applicazione del GDPR ed esiste ampia letteratura che definisce processi, flussi e responsabilità. È meno chiaro che anche il contenuto del certificato di idoneità alla mansione deve essere considerato un cosiddetto “dato sensibile”, il cui trattamento è generalmente proibito, applicandosi quindi l’articolo 9 del GDPR.

Questo passo, infatti, protegge i “dati personali che rivelino dati relativi alla salute della persona”, ed è innegabile che il certificato di idoneità alla mansione lo sia, perché è stato ideato appunto per questo: determinare che la salute dell’interessato gli consenta o meno lo svolgimento di un particolare compito lavorativo. Ebbene, il loro trattamento è consentito solo quando questo sia “necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, (…) sulla base del diritto dell’Unione o degli Stati Membri”. In parole povere, questo significa che la circolazione (trattamento) dei certificati di idoneità alla mansione, deve essere giustificato positivamente dalla necessità di soddisfare un requisito di legge (diritto dell’Unione o degli Stati Membri), sempre fermo restando i requisiti di integrità e riservatezza stabiliti dalla norma. In pratica, ritroviamo uno specifico requisito di legge tra gli obblighi del datore di lavoro e del dirigente, ed è quello di tenere conto delle capacità e delle condizioni dei lavoratori in rapporto alla loro salute e alla sicurezza nell’affidare loro compiti (D.Lgs. 81/2008, art. 18 c. 1 lett. c), per cui è sicuramente opportuno che il certificato di idoneità alla mansione dei relativi lavoratori sia trasmesso loro. Nulla di tutto questo è previsto a carico del preposto, che non dovrà quindi avere accesso a queste informazioni. Analogamente le pratiche di qualificare gli appaltatori con riguardo alle prescrizioni del Testo Unico per la Sicurezza, chiedendo loro copia dei certificati di idoneità alla mansione della forza lavoro utilizzata, devono essere considerate illegittime, così come il comportamento di alcuni coordinatori per la sicurezza in fase di esecuzione, che così facendo violano la legge. Senza pensare inoltre che in questo modo si preparano a ricevere avvisi di garanzia per esercizio di fatto di poteri direttivi, secondo il D.Lgs. 81/2008, art. 299, perché praticano compiti riferiti al datore di lavoro o al dirigente.

Il Garante per la protezione dei dati personali ha approvato il provvedimento n. 231 recante “Linee guida cookie e altri strumenti di tracciamento” pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.

Il documento è volto ad aggiornare le indicazioni contenute nel provvedimento n. 229/2014 alla luce delle novità introdotte dal Regolamento europeo 679/2016 (il cosiddetto GDPR), delle prassi rilevate dall’Autorità nel corso della sua attività, delle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e delle indicazioni che sono emerse dalla consultazione pubblica.

Le linee guida sui cookie e altri strumenti di tracciamento pubblicati dal Garante Privacy rappresentano un utile strumento per i titolari dei siti web, che ora avranno tempo fino al 9 gennaio 2022 per conformarsi alle nuove regole.

Cookie, nuove linee guida del Garante Privacy “fino al 9 gennaio 2022 per adeguarsi”