News & Blog

Regolamento per le infrastrutture digitali e servizi cloud per la PA

Entra in vigore il prossimo primo agosto il Regolamento per le infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione, adottato dall’Agenzia per la cybersicurezza nazionale (ACN) d’intesa con il Dipartimento per la trasformazione digitale (DTD) https://www.acn.gov.it/portale/documents/d/guest/regolamentocloud

PREMESSA

Il nuovo Regolamento (adottato con Decreto Direttoriale n. 21007/24, ai sensi dell’articolo 33-septies, comma 4, del Decreto-legge 18 ottobre 2012, n. 179) è stato pensato come uno strumento di guida nell’individuazione delle possibili soluzioni cloud, attraverso una descrizione dettagliata e metodologica della caratterizzazione e classificazione dei dati e dei servizi digitali.

Il Regolamento si rivolge sia agli Enti locali che ai fornitori di servizi cloud e abroga il precedente Regolamento adottato con Delibera n. 628/2021 dell’AgID.

L’obiettivo è proprio quello di definire, in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici.

Il Regolamento si propone di:

  • garantire la sicurezza delle infrastrutture digitali, stabilendo livelli minimi di sicurezza che devono essere rispettati dagli Enti pubblici;
  • assicurare la qualità e le prestazioni dei servizi cloud, definendo standard riguardanti sicurezza, performance, scalabilità, interoperabilità e portabilità;
  • facilitare la migrazione e l’adeguamento, fornendo linee guida dettagliate per il trasferimento sicuro dei dati e dei servizi digitali dei Comuni;
  • promuovere la trasparenza e la responsabilità, richiedendo agli Enti locali di mantenere un registro aggiornato dei propri dati e servizi digitali e di selezionare fornitori qualificati.

MIGRAZIONE DEI DATI E DEI SERVIZI DIGITALI

I Comuni nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa, devono migrare i dati e servizi digitali verso:

1. Le infrastrutture digitali che, all’esito del processo di adeguamento rispettano, in relazione alla classificazione, i livelli minimi e i requisiti;

2. I servizi cloud adeguati o qualificati che, in relazione alla classificazione, rispettano le caratteristiche e i requisiti.

Il Regolamento stabilisce un percorso preciso per la migrazione dei dati e servizi digitali e gli Enti locali devono predisporre un apposito piano di migrazione, conforme ai modelli del Dipartimento per la trasformazione digitale (DTD), che sarà verificato per la conformità.

I Comuni avviano il percorso di migrazione al cloud in coerenza con quanto disciplinato dalla Strategia Cloud Italia e in linea con le previsioni del Piano triennale per l’informatica.

Infatti, quest’ultimo identifica nella migrazione la protagonista di alcuni target, per i quali:

  • entro il 2025 il 75% delle Amministrazioni deve aver completato la realizzazione dei Piani di migrazione trasmessi a DTD e AgID,
  • e per il 2026 il 100% delle Amministrazioni soddisferà la realizzazione di questi Piani.

MODALITÀ PER LA PREDISPOSIZIONE DELL’ELENCO E DELLA CLASSIFICAZIONE DEI DATI E DEI SERVIZI

I Comuni dovranno predisporre e aggiornare un elenco dei propri dati e servizi digitali sulla base della loro caratterizzazione. La classificazione comprende tre classi di dati e servizi digitali:

  • ordinari”, in cui rientrano dati e servizi la cui compromissione non determini pregiudizi al mantenimento di funzioni considerevoli per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
  • critici”, in cui rientrano dati e servizi la cui compromissione può determinare danni rilevanti per l’esercizio delle summenzionate funzioni;
  • strategici”, la cui compromissione può determinare un pregiudizio senonché un rischio elevato alla sicurezza nazionale.

Gli Enti locali aggiornano sia l’elenco che la classificazione dei dati e dei servizi digitali, e li trasmettono all’ACN almeno una volta ogni due anni o in presenza dei dati e dei servizi digitali ulteriori, rispetto a quelli già oggetto di trasmissione e classificazione, con le modalità indicate nell’Allegato 1.

L’ACN, entro novanta giorni dalla sua ricezione, fornisce riscontro circa la conformità dell’elenco e della classificazione dei dati e dei servizi digitali. In assenza di riscontro da parte dell’ACN entro i termini, l’elenco e la classificazione dei dati e dei servizi si intendono convalidati.

LIVELLI MINIMI DI SICUREZZA E AFFIDABILITÀ, CAPACITÀ ELABORATIVA, RISPARMIO ENERGETICO DELLE INFRASTRUTTURE DIGITALI E DELLE INFRASTRUTTURE DEI SERVIZI

L’ACN ha definito i livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità sia delle infrastrutture digitali, che delle infrastrutture dei servizi cloud nonché le caratteristiche di questi ultimi, per omogeneizzare la capacità di perseveranza e di resilienza di tutta le strutture pubbliche e dei loro fornitori.

Questi livelli minimi sono previsti nei casi di dati e di servizi ordinari, strategici e critici. Per ogni misura è fornita una specifica più dettagliata dell’implementazione minima attesa, nonché delle modalità richieste al fine di descriverne l’adozione e dimostrarne l’attuazione.

Anche questi livelli minimi saranno aggiornati almeno una volta ogni due anni, tenendo conto di una serie di fattori, come: l’aggiornamento della classificazione dei dati e servizi digitali, l’aumento dei rischi derivanti dall’evoluzione delle minacce cibernetiche, l’adozione di nuovi schemi di certificazione nazionali ed europei, l’adeguamento con le migliori pratiche e linee guida degli standard nazionali e non, la conformità con la progressiva evoluzione delle misure e garanzie atte alla protezione dei dati personali.

L’elenco dei livelli minimi è definito nell’Allegato 2 ed è organizzato sulla base delle sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection (FNCS).

CARATTERISTICHE DI BASE DI QUALITÀ, DI SICUREZZA, DI PERFORMANCE E DI SCALABILITÀ, DI INTEROPERABILITÀ, DI PORTABILITÀ DEI SERVIZI CLOUD

I servizi cloud devono possedere determinate caratteristiche, come

  • qualità
  • sicurezza
  • performance e scalabilità
  • interoperabilità
  • portabilità.

Questi requisiti sono definiti nell’Allegato 3 e sono distinti in base alle tre classi di rilevanza:

  • ordinari
  • critici
  • strategici

Nello specifico, devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell’Allegato 3.

REQUISITI PER L’ADEGUAMENTO E LA QUALIFICAZIONE DELLE INFRASTRUTTURE DIGITALI, DELLE INFRASTRUTTURE DEI SERVIZI CLOUD E DEI SERVIZI CLOUD PER GLI ENTI LOCALI

Per i soggetti, che intendono erogare i servizi cloud per gli Enti locali, è necessario che le infrastrutture digitali siano conformi ai requisiti di adeguamento definiti dal Regolamento.

In particolare, i requisiti sono indicati nell’Allegato 4 e sono elaborati in relazione al rischio e all’evoluzione della minaccia tecnica di natura cibernetica; in conformità alla normativa e agli standard nazionali, europei e internazionali; in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati; e in concordanza alle migliori pratiche, alle linee guida e ai quadri di disciplina di riferimento di settore.

Gli operatori di infrastrutture digitali e i fornitori per i servizi cloud, a seguito delle attività di adeguamento, sottoscrivono e trasmettono all’ACN una relazione di conformità, ai requisiti e ai livelli minimi. L’infrastruttura digitale e/o il servizio cloud sono pubblicati nell’apposito catalogo, reso disponibile sulla piattaforma digitale dell’ACN, che viene aggiornato entro trenta giorni dalla ricezione della relazione di conformità.

Primi commenti al Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati

LEGGI ANCHE: Metadati delle e-mail dei dipendenti: osservazioni sul provvedimento del Garante sottoposto a consultazione pubblica

È arrivato dal Garante per la Protezione dei Dati Personali l’esito della consultazione pubblica che la stessa Autorità aveva aperto a distanza di poche settimane dalla pubblicazione del documento di indirizzo circa la conservazione dei metadati della posta elettronica, che tante discussioni aveva suscitato tra esperti di protezione dati e responsabili aziendali.

E le novità sono importanti. Vediamo cosa e come è cambiato.

Le definizioni di “metadati”

Innanzitutto, il Garante chiarisce meglio cosa sono i “metadati” e, di conseguenza, amplia il campo di applicazione, affermando come “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate”; e tecnicamente si tratta di “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”.

In altri termini, i metadati includono: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.

Si tratta di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla (manifestazione di) volontà dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.

Non a caso il Garante precisa dicendo che: “possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.

Metadati registrati automaticamente nei log dei servizi di posta

Poi, sempre il Garante spiega come questi metadati siano in grado di formare “il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”; e poi conclude dicendo come dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.

In parole più semplici, le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.

Gli aspetti giuslavoristici e il controllo a distanza

Ancora, in materia giuslavoristica, circa l’applicabilità del comma II dell’art. 4 della L. n. 300/1970, la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è sì consentita ma per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari.

In pratica, comanda il contesto, il che consente di rispettare prima e applicare dopo, i vari principi generali del GDPR e in primis quello dell’accountability.

Da ultimo, circa la tematica del controllo a distanza, la generalizzata raccolta e conservazione dei log di posta elettronica per un periodo (più) esteso, può determinare un “indiretto controllo a distanza” dell’attività dei lavoratori, richiedendo perciò le garanzie previste dall’art. 4, comma I.

Conservazione dei metadati e la normativa in materia

La normativa in materia ovviamente non cambia, richiamando per l’effetto i seguenti documenti:

le “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, il provvedimento del 4 dicembre 2019, n. 216, doc. web n. 9215890);

i principi fondanti del GDPR tra cui la liceità in termini di protezione dati (ex artt. 5, par. 1, lett. a), e 6 del GDPR), nonché la sussistenza dei presupposti di liceità giuslavoristici (ex art. 4 della l. 20 maggio 1970, n. 300) oltre al rispetto di quanto è fatto divieto al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Ciò a maggiore garanzia di una delle condizioni di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del GDPR, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice);

il rispetto da parte del titolare del trattamento di tutti principi generali (artt. 5, 24 e 25), ponendo in essere tutti quegli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del GDPR);

in piena attuazione del principio di “accountability” è compito del titolare, scrive il Garante, “valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento)”;

le linee guida concernenti “la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5, tenendo in debito conto delle indicazioni fornite anche a livello europeo sul punto, nella specie, in caso di raccolta e memorizzazione dei log della posta elettronica, considerata la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

La conservazione dei metadati in materia di controlli a distanza

Il documento di indirizzo rivisitato sul punto cruciale della conservazione dei metadati in materia di controlli a distanza, affinché sia ritenuto applicabile il comma II dell’art. 4 della Statuto dei lavoratori (L. n. 300/1970), si sbilancia dicendo che “tale conservazione non dovrebbe comunque superare i 21 giorni”, come anticipato.

Poi precisa che, dovendo assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, e quindi sempre nell’ambito della stessa finalità, l’eventuale data retention per un tempo ancora più ampio è possibile, ma solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare”.

Spetta al titolare, in caso di un’estensione ulteriore di 48 ore, “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

In caso contrario, dice il Garante, “la generalizzata raccolta nonchè la conservazione di tali metadati dei log di posta elettronica, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro –” si configura un indiretto controllo a distanza dell’attività dei lavoratori che richiede senza dubbio l’esperimento di quelle garanzie ex art. 4, comma I, dello Statuto dei Lavoratori.

Conservazione dei metadati e responsabilità dei datori di lavoro

Circa le possibili responsabilità, nel caso in cui i datori di lavoro, tanto del comparto pubblico quanto di quello privato, conservino oltremodo detti metadati, sono svariate profilandosi aspetti di illiceità del trattamento circa l’impiego di programmi/servizi di gestione della posta elettronica, in assenza delle garanzia (accordo sindacale), prima dell’avvio circa l’attività di “preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti” nonché alla loro conservazione per un arco temporale più ampio e cioè superiore a 21 giorni più 48 ore.

Profili di illiceità possono tuttavia derivare altresì, scrive il Garante “dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie” (art. 4, comma III) evitando che per le finalità connesse alla gestione del rapporto di lavoro, siano utilizzati/trattati altri dati/informazioni senza fornire una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” nel rispetto della privacy.

Per dunque concludere con l’affermazione a mente della quale “la generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

La violazione del principio di correttezza e trasparenza

Il Garante richiama poi il principio secondo cui tutti i titolari del trattamento sono tenuti a “verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano”; dal momento che “è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.)”.

Il principio della data retention

Sui tempi di conservazione dei metadati, richiamando quanto già sopra detto, non aggiunge molto di più anche rispetto al documento di indirizzo primigenio, se non sottolineare l’importanza/presenza delle finalità connesse alla sicurezza informativa e informatica, in considerazione della tutela del patrimonio annesso, rispondendo il tutto all’obiettivo principe che è quello di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.

I principi di privacy by design e by default

Importanti sono le considerazioni che il Garante fa in ordine alla privacy by design e by default sul tema.

Nella fattispecie ritiene che il datore di lavoro/titolare del trattamento debba “accertarsi che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.

Prospettiva interessante, la stessa peraltro che si deve applicare ai “produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte”.

Ne consegue dunque anche i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR.

In tale prospettiva, saranno i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a (dover) tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

Ma questa indicazione sarà praticabile?

Possibili iniziative di compliance per tutti i datori di lavoro

I datori di lavoro pubblici e privati quindi dovranno adottare tutte le misure necessarie a conformare i propri trattamenti.

In particolare, spetterà al titolare del trattamento (datore di lavoro pubblico o privato) verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano all’utente/cliente cioè datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola, anche tenuto conto della previsione di cui al periodo di conservazione degli stessi ad un limite massimo di 21 giorni, estensibile di ulteriori 48 ore, alle condizioni sopra indicate.

In ogni caso, le indicazioni contenute nel documento di indirizzo rinnovato all’esito della consultazione pubblica, scrive il Garante “devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici […] siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi”. In pratica, valgono per tutti i datori di lavoro.

E nel cloud, occorre far riferimento specie con riferimento al settore pubblico, alle indicazioni contenute nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo, come il primo documento di indirizzo già prevedeva.

Conclusioni

La parte più interessante del documento ci pare essere proprio alla fine, laddove “ il Garante sottolinea il ruolo dei provider di posta, che non sempre può essere considerato un semplice responsabile, prefigurando precise responsabilità in termini di privacy by design in capo a loro”.

Metadati delle e-mail dei dipendenti: osservazioni sul provvedimento del Garante sottoposto a consultazione pubblica

I metadati delle comunicazioni di posta elettronica dei dipendenti possono essere conservati dai datori di lavoro, al più tardi, per 7 giorni, prorogabili con motivate ragioni per ulteriori 48 ore.

Lo ha stabilito il Garante all’interno di un provvedimento di indirizzo datato 21 dicembre 2023, reso pubblico il 6 febbraio 2024. Le nuove regole sui metadati hanno colto di sorpresa aziende e professionisti, sollevando malumori in dottrina, anche già solo per la mancanza di spiegazioni in merito alla determinazione di una durata così precisa, rigida e breve. La posizione dell’Autorità di controllo ha enormi impatti concreti, sia per le conseguenze bloccanti (inutilizzabilità dei dati) sia per i profili di responsabilità civile, amministrativa e perfino, in qualche caso, penale che il provvedimento in questione evoca.

Sull’onda delle ampie reazioni negative, il Garante ha deciso di sottoporre la congruità dei termini e di altri passaggi a consultazione pubblica con un pacchetto di atti amministrativi reso disponibile il 27 febbraio 2024. La consultazione si è aperta il 16 marzo con la pubblicazione del relativo avviso in G.U. (serie generale, n. 64) e avrà termine il prossimo 15 aprile.

Si può partecipare, facoltativamente, inviando osservazioni presso la sede di piazza Venezia n. 11 – 00187 Roma o all’indirizzo di posta elettronica ordinaria protocollo@gpdp.it oppure via pec a protocollo@pec.gpdp.it, indicando nell’oggetto «Consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica».

Va tenuto in ogni caso presente che gli apporti che perverranno non vincolano in alcun modo l’Autorità: “I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante”.

Facciamo dunque un punto sull’intera vicenda, con l’auspicio che possa essere utile alle imprese e ai professionisti che intendono partecipare alla consultazione pubblica. In particolare, saranno analizzati:

  1. i passaggi essenziali del provvedimento sui metadati;
  2. la logica giuridica sottostante;
  3. i principali elementi di perplessità; e,
  4. a monte, la questione più generale se il Garante disponga o non disponga del potere di imporre preventivamente e in senso generale termini di conservazione. Sia permesso sottolineare l’importanza di quest’ultimo punto, che costituisce la premessa logica idonea a travolgere non solo l’intera operazione prescrittiva del Garante ma anche tutte le altre similari su argomenti diversi.

I passaggi essenziali del provvedimento di indirizzo

Punto di partenza del ragionamento è che i metadati delle mail dei dipendenti sono dati personali, come tali sono sottoposti alla disciplina del GDPR, il Regolamento (UE) 2016/679. Il passaggio è incontestabile, nella misura in cui essi siano collegati a un account email riferibile a uno specifico individuo. La nozione di “dato personale” è infatti quella di “qualsiasi informazione”, purché “riguardante una persona fisica” almeno identificabile, cfr. art. 4.1) GDPR.

Siccome la persona fisica in questione è un lavoratore subordinato, viene intercettata non solo la normativa sulla protezione dei dati personali, ma anche quella giuslavoristica, e in particolare – almeno in ipotesi – l’art. 4 dello Statuto dei lavoratori, l. 300/1970, che proibisce, in linea generale, i controlli a distanza sui dipendenti.

Ma perché l’Autorità italiana sui dati personali dovrebbe occuparsi dell’art. 4 dello Statuto? Anche questo è in realtà un punto pacifico. Occorre infatti tenere presente che il principale tassello della normativa italiana di adeguamento al GDPR, ossia il cd. “codice privacy”, d.lgs. 196/2003, richiama appunto espressamente il menzionato articolo 4 dello Statuto, vedasi in proposito gli artt. 114 e 171 cod. priv.. È del resto lo stesso terzo comma della disposizione lavoristica in esame a prescrivere espressamente il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Tali molteplici collegamenti permettono, e nello stesso tempo perimetrano, la diretta competenza del Garante.

Fermata dunque la cornice giuridica, veniamo al contenuto. I metadati di cui viene prescritta la conservazione per, al più tardi, 7/9 giorni sono, in via esemplificativa, i seguenti: “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”. Nel provvedimento del 21 dicembre 2023 non era fornita una soddisfacente definizione dei processi coinvolti, il che ha aperto a speculazioni e ipotesi.

Poi, nell’ultimo pacchetto di precisazioni l’Autorità di controllo ha lasciato intendere che i processi sono quelli riguardanti i “metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto)”, cfr. GPDP, Provv. 24 febbraio 2024, avviso pubblico di avvio della consultazione. Un perimetro dunque molto vasto. I trattamenti descritti sono evidentemente necessari al funzionamento stesso dei protocolli di gestione della posta elettronica, rilievo che rende ancora più drastico e impattante il provvedimento di indirizzo.

Gli ulteriori passaggi salienti esposti dal Garante appaiono i seguenti:

  • la conservazione dei metadati, anche di durata molto breve, va puntualmente motivata e contenuta;
  • deve essere, verosimilmente, preceduta da una valutazione d’impatto (DPIA);
  • fermo restando che può essere effettuata solo per finalità lecite, va preventivamente concordata con le rappresentanze sindacali oppure autorizzata dall’Ispettorato nazionale del lavoro (INL) ove superi il predetto termine massimo di 7/9 giorni.

I temi toccati sono in realtà più ampi e complessi, ma credo che quelli sopra esposti costituiscano una buona sintesi degli snodi più rilevanti. Sono tutti conseguenze applicative della sottostante logica giuridica seguita dall’Autorità.

La logica giuridica sottostante

L’art. 4 dello Statuto fu introdotto all’inizio degli anni ’70 con un preciso obiettivo: tutelare i dipendenti da videocamere di sorveglianza e/o microfoni, quali strumenti di controllo a distanza. Una garanzia che esprime lucidità e capacità di governare anche le future evoluzioni dei contesti di lavoro.

Mentre gli “impianti audiovisivi” restano ancora oggi l’oggetto principale della disposizione anche dopo le modifiche intervenute, come si evince sia dalla rubrica sia, soprattutto, dal primo comma, richiede invece un passaggio motivazionale in più, non immediato e non pacifico, considerare i metadati delle email alla stregua di “altri strumenti di controllo”, come fa appunto il Garante.

Orbene, affinché sia consentito l’uso di strumenti “dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” occorrono due condizioni essenziali, come si è accennato: (i) che i controlli siano posti in essere per specifiche finalità lecite indicate dal legislatore; (ii) che sia in ogni caso raggiunto un previo accordo sindacale o, in mancanza, sia ottenuta un’autorizzazione dell’INL.

Si danno due casi sottratti al meccanismo generale descritto: quello degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e quello degli “strumenti di registrazione degli accessi e delle presenze”. Ora, la posta elettronica cade, pacificamente, nel primo gruppo, serve cioè a svolgere la prestazione lavorativa, tuttavia secondo il Garante, decorsi 7/9 giorni, ciò non sarebbe più vero rispetto ai relativi metadati, come se il passare del tempo determinasse il cambiamento ontologico di questi ultimi, vale a dire come se essi cessassero improvvisamente di essere una componente necessaria dello strumento di lavoro. Il passaggio appare privo di convincente motivazione, ma da esso l’Autorità trae il sicuro obbligo di assolvere alla descritta procedura di accordo/consultazione.

Il resto del provvedimento d’indirizzo è piuttosto riconducibile all’applicazione diretta di disposizioni del GDPR, in particolare all’articolo 5 che enuncia i principi da osservare nel trattamento di dati personali. La previsione, è noto, costituisce uno dei componenti strutturali della normativa, come più volte evidenziato dalla Corte di giustizia.

Infine, l’obbligo, se del caso, di procedere a DPIA va collegato all’art. 35 GDPR e soprattutto alle linee guida del 4 ottobre 2017 pubblicate e ratificate dalle autorità di controllo dell’Unione sui dati personali, vale a dire Garante e omologhi (ex WP29/EDPB).

Principali punti critici del provvedimento sui metadati

Termine privo di motivazione – Uno dei più evidenti elementi di perplessità, come osservato dai più, è che la precisazione del termine di conservazione di 7/9 giorni appare introdotta dal Garante senza alcuna motivazione. Manca cioè del supporto di un ragionamento che la renda verificabile razionalmente e giustificata giuridicamente. Inoltre, manca di un collegamento logico con il conseguimento della specifica finalità per cui i metadati sono trattati. Per la precisione, le finalità di trattamento possono qui essere più d’una, sono anzi certamente più d’una, dunque vanno necessariamente definiti tempi di durata diversi. Già questa considerazione appare inconciliabile con il termine massimo unico prescritto dall’Autorità. In definitiva, è proprio l’articolo 5 GDPR a imporre un approccio complesso, ispirato a necessità e proporzionalità, e motivato in stretta relazione alle finalità conseguite.

Il provvedimento non riguarda direttamente i grandi fornitori di soluzioni cloud – “È emerso” indica l’Autorità “il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti […], conservando gli stessi per un esteso arco temporale”. Da questa premessa, ci si attenderebbe che il Garante attenzioni prima di ogni altra cosa tali grandi fornitori, anziché la moltitudine delle società e dei professionisti che se ne servono. L’Autorità è tenuta infatti a verifiche nei confronti dei responsabili del trattamento (tali sono i prestatori delle soluzioni in cloud) ove se ne ipotizzi la violazione dell’art. 32 GDPR. Sarebbe apparso l’approccio più efficace, poiché svolto nei confronti di pochi soggetti alla fonte, e tutto sommato più equo, visto che lo stesso Garante riconosce che i grandi fornitori pongono talvolta altresì “limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”. La leva è in definitiva nelle mani di software house di primo piano, che tuttavia, a parte un generico invito a “a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte”, appaiono fuori dal raggio applicativo del provvedimento.

I metadati sono parte essenziale della posta elettronica – I metadati sono componenti essenziali dello strumento di posta elettronica, e non solo perché contenuti negli header, ma in senso più ampio e pregnante: una corrispondenza senza mittente, destinatario, data, oggetto non è più una corrispondenza, ma testo libero, inutilizzabile. Uno strumento di lavoro deve essere integro e disponibile per tutto il tempo necessario all’attività per cui è adottato.

Il provvedimento del Garante è contemporaneamente prescrittivo e carente degli elementi per esserlo – Indubbiamente l’enunciazione di un termine così netto, 7/9 giorni, costituisce un passaggio prescrittivo incapsulato entro il corpo di linee guida. Come tale, i destinatari del precetto dovrebbero poterlo impugnare. Tuttavia, il provvedimento che ci occupa manca della precisazione della possibilità di ricorso, che è invece necessaria nei provvedimenti vincolanti dell’Autorità, come peraltro ricorda anche il considerando 129 GDPR. Ciò determina una notevole anomalia e reca pregiudizio al diritto di difesa dei destinatari dell’obbligo. Questa considerazione apre anche il ragionamento all’obiezione principale: può il Garante introdurre liberamente termini di conservazione dei dati personali di portata generale e preventiva?

Il Garante non può derogare al principio di accountability

Il punto centrale è qui proprio l’art. 5 GDPR, che al paragrafo secondo introduce il noto principio di “accountability”, in italiano “responsabilizzazione”. Non che il Garante non lo menzioni nel provvedimento sui metadati, ma lo fa senza trarne le radicali conclusioni che ne derivano linearmente.

In base a tale principio, non compete all’autorità di controllo, ma al titolare del trattamento (quindi al datore di lavoro), stabilire i termini di conservazione dei dati personali. Ogni titolare del trattamento potrà determinarli in maniera diversa, vale a dire con durate diverse, e dovrà, ovviamente, essere in grado di motivare il termine scelto. Per farlo, dovrà inoltre individuare le finalità di trattamento dei metadati, calandole, nella misura possibile, sul suo caso concreto, e collegare a ciascuna di esse una durata. Va cioè escluso che si possano avere termini assolutamente coincidenti per più titolari e che siano sovrapponibili i termini di conservazione dei metadati per finalità di utilizzo della posta elettronica come strumento lavorativo, quelli di conservazione degli stessi per finalità di sicurezza informatica oppure ancora quelli di conservazione per finalità di esercizio e tutela di diritti. Cade con ciò completamente, ad avviso di chi scrive, la logica del termine massimo unico.

Ora, la regola dell’accountability costituisce un principio portante del GDPR, per questo ha destato stupore che il provvedimento in commento lo abbia sostanzialmente ignorato o, meglio, ridotto a operare entro lo spazio massimo di conservazione fissato invece d’autorità dal Garante.

La posizione centrale, di pilastro della normativa, occupata dall’art. 5 si riflette peraltro sulla sussistenza di limitatissime deroghe allo stesso. Nella specie nessuna di esse appare ravvisabile. Questo pone un limite fondamentale all’iniziativa del Garante, e soprattutto lo pone a monte.

Neppure la normativa nazionale richiamata come base del provvedimento d’indirizzo, ossia il comma 1, lett. a) dell’art. 154-bis cod. priv. sembra consentire contenuti prescrittivi: il legislatore parla chiaramente di “linee guida”, ossia testi di semplice chiarimento della disciplina in vigore.

Resta in ogni caso fermo che la normativa di adeguamento nazionale, come è appunto il codice privacy, non potrebbe mai introdurre deroghe all’art. 5 GDPR fuori dalle pochissime ipotesi consentite dal Regolamento.

Conclusioni

La conservazione così breve dei metadati delle email di lavoro è chiaramente problematica per ogni attività economica privata, ma anche per l’agire pubblico (le previsioni in parola si applicano infatti anche alla pubblica amministrazione). Introduce inoltre un’impraticabile riduzione a una sola durata di periodi necessariamente diversi perché rispondenti a finalità diverse, rimesse alla competenza di ciascun titolare, a cui incombe naturalmente l’onere di dimostrarne la congruità.

Dunque è certamente positivo che il Garante abbia voluto creare, sia pure in seconda battuta, un’occasione di ampio coinvolgimento quale è appunto una consultazione pubblica. È altresì chiaro, per la stessa ragione, che questa volta qualcosa non ha funzionato inizialmente nei meccanismi interni di controllo dell’Autorità sui propri atti amministrativi. Lo dimostra la circostanza stessa che la consultazione pubblica investe elementi centrali del provvedimento d’indirizzo, vale a dire la “congruità […] del termine di conservazione dei metadati” “e più in generale […] le forme e modalità di utilizzo” degli stessi. L’auspicio è dunque che l’Autorità, ad esito della consultazione, ponga mano a una revisione radicale degli elementi di natura precettiva. Preceduta o no da consultazione pubblica, la fissazione di termini di durata appare infatti possibile, ai sensi del GDPR, soltanto al datore di lavoro titolare del trattamento, che non può trovarsi chiuso, entro una stretta gabbia temporale imposta d’ufficio dall’Authority.

L’uso delle Body Cam della Polizia Locale deve essere preceduto da una DPIA

L’utilizzo delle bodycam da parte della Polizia Locale deve essere regolamentato. Vanno predisposti una valutazione di impatto privacy ad hoc ed un disciplinare dettagliato da mettere a disposizione degli operatori. Lo ha precisato il Garante per la protezione dei dati personali con l’inedito parere n. 238958/2023 rilasciato ad un comune.

I comuni devono inquadrare correttamente questi dispositivi. Le indicazioni fornite dal garante risultano utilissime in tal senso.

Innanzitutto sarebbe opportuno redigere specifiche valutazioni di impatto in relazione a ciascun trattamento effettuato. Quindi una valutazione di impatto privacy (Dpia, acronimo di Data protection impact assessment) per la videosorveglianza fissa, una per le fototrappole e una per le bodycam.

In alternativa, specifica la nota centrale, “ove si decida di effettuare un’unica valutazione di impatto occorre comunque distinguere con chiarezza e puntualità le proprie valutazioni, con riferimento a tutti gli elementi di cui all’art. 35, par. 7 del regolamento, per ciascun trattamento effettuato/strumento impiegato”. Attenzione al monitoraggio del personale. Ai sensi dello statuto dei lavoratori gli impianti audiovisivi possono essere impiegati per esigenze produttive, per la sicurezza e per la tutela del patrimonio aziendale, nel rispetto dei principi di liceità, correttezza, trasparenza e limitazione delle finalità.

Ma previo accordo sindacale o autorizzazione ad hoc ed una necessaria valutazione di impatto privacy. La base giuridica del trattamento dei dati personali con l’impiego di bodycam in ogni caso non può fare riferimento al dl 11/2009 o al dl 14/2017. Tali disposizioni normative “regolano esclusivamente l’impiego da parte dei comuni di dispositivi di videosorveglianza sulla pubblica via, su base continuativa, per finalità di sicurezza urbana, ovvero per la prevenzione e il contrasto dei fenomeni di criminalità diffusa e predatoria”. In pratica l’impiego delle bodycam può essere giustificato per tutelare l’operatore o per particolari esigenze operative.

Spetterà però al comando identificare i casi operativi “individuando conseguentemente la corretta base giuridica del trattamento nei limiti previsti dalla normativa in materia di controllo a distanza” dei lavoratori. Attenzione infine alla corretta valutazione sulla necessità e proporzionalità dei trattamenti in relazione alle finalità delle bodycam. Oltre alla concreta individuazione degli eventi in presenza dei quali è possibile attivare i dispositivi sarà necessario adottare un disciplinare dettagliato che permetta agli operatori di regolare al meglio la propria attività quotidiana.

Controllo a distanza dei lavoratori e strumenti informatici

Il Garante per la Protezione dei Dati Personali si è pronunciato sulla questione dei controlli datoriali a distanza sugli strumenti informatici aziendali, tra norme in materia di protezione dei dati personali e Statuto dei lavoratori.

È questo il contenuto del provvedimento 28 ottobre 2021, n. 384, adottato a seguito di un reclamo di un dipendente della società Trasporto Passeggeri Emilia Romagna S.p.A. il quale lamentava “presunte violazioni con riguardo al trattamento dei dati personali degli operatori addetti al call center posti in essere dalla Società mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound), mediante piattaforma dedicata “Phones”, realizzata e fornita da IFM Infomaster S.p.A. (che svolgeva anche attività di manutenzione sulla piattaforma), in qualità di responsabile del trattamento (art. 28 del Regolamento; cfr. nota XX e relativi allegati, in atti).”

Controllo a distanza dei lavoratori e strumenti informatici, tra norme sulla privacy e Statuto dei lavoratori

Nell’affrontare la questione dei controlli datoriali sugli strumenti informatici aziendali, è fondamentale innanzitutto evidenziare come tale materia intersechi non solo la disciplina giuslavoristica, ma anche quella in materia di tutela della privacy.

La prima è rappresentata dal c.d. Statuto dei lavoratori, la Legge 300/1970, mentre la seconda comprende l’insieme delle norme contenute nel GDPR e nel Codice della Privacy.

Si ha dunque una duplice tutela, poiché lo Statuto dei lavoratori regola i limiti al potere di controllo del datore di lavoro a tutela dei diritti del soggetto nella sua condizione di lavoratore, mentre la disciplina in materia di protezione dei dati personali mira a proteggere il diritto alla riservatezza del dipendente in quanto persona fisica.

Alle norme devono aggiungersi poi molteplici pronunce giurisprudenziali, sia da parte delle giurisdizioni nazionali che di quelle sovranazionali, ma anche i provvedimenti del Garante per la protezione dei dati personali per quanto riguarda l’applicazione del GDPR e del Codice della Privacy e le circolari dell’Ispettorato Nazionale del Lavoro per l’interpretazione delle norme giuslavoristiche.

Le condizioni di liceità del trattamento dei dati personali da parte del datore di lavoro devono essere dunque individuate guardando all’insieme delle norme in materia di tutela della privacy e giuslavoristiche.

Nello specifico, in base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, compresi quelli rientranti nelle categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti dalla disciplina di settore (artt. 6, par. 1, lett. c); 9, par. 2, lett. b) e 4; 88 del GDPR). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”).

Il trattamento dei dati in questione deve avvenire però, innanzitutto, nel rispetto dei principi in materia di tutela della privacy di cui all’articolo 5 del GDPR; nello specifico, eventuali controlli da parte del datore di lavoro devono essere leciti, corretti e trasparenti (in base ai principi di liceità, correttezza e trasparenza), posti in essere per finalità determinate e limitati a quanto strettamente necessario per il conseguimento delle stesse (alla luce dei principi di limitazione delle finalità e minimizzazione).

Perché il trattamento dei dati in questione sia lecito, il datore deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento).

In quest’ottica, il Codice della privacy rinvia espressamente alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”).

La liceità del trattamento dei dati è connessa dunque anche all’osservanza della disciplina di settore in materia di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” (art. 5 e 6 par. 1, lett. c), e 88, par. 2, del Regolamento e 114 del Codice della privacy).

Per effetto di tale rinvio, l’osservanza degli artt. 4 (“Impianti audiovisivi e altri strumenti di controllo”) e 8 (“Divieto di indagini datoriali sul lavoratore”) dello Statuto dei lavoratori e dell’art. 10 del d.lgs. n. 276/2003 (“Divieto di indagini sulle opinioni e trattamenti discriminatori”, rivolto alle agenzie per il lavoro e agli altri soggetti pubblici e privati autorizzati o accreditati) costituisce dunque una condizione essenziale di liceità del trattamento, come ha evidenziato anche il Garante per la Protezione dei Dati Personali in una recente pronuncia, che sarà oggetto di una più attenta analisi in seguito.

Lo Statuto dei lavoratori, la natura degli strumenti informatici e gli obblighi di informazione

Nell’ambito del quadro brevemente ricostruito, una particolare attenzione merita la questione degli obblighi di informazione da parte del datore legati all’utilizzo di strumenti di controllo; la corretta informazione ai dipendenti trova la propria disciplina sia negli articoli 12, 13 e 14 del GDPR, sia nella disciplina giuslavoristica.

In tal senso, per quanto riguarda quest’ultima, la norma di riferimento è senz’altro il già citato art. 4 St. Lav., così come modificato dal D.Lgs.14 settembre 2015, n. 151, il c.d. Jobs Act.

Con la riforma, è stato eliminato il divieto generale (precedentemente previsto al comma 1) di utilizzo di impianti e strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, i quali possono però essere impiegati per determinate finalità (vale a dire esigenze organizzative e produttive, sicurezza sul lavoro e tutela del patrimonio aziendale) ed installati previo accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, previa autorizzazione dell’Ispettorato del lavoro (INL).

Il comma 2 dell’art. 4 prevede però che le disposizioni di cui al comma 1 non si applichino “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. Ciò significa che, in presenza di strumenti che per il loro funzionamento potrebbero consentire un controllo a distanza dei dipendenti, non è necessario che vi siano il predetto accordo con le rappresentanze sindacali o l’autorizzazione dell’INL.

Infine, la norma prevede, al comma 3, che le informazioni raccolte ai sensi del comma 1 e 2 possano essere utilizzate “a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. n. 195/2003”.

Alla luce di quanto disposto dal comma 2, ai fini della valutazione della liceità della condotta del datore di lavoro appare dunque determinante chiarire quale sia la natura degli strumenti informatici concretamente utilizzati da questi, e dunque se essi possono essere qualificati come “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” o debbano essere considerati strumenti di controllo. Sul punto è intervenuto con le proprie circolari, innanzitutto, l’INL; in particolare, con la circolare 7 novembre 2016, n. 2, l’Ispettorato ha precisato che possono essere considerati strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”.

Sulla questione è intervenuto più volte anche il Garante della Privacy, ad ultimo con l’ordinanza 28 ottobre 2021 (provvedimento 28 ottobre 2021, n. 384), il cui fulcro è rappresentato proprio dalla questione della determinazione della natura degli strumenti utilizzati dal datore, al fine di stabilire la liceità della raccolta e del trattamento dei dati dei dipendenti.

La determinazione di tale aspetto, come emerge dal caso che sarà esaminato di seguito, può essere tutt’altro che agevole e richiede, come si vedrà, un’attenta analisi delle concrete caratteristiche e modalità di funzionamento dello strumento informatico stesso.

Il caso

La decisione del Garante è arrivata in seguito al reclamo di un dipendente della società di trasporto pubblico TPER Trasporto Passeggeri Emilia Romagna S.p.A., che lamentava il monitoraggio del personale tramite il sistema di gestione delle telefonate del call center dedicato al customer care.

Nello specifico, erano state lamentate violazioni con riguardo al trattamento dei dati personali degli operatori addetti al call center, violazioni compiute dalla società, in qualità di responsabile del trattamento (art. 28 del GDPR), mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound).

Nel corso dell’istruttoria, la società ha giustificato l’utilizzo di tale strumento tecnologico affermando la necessità di verificare gli standard qualitativi e di gestire eventuali reclami, precisando di aver informato i lavoratori e i sindacati dell’utilizzo dello strumento in questione.

In particolare, la società ha affermato che, ai sensi dell’articolo 4 dello Statuto dei Lavoratori, la registrazione delle telefonate tra utenza e operatori di call center costituiva uno strumento di lavoro, ed era dunque consentita senza necessità di sottoscrizione di un previo accordo sindacale né della previa autorizzazione dell’INL, richiesti invece, come già visto, per gli strumenti qualificabili come “strumenti organizzativi”; per gli strumenti di lavoro è infatti sufficiente un’ adeguata informativa, che secondo la società era stata predisposta e fornita in formato cartaceo al personale interessato prima di attivare il sistema di registrazione telefonica, oltre ad essere stata affissa nei locali del call center aziendale. L’azienda ha inoltre affermato che le organizzazioni sindacali erano state preventivamente informate.

Dall’accertamento compiuto dal Garante è risultato che la società aveva adottato un sistema per la gestione delle telefonate della clientela (call center inbound) che consentiva operazioni di trattamento di dati personali, riferiti al personale addetto al call center (o di altro personale impiegato in tale servizio a rotazione, che fosse impossibilitato a svolgere le ordinarie mansioni, come gli autisti temporaneamente inidonei al servizio).

In particolare, il sistema di gestione delle chiamate in entrata della clientela, a cui su richiesta della società era stata aggiunta dal fornitore la funzionalità di registrazione delle telefonate, consentiva che una parte delle telefonate della clientela ricevute dagli operatori, identificati anche tramite il proprio numero di matricola, fosse automaticamente registrata su un’apposita piattaforma e lì memorizzate per tre mesi, previa cifratura dei file audio.

Oltre alla specifica funzionalità di registrazione delle telefonate, era prevista poi la possibilità di riascolto delle telefonate memorizzate mediante una procedura che poteva essere attivata dalla Società, su richiesta di un cittadino o un operatore, per la gestione di eventuali reclami, e a campione, su iniziativa aziendale, per verificare lo standard qualitativo del servizio con l’immediata cancellazione del dato che risultasse non critico.

Come emerso nel corso delle verifiche effettuate durante gli accertamenti ispettivi, il sistema consentiva inoltre la raccolta e la conservazione delle cc.dd. meta informazioni relative alle chiamate registrate e, dunque, il trattamento di dati personali riferiti ai dipendenti addetti al call center (nello specifico, il nome dell’operatore, la data e l’ora della chiamata e il numero di telefono che aveva effettuato la telefonata), con conservazione per un arco temporale che, al momento dell’accertamento compiuto, non era stato definito dalla società.

La pronuncia del Garante

Come già anticipato, il nodo centrale della pronuncia del Garante appare dunque essere la questione del trattamento dei dati personali dei lavoratori da parte del datore.

Nella propria pronuncia, il Garante ha rigettato la ricostruzione della società di trasporti relativa alla natura dello strumento di registrazione delle telefonate utilizzato. 

Secondo l’Autorità, infatti, alla luce del quadro normativo di settore e di precedenti orientamenti dell’Ispettorato nazionale del lavoro, relativi proprio all’istallazione e utilizzazione di strumenti di supporto all’attività ordinaria dei call center e già fatti propri dal Garante in altre pronunce (richiamate nell’ordinanza), il sistema di registrazione delle telefonate utilizzato dalla società non poteva essere considerato tra gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ai sensi e per gli effetti del già citato art. 4, comma 2, Legge n. 300/1970, ma doveva essere incluso tra gli “strumenti organizzativi” di cui all’art. 4, comma 1, l. 300/1970, anche per l’impossibilità per il singolo operatore di disattivare la funzione di memorizzazione.  Con riguardo all’istallazione e utilizzazione di strumenti di supporto all’attività ordinaria dei call center, nella circolare 26 luglio 2017, n. 4 l’Ispettorato nazionale del lavoro ha infatti precisato che “possono essere considerati strumenti di lavoro” ai sensi dell’art. 4, comma 2 dello Statuto dei lavoratori i sistemi che “consentano il mero collegamento tra la chiamata e l’anagrafica del cliente senza ulteriori elaborazioni”, mentre negli altri casi, ad esempio qualora consentano di effettuare anche “ulteriori elaborazioni”, essi devono essere considerati idonei a realizzare un indiretto e preterintenzionale “monitoraggio dell´attività telefonica” effettuata dagli operatori addetti al call center, con la possibilità di ricostruirne anche indirettamente l’attività.

Come verificato nel corso dell’istruttoria, il sistema impiegato dalla società non si limitava a consentire l’associazione tra la chiamata in entrata e l’anagrafica del cliente per facilitare e semplificare l’attività dell’operatore di call center nella rapida ed efficiente gestione delle richieste dell’utenza, né consisteva in un mero archivio informatico a uso dei soli dipendenti che hanno rapporti con gli utenti, ma consentiva anche altre operazioni di trattamento e ulteriori elaborazioni e, nello specifico, la già citata registrazione delle chiamate e la memorizzazione delle meta informazioni ad esse relative, associate direttamente ai nominativi dei dipendenti che le avevano effettuate nell’ambito della propria attività lavorativa.

Dunque, sebbene la finalità perseguita dalla società di trasporti con il sistema di gestione delle telefonate in esame fosse quella di garantire il costante adeguamento quantitativo e qualitativo del servizio alle esigenze dell’utenza, e dunque fosse riconducibile alle lecite “esigenze organizzative e produttive […]”, espressamente fatte salve dal predetto articolo 4, comma 1, secondo il Garante la società non aveva però attivato le garanzie procedurali prescritte per gli strumenti di strumenti organizzativi dalla medesima norma, vale a dire l’accordo sindacale o l’autorizzazione da parte dell’Ispettorato nazionale del lavoro.

Secondo la ricostruzione del Garante, a questo si aggiungevano poi ulteriori violazioni delle norme in materia di protezione dei dati personali, puntualmente ricostruite nell’ordinanza, relative all’omissione di informazioni ai lavoratori sui diritti e le tutele loro spettanti previste, in questo caso, dalle già citate norme in materia di tutela della privacy, al mancato rispetto di principi della disciplina in materia di protezione dei dati personali (vale a dire i già citati principi di minimizzazione, di protezione dei dati fin dalla progettazione e di protezione dei dati per impostazione predefinita), e la violazione di regole relative alla garanzia della sicurezza dei dati.

L’Autorità ha perciò comminato alla società una sanzione amministrativa di 30.000 euro, tenuto conto anche della collaborazione da parte della società, compreso il fatto che questa aveva prontamente disattivato il sistema, a cui ha aggiunto la sanzione accessoria della pubblicazione dell’ordinanza sul sito web del Garante.

In conclusione, il Garante è dunque intervenuto sia rispetto al violazioni delle norme in materia di liceità del trattamento dei dati connesse al mancato rispetto dello Statuto dei lavoratori, sia rispetto a violazioni derivanti dalla configurazione stessa dell’informativa resa ai lavoratori e dello strumento di registrazione in quanto tale, delineando un quadro in cui, rispetto agli obblighi di comunicazione del datore, si intersecano norme in materia di tutela della privacy e norme giuslavoristiche.

Revenge porn: le segnalazioni e i reclami al Garante Privacy possono essere fatti anche da parte dei minori

Il Decreto Legge “riaperture” approvato il 7 ottobre in Consiglio dei Ministri (articolo 9 D.L. 139/21 pubblicato sulla Gazzetta Ufficiale 241 del 8 ottobre 2021) estende agli ultra 14enni la possibilità di segnalazioni al Garante della Privacy per il “revenge porn”, ovvero la diffusione di immagini intime di qualcuno senza il suo consenso e con scopi vendicativi, estorsivi o ricattatori.

Lo scorso marzo, l’autorità per la protezione dei dati personali aveva deciso di mettere a disposizione sul proprio sito istituzionale un canale di emergenza, tramite il quale le persone maggiorenni che temono che le loro foto o i loro video intimi possano essere diffusi senza il loro consenso su Facebook o Instagram, possono segnalare questo rischio e ottenere che le immagini vengano bloccate.

Adesso l’articolo 144-bis al Dlgs 196/2003, prevede che «chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’articolo 612-ter del Codice penale, può rivolgersi, mediante segnalazione o reclamo, al Garante». Quest’ultimo, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi dell’articolo 58 del Regolamento Ue 2016/679 e degli articoli 143 e 144, predisponendo indagini.

Si precisa inoltre che «quando le immagini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela» e che ai fini della segnalazione, l’invio al Garante di immagini o video a contenuto sessualmente esplicito riguardanti anche soggetti terzi, effettuato dall’interessato, non integra il reato di cui all’articolo 612- ter del Codice penale relativo alla diffusione illecita di immagini.

La nuova misura del Governo nasce per contrastare il sempre più diffuso fenomeno, quello della ignobile pratica della cosiddetta “pornovendetta”, che solitamente viene posta in essere da parte di un eventuale ex partner o da branchi di stupratori, producendo una violazione di diritti inviolabili della persona costituzionalmente garantiti e di lesioni gravi, talvolta irrimediabili e sempre irrisarcibili, della dignità e reputazione della vittima, con inevitabili ricadute sulla sua vita professionale e di relazione. L’obiettivo del revenge porn è quello sottoporre la persona ad una gogna mediatica che può condurla, a fronte di una sofferenza psichica, in alcuni casi ingestibile, anche a scelte estreme, compreso il suicidio.

Nota di approfondimento sulle disposizioni del D.L. 127/2021 Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening

Aggiornamento al 9 ottobre 2021

Il D.L. 127/2021 ha introdotto nell’ambito del lavoro pubblico e privato, ai fini dell’accesso ai luoghi di lavoro, l’obbligo di possedere ed esibire la certificazione verde COVID-19 (c.d. green pass,  di seguito “GP”).

Per quanto riguarda in particolare la previsione dell’obbligo del GP nell’ambito dell’impiego privato, si riporta di seguito una sintesi di quanto disposto dalla norma di riferimento, ovvero l’art. 3 D.L. 127/2021, che introduce un nuovo art. 9-septies nel contesto del D.L. 52/2021 conv. In L. 87/2021.

Oggetto: obbligo di possedere ed esibire il GP ai fini dell’accesso ai luoghi di lavoro pubblico e privato (ferma l’apposita disciplina già prevista per l’accesso per motivi di lavoro a) nelle istituzioni scolastiche, educative, di formazione e universitarie art. 9 ter – ter.1 – ter.2 D.L. 52/2021; b) nelle strutture residenziali, sociosanitarie e socioassistenziali art. 4 bis D.L. 44/2021; c) per il personale che esercita professioni sanitarie e operatori di interesse sanitario che svolgono attività nelle strutture sanitarie sociosanitari e socioassistenziali, pubbliche e private, nelle farmacie, parafarmacie e studi professionali art. 4 D.L. 52/2021)

Durata: per il periodo dal 15.10.2021 fino al 31.12.2021 (data che coincide con il termine attuale di cessazione dello stato di emergenza)

Soggetti obbligati: personale pubblico e privato, nonché tutti i soggetti che a qualsiasi titolo svolgono la loro attività lavorativa, o di formazione o di volontariato nei medesimi luoghi di lavoro, anche sulla base di contratti esterni

Esclusioni: non sono soggetti all’obbligo del GP i soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con Circolare del Ministero della Salute

Per le certificazioni di esenzione, le disposizioni attualmente vigenti sono quelle di cui alla Circolare del Ministero della Salute del 4.8.2021, in base alla quale, nelle more dell’adozione di apposito DPCM volto a regolare l’emissione e verifica digitale di tali certificazioni, i certificati di esenzione possono essere rilasciati in forma cartacea, con una validità massima fino al 30.9.2021, e non possono riportare altri dati sensibili dell’interessato ulteriori rispetto a quelli tassativamente previsti dalla Circolare stessa (non devono, ad esempio, riportare la motivazione clinica dell’esenzione).

Con Circolare del Ministero della Salute 25.9.2021 la validità e la possibilità di rilascio delle certificazioni di esenzione alla vaccinazione anti-COVID-19 di cui alla circolare del 4.8.2021, per gli usi previsti dalla normativa vigente, è stata prorogata sino al 30 novembre 2021, precisando che non sarà necessario un nuovo rilascio delle certificazioni già emesse, salvo i casi in cui le stesse contengano dati del soggetto interessato, ulteriori rispetto a quelli indicati per la loro compilazione, a carattere sensibile (es. motivazione clinica della esenzione).

Verifica del GP: obbligo del datore di lavoro (e del terzo, in caso di svolgimento di attività presso terzi o di terzi presso il datore di lavoro), da effettuarsi con le modalità indicate dal DPCM adottato ex art. 9, comma 10 D.L. 52/2021 convertito nella L. 87/2021: il riferimento è dunque al DPCM 17.6.2021 in base al quale:

4 le certificazioni verdi COVID -19 sono le certificazioni rilasciate, con termine di validità variabile, da 48 ore a 12 mesi a seconda delle circostanze che ne hanno consentito il rilascio, a fronte di a) avvenuta vaccinazione contro il SARS-CoV-2; b) avvenuta guarigione dall’infezione da SARS-CoV-2; c) effettuazione di un test molecolare o antigenico rapido con risultato negativo al virus SARS-CoV-2;

4 la verifica delle certificazioni verdi COVID-19 non può comportare, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma ed è effettuata mediante la lettura del codice a barre bidimensionale (QR code), utilizzando esclusivamente l’applicazione mobile prevista nell’allegato B del DPCM stesso, che consente unicamente di controllare l’autenticità, validità e integrità della certificazione e di conoscere le generalità dell’intestatario senza rendere visibili le informazioni che ne hanno determinato l’emissione; all’atto della verifica, su richiesta dei verificatori, l’intestatario della certificazione verde COVID-19 deve dimostrare la propria identità personale mediante esibizione di un documento d’identità.

OBBLIGHI DEL DATORE DI LAVORO ENTRO IL 15.10.2021

  1. definire le modalità operative per l’organizzazione delle verifiche del GP (anche a campione, ma con previsione prioritaria, ove possibile, che le verifiche siano effettuate al momento dell’accesso ai luoghi di lavoro)
  2. individuare con atto formale i soggetti incaricati all’accertamento delle violazioni da parte dei lavoratori (in base al DPCM 17.6.2021 se il controllo viene affidato a un dipendente/collaboratore l’incarico deve essere formalizzato con atto scritto comprensivo delle istruzioni sull’attività di verifica)

Conseguenze per i lavoratori che comunichino di non essere in possesso del GP ovvero che ne risultino privi al momento dell’accesso al luogo di lavoro

  1. Se l’impresa ha 15 o più dipendenti e per gli enti pubblici

sono considerati assenti ingiustificati fino alla presentazione del GP e comunque non oltre il 31.12.2021

-> senza conseguenze disciplinari

-> con diritto alla conservazione del posto

-> senza retribuzione o altro compenso o emolumento, comunque denominato

b) Se l’impresa ha meno di 15 dipendenti

dopo il quinto giorno di assenza ingiustificata il datore di lavoro può sospendere unilateralmente il lavoratore per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a 10 giorni, rinnovabili per una sola volta, non oltre il termine del 31.12.2021

Conseguenze per i lavoratori che accedono ai luoghi di lavoro in mancanza di GP

4 sanzione amministrativa da Euro 600 a 1.500 raddoppiata in caso di violazione reiterata 4 conseguenze disciplinari secondo i vari orientamenti di settore

Conseguenze per i DDL per mancata verifica dell’adempimento delle prescrizioni da parte

dei lavoratori o mancata adozione delle misure organizzative per le verifiche entro il  15.10.2021

4 salvo che il fatto costituisca reato, sanzione amministrativa da Euro 400 a 1.000, raddoppiata in caso di violazione reiterata

–           Sanzioni amministrative

Le sanzioni amministrative di cui sopra vengono irrogate dal Prefetto, i soggetti incaricati dell’accertamento e della contestazione delle violazioni trasmettono al Prefetto gli atti relativi alla violazione.

Le disposizioni che sono state sintetizzate hanno sollevato numerosi dubbi e perplessità

Confidiamo che i dubbi vengano risolti con delle chiare indicazioni ministeriali, cerchiamo di dare conto delle criticità, di cui alcune sembrano aver trovato una (se non ufficiale, comunque abbastanza condivisa) soluzione, mentre altre restano interrogativi ancora aperti.

L’inciso “su richiesta” inserito nel D.L. può essere interpretato nel senso che l’obbligo di GP sussiste solo in caso di richiesta?

No, l’obbligo di GP per accedere ai luoghi di lavoro sussiste in capo al lavoratore indipendentemente dalla richiesta di esibizione e dal controllo, il lavoratore che dovesse accedere al luogo di lavoro in mancanza di GP risponde della relativa violazione anche nel caso in cui quel giorno nessuno gli abbia chiesto di esibire e abbia verificato il suo GP.

La disposizione si applica anche ai lavoratori autonomi e liberi professionisti, considerato che l’art. 3 si riferisce sempre al soggetto tenuto all’effettuazione delle verifiche come “datore di lavoro”, concetto che potrebbe far pensare alla sussistenza dell’obbligo solo per i lavoratori subordinati?

Si, l’obbligo riguarda tutti coloro che devono accedere ai luoghi di lavoro per svolgere un’attività lavorativa, di formazione o volontariato a qualsiasi titolo, quindi anche al ddl e ai lavoratori autonomi e liberi professionisti; l’espressione “datore di lavoro” non è di ostacolo a tale interpretazione, peraltro certamente in linea con la ratio della norma, ove correttamente intesa nell’accezione ampia utilizzata in materia di sicurezza sul lavoro quale soggetto su cui grava l’organizzazione e la responsabilità del luogo di lavoro.

Cosa significa “contratti esterni” ex art. 1 comma 3 e ex art. 3 co. 2?

Ragionando sulla base della ratio della norma, l’espressione ha lo scopo di imporre l’obbligo a tutti i soggetti che per ragioni di lavoro, formazione, volontariato devono accedere ai luoghi di lavoro non solo in forza di un rapporto contrattuale diretto con il datore di lavoro (da intendersi, come accennato, nella nozione ampia di datore di lavoro di cui al D.Lgs 81/2008, nel senso di soggetto responsabile di un determinato luogo di lavoro), ma anche in forza di un “contratto esterno”, ossia con un soggetto terzo (per fare degli es.: i soggetti che riforniscono le macchinette del caffè e degli snack; gli addetti al servizio di pulizia).

Quali potrebbero essere i soggetti che, non dovendo accedere al luogo di lavoro per svolgere attività lavorativa, di formazione volontariato, possono ritenersi non soggetti all’obbligo di legge di possesso ed esibizione del GP per accedere al luogo di lavoro?

In linea di massima i clienti / utenti, i soggetti che debbano recarsi in azienda /ente per sostenere un colloquio di lavoro, eventuali “visitatori” (es. familiari del dipendente). Nella pubblica amministrazione i soggetti che usufruiscono dei servizi.

Per questi soggetti si ritiene permanga comunque l’obbligo di GP per poter utilizzare la mensa aziendale.

Peraltro, avendo le imprese natura privata, la norma non preclude ai ddl l’eventuale estensione dell’obbligo di GP per l’accesso al luogo di loro anche ai soggetti che per legge non vi sarebbero tenuti (come è stato fatto da alcune strutture sanitarie – anche pubbliche – per l’accesso dei pazienti/clienti alle visite specialistiche, oltre che per la visita dei degenti).

Il luogo di lavoro per l’accesso al quale è richiesto il GP ricomprende anche eventuali spazi all’aperto, depositi, etc.?

Posto che la norma non prevede eccezioni si ritiene opportuno adottare una interpretazione ampia del concetto di luogo di lavoro.

I soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica sono esclusi dall’obbligo di GP per accedere ai luoghi di lavoro: cosa dovranno presentare al ddl per dimostrare la loro condizione e poter quindi essere esentati dai controlli accedendo così ai luoghi di lavoro pur in assenza di GP?

Ad oggi e fino il 30.11.2021, dovranno presentare certificato cartaceo di esenzione con le caratteristiche di cui alla Circolare del Ministero della Salute del 4.8.2021, che non deve riportare alcuna indicazione della motivazione dell’esenzione. Tuttavia, sul punto è prevista la prossima adozione di un DPCM che dovrebbe regolare l’emissione dei certificati di esenzione in modo che gli stessi possano essere verificati digitalmente.

Nelle more, è necessario valutare dal punto di vista pratico come gestire i certificati di esenzione cartacei: in base alle adottande Linee Guida del Governo sul pubblico impiego i lavoratori esenti non dovranno essere sottoposti ad alcun controllo “previa trasmissione della relativa documentazione sanitaria al medico competente”. Alla luce di ciò, quindi, anche nell’impiego privato sembra del tutto preclusa la possibilità di richiedere ai lavoratori esenti l’esibizione quotidiana del certificato cartaceo di esenzione per poter accedere al luogo di lavoro.

Come fare il controllo a campione?

La norma non fornisce indicazioni precise ma ragioni di buon senso inducono a ritenere che il controllo a campione debba essere fatto su un campione SIGNIFICATIVO (non posso limitarmi a controllare 1 lavoratore su 100) e, ovviamente, prestando particolare attenzione che lo stesso venga effettuato con modalità tali da non risultare discriminatorie.

Sul punto le Linee Guida relative all’impiego pubblico dovrebbero indicare dei precisi parametri per i controlli a campione, da effettuarsi con cadenza giornaliera, prioritariamente nella fascia antimeridiana della giornata, in misura non inferiore a una determinata % del personale complessivamente presente in servizio e in maniera omogenea con un criterio di rotazione su tutto il personale.

La verifica a campione non garantisce che tutti coloro che di fatto accedono siano effettivamente dotati di GP: nell’ipotesi in cui venga accertata la presenza di un lavoratore privo di GP all’interno del luogo di lavoro il ddl che abbia fatto la verifica a campione è anch’egli responsabile (oltre al lavoratore) della violazione dell’obbligo di GP?

No, è opinione prevalente sul punto che il ddl non possa essere chiamato a rispondere se nelle proprie modalità operative per l’organizzazione delle verifiche ha previsto la modalità di verifica a campione, motivando tale scelta e se tale verifica è stata poi effettivamente svolta secondo quanto stabilito.

Si segnala che tuttavia, per evitare responsabilità, non sembra sia sufficiente definire delle “qualsiasi” modalità di controllo e svolgere le verifiche in conformità, le modalità di organizzazione dei controlli devono essere individuate sulla base di criteri di ragionevolezza e adeguatezza (ad es. potrebbe essere ritenuto non adeguato il controllo a campione se il campione non è significativo ovvero in mancanza di una ragione oggettiva che giustifichi il controllo a campione rispetto a un controllo generalizzato e puntuale).

Cosa significa che le modalità operative definite dai ddl per le verifiche devono prevedere prioritariamente, se possibile, che il controllo sia effettuato al momento dell’accesso ai luoghi di lavoro? Significa che posso prevedere il controllo in un momento diverso da quello dell’accesso ai luoghi di lavoro solo se, anche con verifica a campione, il controllo all’accesso risulta impossibile o è sufficiente che sia eccessivamente oneroso/gravoso/difficoltoso?

Si ritiene che la verifica possa essere effettuata anche dopo l’accesso in tutti i casi in cui vi siano delle oggettive e comprovabili difficoltà (ad esempio, numero eccessivo dei dipendenti da controllare, diversa dislocazione dei luoghi di lavoro etc.) ad effettuarla al momento dell’accesso.

Si ritiene opportuno evidenziare in proposito che il controllo a campione e il controllo successivo all’accesso ai luoghi di lavoro non garantiscono che nessuno dei soggetti tenuti acceda senza GP: pertanto, nella prospettiva di ridurre il più possibile il rischio di contagio, è senza dubbio preferibile privilegiare il controllo generalizzato, puntuale ed al momento dell’accesso.

Il controllo generalizzato all’ingresso, ove possibile, rimane, per evidenti ragioni di opportunità pratica, la misura da prediligere. Qualora, infatti, un lavoratore dovesse risultare positivo al Covid-19, sarà più semplice provare agli enti preposti la propria estraneità rispetto al momento del contagio.

In caso di opzione per una diversa modalità (a campione e/o successivamente all’accesso) è comunque opportuno che in sede di definizione delle modalità operative per l’effettuazione dei controlli la scelta venga motivata sulla base di ragioni oggettive.

E’ stato altresì rilevato che la scelta di effettuare controlli a campione e/o successivamente all’accesso, non garantendo che nessuno acceda senza GP, esporrebbe i lavoratori a più gravi conseguenze: è senz’altro opportuno, (anche) in relazione a questo profilo, che ai lavoratori venga data in azienda adeguata informazione in ordine alle novità contenute del D.L. 127/2021.

Cosa deve essere materialmente verificato ai fini dell’accesso ai luoghi di lavoro?

La verifica riguarda il QR code (che può essere esibito in cartaceo o su supporto digitale) e deve essere effettuata esclusivamente con l’apposita app di cui al DPCM 17.6.2021 “Verifica C19”. In caso di incertezza circa l’identità personale del soggetto che esibisce il GP i verificatori possono chiedere anche l’esibizione di un documento di identità personale, per verificare che il QR code corrisponde al soggetto che lo esibisce.

Si può chiedere ai soggetti incaricati dei controlli di installare l’app per effettuarli su loro dispositivi personali?

La norma nulla prevede al riguardo ma è senz’altro opportuno che i soggetti coinvolti nell’attività di verifica, sulla base di uno specifico incarico del ddl sul quale grava il relativo obbligo di legge e l’organizzazione dei controlli, utilizzino devices messi a disposizione a tal fine dal ddl e non dispositivi personali. Anche questo aspetto dovrà essere regolato nella definizione delle modalità operative di effettuazione dei controlli e ribadito nell’incarico che il ddl potrà rilasciare a soggetti terzi, peraltro informati e formati a tal proposito.

Chi non è in possesso di GP per essere considerato assente ingiustificato può anche solo limitarsi a comunicarlo preventivamente o deve necessariamente presentarsi ogni giorno in azienda?

Sul punto ciò che risulta dalla norma è che: a) l’autocertificazione di possesso del GP non è sufficiente per l’accesso al luogo di lavoro e non esime il ddl dall’effettuazioe delle verifiche; b) la norma fa espresso riferimento alla possibilità di una dichiarazione preventiva di NON essere in possesso del GP. Quindi, a ben vedere, se il lavoratore abbia dichiarato di non avere il GP (di talchè nessuna ulteriore verifica è necessaria) sopporterà le relative conseguenze economiche sino ad eventuale esibizione di un GP valido e non sembra ragionevole esigere che lo stesso si presenti ogni giorno in azienda al mero fine di ribadire tale dichiarazione (tenuto conto che inutili viaggi quotidiani di andata e ritorno al luogo di lavoro, visti in una prospettiva più ampia, portano con sé anche un potenziale inutile affollamento di mezzi pubblici, nonché una inutile esposizione a rischi anche di contagio).

Coloro che devono essere considerati “assenti ingiustificati” perché privi di GP non hanno diritto alla retribuzione né ad altri compensi o emolumenti, tuttavia la legge nulla dice sulla contribuzione: è comunque dovuta o rimane ferma per il ddl l’obbligazione contributiva?

Sul punto, al di là della contraddittorietà intrinseca di una nozione di assenza ingiustificata senza conseguenze disciplinari e con diritto alla conservazione del posto, l’opinione prevalente è che nel caso di specie, trattandosi di una ipotesi legale di sospensione della retribuzione, la contribuzione non sia dovuta.

Alle imprese con più di 15 dipendenti è preclusa la possibilità di sostituire il lavoratore assente perché privo di GP con una assunzione a tempo determinato?

In linea di principio la sostituzione è sempre legittima e tuttavia, non essendo possibile la sospensione del lavoratore sostituito, la durata del contratto a termine resta collegata al rientro del lavoratore sostituito che, in astratto, potrebbe presentarsi qualunque giorno con un GP valido e pretendere di prendere servizio, anche se magari solo per un paio di giorni

La possibilità di sospendere il lavoratore per le aziende sotto i 15 dipendenti è prevista dopo 5 giorni di assenza ingiustificata per mancanza del GP: deve trattarsi di 5 giorni continuativi o di 5 giorni complessivi anche non continuativi?

La norma lascia spazio a qualche incertezza, si potrebbe argomentare che i 5 giorni possono anche essere non continuativi in mancanza nella norma di una espressa previsione contraria. Peraltro, se si trattasse di 5 giorni continuativi, la previsione concederebbe al lavoratore ampi margini per impedire di fatto al ddl di sostituirlo e sospenderlo (per assurdo il lavoratore, facendo un tampone ogni tanto, potrebbe intervallare ad libitum 4 giorni di assenza con 1 o 2 giorni di presenza).

Per le aziende sotto i 15 dipendenti, dopo 5 giorni di assenza ingiustificata per mancanza del GP è possibile disporre la sospensione del lavoratore per 10 giorni “rinnovabili” una sola volta non oltre il termine del 31.12.2021: significa che per lo stesso lavoratore il ddl può disporre due diverse sospensioni di 10 giorni (al verificarsi ogni volta del pressuposto dei 5 giorni di assenza ingiustificata) ovvero che, dopo i 5 giorni di assenza ingiustificata del lavoratore, la sospensione di 10 giorni eventualmente disposta può anche essere prorogata di altri 10 giorni senza soluzione di continuità?

In proposito l’utilizzo dell’espressione “rinnovabili” farebbe pensare a due diverse sospensioni ciascuna di massimo 10 giorni collegate a due diversi contratti a termine per ragioni sostitutive, piuttosto che ad un’unica sospensione inizialmente di 10 giorni poi prorogata di altri 10 giorni collegata ad un contratto a termine e ad una successiva proroga dello stesso (peraltro questa sembra anche la soluzione più prudente perché richiederebbe nuovamente il verificarsi del requisito dei 5 giorni di sospensione per poter disporre la seconda sospensione ). Sul punto, tuttavia, per una risposta definitiva è opportuno attendere le indicazioni ufficiali che verranno date per l’impiego privato.

L’assenza ingiustificata per mancanza di GP richiede che al lavoratore venga fatta qualche comunicazione?

Pur non essendo in linea di principio necessario (a differenza che nel caso della sospensione) è senz’altro opportuno, nella prospettiva di eventuali contestazioni, comunicare al lavoratore che abbia dichiarato preventivamente di non essere in possesso di GP, o a cui è stato precluso l’accesso per mancanza di GP, che da quel giorno e fino a presentazione di GP valido sarà considerato assente ingiustificato senza diritto alla retribuzione. Le Linee Guida sull’impiego pubblico confermerebbero questa indicazione.

Il ddl può chiedere ai lavoratori di comunicare preventivamente se al 15.10.2021 e/o successivamente saranno in possesso di GP?

Tenuto conto del dato normativo (art. 3, co. 6 D.L. 127/2021) si ritiene legittima la richiesta al lavoratore di dichiarare anticipatamente se NON sarà in possesso di GP ad una certa data o per uno specifico lasso di tempo, in particolare ove sussistano oggettive ragioni organizzative che richiedano di sapere se il lavoratore presterà servizio.

E’ stata altresì ipotizzata, in alternativa, la possibilità di effettuare delle indagini anonime ovvero di chiedere ai lavoratori semplicemente di comunicare, per esigenze organizzative e senza alcun riferimento alle situazioni personali e quindi neppure al possesso o meno del GP, se potranno prestare la loro attività lavorativa in una certa data o un in un certo periodo.

Ad ogni buon conto, dovrebbe essere imminente la pubblicazione in G.U. di una ulteriore disposizione, contenuta nel D.L. c.d. “Capienze” che, mediante l’introduzione di un nuovo art. 9octies nell’ambito del D.L. 52/2021, dovrebbe “tagliare la testa al toro”, prevedendo espressamente anche l’obbligo dei lavoratori, in caso di richiesta del datore di lavoro derivante da specifiche esigenze organizzative volte a garantire l’efficace programmazione del lavoro, di comunicare il mancato possesso del green pass col preavviso necessario a soddisfare tali esigenze organizzative

Con l’obbligo del GP viene meno l’obbligo di rispettare le disposizioni previste dai Protocolli (distanziamento, mascherina ecc.)?

No

Per evitare l’incertezza quotidiana circa la ripresa del servizio o meno da parte del lavoratore, ove non è possibile la sospensione il ddl può comunque concordare con il lavoratore un periodo di aspettativa non retribuita o eventuali permessi o concedere le ferie?

In linea di massima non si vede la ragione per cui tali possibilità debbano essere escluse ove vi sia l’accordo delle parti. Attenzione, però, da un lato, a tener in debito conto, caso per caso, sia l’eventuale maggior costo (ove ad esempio non venga meno l’obbligo contributivo) di eventuali assenze concordate sia l’opportunità di procedere secondo criteri che non prestino il fianco ad accuse di discriminazione.

Mancanza di GP e smart working: il lavoratore che non ha il GP può comunque lavorare in SW? Devo concedere lo SW al lavoratore che non ha il GP?

Il GP è necessario per accedere al luogo di lavoro per cui nel caso in cui un soggetto lavori sempre in SW non ha necessità del GP.

Sono state pubblicate sul sito del Governo delle FAQ nelle quali si legge che lo SW non può essere utilizzato per “eludere” l’obbligo di GP: al di fuori dunque delle ipotesi in cui il lavoratore già prestava attività in SW in tutto o in parte anche prima del D.L. 127/2021, ipotesi per le quali non dovrebbero esserci problemi a proseguire con le modalità già in essere anche dopo il 15.10.2021, ed esclusa la sussistenza di un diritto del lavoratore privo di GP ad essere collocato in SW, sembrerebbe preclusa al ddl la possibilità di individuare i lavoratori da adibire allo SW sulla base del mancato possesso del GP. La bozza delle linee guida del Governo confermerebbero questa tesi.

Il lavoratore che alterna alcune giornate di SW e alcune giornate in presenza, se in una giornata in cui dovrebbe essere presente non esibisce il GP resta assente ingiustificato fino all’esibizione del GP o va considerato assente ingiustificato solo per le giornate di lavoro in cui era prevista la presenza?

Nonostante la lettera della norma, che tuttavia non contempla espressamente l’ipotesi dello SW, sembra preferibile la seconda soluzione: il lavoratore sarà considerato assente ingiustificato per mancanza di GP solo per le giornate di lavoro in presenza, mentre nelle giornate di SW potrà prestare regolarmente la propria attività e sarà considerato presente (allo stesso modo si ritiene che l’assenza ingiustificata per mancanza del GP venga interrotta, a prescindere dalla presentazione di un GP valido, anche ove sopravvengano altre legittime cause di esonero dalla prestazione (e, quindi, dalla presenza) quali ad esempio la malattia, il congedo di maternità etc..); in questi casi, tuttavia, la corretta imputazione delle giornate di assenza ingiustificata per mancanza del GP risulta in concreto possibile solo ove vi sia una precisa programmazione preventiva delle giornate in cui il lavoro deve essere svolto in SW e di quelle in cui deve essere svolto in presenza.

Chi deve sostenere il costo dei tamponi?

Il costo dei tamponi per ottenere il GP per i lavoratori che non vogliano vaccinarsi è a carico dei lavoratori stessi; il D.L. 127/2021 prevede che i tamponi vengano effettuati applicando un prezzo calmierato. Per coloro che invece siano esentati dalla vaccinazione è stabilita la gratuità del tampone, anche se non necessario per accedere ai luoghi di lavoro

Oltre agli obblighi (e relative sanzioni) espressamente previsti dal D.L. 127/2021 ve ne sono di ulteriori ai sensi della normativa privacy?

Le disposizioni di cui al D.L. 127/2021 comportano anche il trattamento di dati personali da parte del ddl per cui è senza dubbio necessario chiedersi anche quali siano gli specifici obblighi per il ddl derivanti dall’applicazione della normativa sulla protezione dei dati personali.

In primo luogo bisogna precisare che l’unico trattamento di dati espressamente ammesso dal D.L. 127/2021 sarebbe soltanto la verifica dei GP dei lavoratori mediante l’apposita app, operazione che non comporta la conoscenza e conservazione di alcun dato (tra cui in particolare le ragioni del rilascio del GP ovvero la sua durata, informazioni che il ddl non è legittimato a trattare neppure con il consenso dell’interessato).

Tanto precisato, si riporta di seguito una sintesi degli obblighi derivanti dal trattamento dei dati di cui al D.L. 127/2021 ai sensi della normativa sulla protezione dei dati personali:

a) INFORMATIVA agli INTERESSATI (art. 13 GDPR) sul trattamento che verrà fatto attraverso la verifica dei GP (via mail ai lavoratori, affissione nel luogo in cui vengono fatti i controlli, pubblicazione sulla rete intranet aziendale). E’ comunque opportuno che questa informativa venga preceduta sin d’ora da una comunicazione semplice sul contenuto del D.L. 127/2021 ed in particolare sui controlli che verranno fatti e sulle conseguenze del mancato possesso GP

b) INTEGRAZIONE REGISTRO TRATTAMENTO DATI con la nuova attività di trattamento e le realative modalità e caratteristiche

c) DEFINIRE LE MODALITA’ OPERATIVE DI GESTIONE DELLE VERIFICHE (oltre che ex art. 3 co. 5 D.L. 127/2021, anche ex artt. 24, 25, 32 GDPR): obbligo del titolare del trattamento di mettere in atto misure anche organizzative adeguate per garantire che il trattamento sia fatto in linea con GDPR e con un livello di sicurezza adeguato al rischio

d) INDIVIDUAZIONE DEI SOGGETTI INCARICATI DELLE VERIFICHE (oltre che ex art. 3 co. 5 D.L. 127/2021, anche ex art. 29 GDPR): bisogna incaricare i soggetti che faranno i controlli e formalizzare la loro autorizzazione al trattamento che preveda anche le istruzioni su come farlo; sarebbe inoltre necessaria una FORMAZIONE SPECIFICA dei soggetti incaricati

e) VALUTAZIONE DI IMPATTO DPIA (art. 35 GDPR), ove vengano utilizzati sistemi di rilevamento automatizzata (previa attenta verifica della legittimità degli stessi!)

Si evidenzia, da ultimo, che, oltre alle sanzioni amministrative previste dal D.L. 127/2021, il GDPR prevede ulteriori sanzioni amministrative in caso omissione degli specifici adempimenti privacy.

A fronte del D.L. 127/2021, in ambito privacy non sarà sufficiente un mero aggiornamento delle informative e il conferimento delle deleghe ai verificatori, ma è necessario un aggiornamento complessivo del modello di gestione del trattamento dati personali.

Merita evidenziare che la normativa esaminata solleva perplessità anche in relazione alla compatibilità tra obblighi imposti al ddl e limiti imposti al trattamento dei dati. In particolare, si è detto che i controlli non possono comportare la conservazione di alcun dato, ma se così fosse, come può il ddl dimostrare di aver eseguito i controlli in conformità a quanto previsto dal proprio piano operativo? Inoltre, per poter considerare i lavoratori privi di GP (per loro stessa dichiarazione ovvero a seguito di esito negativo del controllo) “assenti ingiustificati per mancanza di GP” applicando lo specifico trattamento previsto dal D.L. 127/2021, dovranno necessariamente essere comunicati all’ufficio che si occupa dell’elaborazione delle paghe quantomeno i dati relativi ai controlli che hanno avuto esito negativo (e le dichiarazioni dei lavoratori di non essere in possesso del GP).

Sul punto, è evidente che sul piano pratico, nel confronto tra l’adempimento degli obblighi di legge e i limiti imposti a tutela della riservatezza, “qualcosa non torna”.

Le Linee Guida del Governo relative all’impiego pubblico, se pur in versione ancora non definitiva, hanno tuttavia precisato, quanto ai controlli, che “in ossequio alla disciplina sul trattamento dei dati personali non è consentita la raccolta dei dati relativi alle certificazioni esibite dai lavoratori né la conservazione della loro copia”, il che porta a ritenere che sia invece legittima la mera registrazione (anche nominativa ossia con nome e cognome dei lavoratori controllati) delle verifiche effettuate, con indicazione del relativo esito.

Sarebbe opportuno che, qualora il ddl decida di incaricare un soggetto terzo al controllo della Certificazione, questi non proceda autonomamente a vietare l’ingresso ad un soggetto privo o con GP non valido o che ne imponga l’uscita dal luogo di lavoro. Stessa cosa in caso di rifiuto ad esibire la Certificazione od il relativo documento d’identità. Sarebbe più opportuno che l’incaricato informi della situazione il ddl/il Covid Manager (se nominato)/il Responsabile delle Risorse Umane (in ragione dell’organizzazione aziendale) e che si proceda contestualmente alla redazione di un verbale, che funga sia da prova in caso di controllo da parte degli Organi di P.G. e da documentazione necessaria alla regolamentazione del rapporto di lavoro o di prestazione di servizi/opera.

I soggetti incaricati dal ddl di effettuare i controlli possono rifiutare di svolgere tale attività?

Se l’incarico è affidato ad un lavoratore dipendente e la sua attribuzione rientra nel legittimo esercizio del potere del datore di lavoro di definire le mansioni si ritiene che in linea di principio l’incaricato non possa rifiutare l’incarico.

Se i soggetti incaricati dell’accertamento delle violazioni poste in essere dai lavoratori sono quelli individuati dal ddl, chi sono i soggetti incaricati dell’accertamento delle violazioni poste in essere dai ddl? C’è un obbligo di denuncia delle violazioni dei lavoratori? Chi deve occuparsi della trasmissione degli atti al Prefetto, il verificatore o il ddl su segnalazione del verificatore? Come va formalizzata la contestazione della violazione?

Si registra una forte incongruenza della norma sul punto. L’art. 3, comma 9 del DL 127/2021 prescrive sul punto l’applicazione dell’art. 4, comma 9, del DL 5 marzo 2020, n. 19, convertito, con modificazioni, dalla Legge 22 maggio 2020, n. 35, che così dispone:”Il Prefetto, informando preventivamente il Ministro dell’interno, assicura l’esecuzione delle misure avvalendosi delle Forze di polizia, del personale dei corpi di polizia municipale munito della qualifica di agente di pubblica sicurezza e, ove occorra, delle Forze armate, sentiti i competenti comandi territoriali. Al personale delle Forze armate impiegato, previo provvedimento del Prefetto competente, per assicurare l’esecuzione delle misure di contenimento di cui agli articoli 1 e 2 e’ attribuita la qualifica di agente di pubblica sicurezza. Il prefetto assicura l’esecuzione delle misure di contenimento nei luoghi di lavoro avvalendosi anche del personale ispettivo dell’azienda sanitaria locale competente per territorio e dell’Ispettorato nazionale del lavoro limitatamente alle sue competenze in materia di salute e di sicurezza nei luoghi di lavoro“. Al contempo però l’art. 10 del DL 127/2021 stabilisce che “Le sanzioni di cui al comma 9 sono irrogate dal Prefetto. I soggetti incaricati dell’accertamento e della contestazione delle violazioni di cui al medesimo comma 9 trasmettono al Prefetto gli atti relativi alla violazione”. Ne consegue che, il ddL ed i suoi incaricati NON hanno alcun obbligo giuridico di riferire al Prefetto le violazioni dell’obbligo di GP. I soggetti incaricati di accertare le violazioni del DL n. 127/2021 ai fini dell’applicazione delle sanzioni amministrative NON sono i soggetti privati designati dal ddl per verificare il possesso del GP. Sono semmai funzionari pubblici indicati dalla legge; infatti l’art. 13 della Legge 689/1981 chiarisce che “All’accertamento delle violazioni punite con la sanzione amministrativa del pagamento di una somma di denaro possono procedere anche gli ufficiali e gli agenti di polizia giudiziaria. […] È fatto salvo l’esercizio degli specifici poteri di accertamento previsti dalle leggi vigenti“. Si può al momento ipotizzare che, per le violazioni riferibili ai lavoratori il ddl (se non direttamente, ma dopo essere stato informato dall’incaricato), può trasmetterne notizia al Prefetto, senza perciò incorrere automaticamente in una sanzione, semmai dando prova di aver correttamente adottato e messo in atto la relativa Procedura, mentre per quelle applicabili ai ddl/Imprese provvederà principalmente lo SPISAl/Ispettorato del Lavoro ed altri Organi di P.G. competenti.

Necessità di doppia verifica da parte del ddl e del terzo in caso di lavoratori dipendenti di un terzo che operano all’interno dei luoghi di lavoro? Il caso particolare della somministrazione:

E’ possibile che il soggetto presso cui il lavoratore debba svolgere la prestazione, nell’ambito contrattuale, chieda che sia il ddl a svolgere il controllo del GP del proprio dipendente e poi si riservi un controllo a campione dei soggetti che effettivamente accedono alla propria struttura.Tuttavia si segnala la presa di posizione di Assolavoro che, con Circolare 9/2021, proprio per evitare la doppia verifica, ha invece stabilito che sia l’utilizzatore ad eseguire il controllo di validità del GP, in quanto ogni potere dispositivo e di controllo è trasferito per legge proprio sull’utilizzatore ed i locali dell’Agenzia non possono essere equiparati alla nozione di “luogo di lavoro”. Alle agenzie che si occupano dei contratti di somministrazione resterebbe dunque solo l’obbligo di informare i lavoratori degli obblighi previsti dal DL 127/2021.

E’ necessario/obbligatorio aggiornare la Procedura ANTI-COVID o piuttosto istituire una Procedura ad hoc? Stessa cosa dicasi per il DVR ed il MOGC ai sensi del D.Lgs. n. 231/2001?

E’ preferibile tenere separati i protocolli di sicurezza già adottati rispetto al documento che definisce le modalità dei controlli, trattandosi di atti che, pur dovendo necessariamente dialogare, hanno una diversa natura (negoziale i protocolli, unilaterale il piano che definisce l’organizzazione e le modalità dei controlli).

Per quanto riguarda l’aggiornamento del DVR, il ddl dovrà/potrà introdurre la Procedura inerente il possesso e la verifica della validità del GP quale ulteriore documentazione necessaria a governare il rischio del contagio all’interno della sede lavorativa, così rispettando il dettato anche della più generale norma di cui all’art. 2087 C.C.- L’Associazione Nazionale Medici d’Azienda e Competenti, con Nota del 3 Settembre 2021, ha fornito indicazioni sul ruolo del Medico Competente rispetto alla Certificazione Verde nei luoghi di lavoro, quale soggetto che non è generalmente coinvolto nelle procedure relative al controllo dell’assolvimento dell’obbligo vaccinale, non essendovi un collegamento diretto tra GP ed idoneità lavorativa. Per il Medico Competente permane il ruolo di collaborazione con il sistema aziendale, soprattutto nella messa a punto, aggiornamento e/o monitoraggio delle misure di contrasto alla diffusione del COVID-19. Le norme di riferimento rimangono quelle contenute nel Protocollo Condiviso dalle Parti Sociali del 6 Aprile 2021. Il ruolo del Medico Competente in ambito vaccinale consiste nella sensibilizzazione attraverso iniziative aziendali di info-formazione sul tema, allo scopo di fornire elementi oggettivi di valutazione personale ai lavoratori.

Le linee Guida del Governo, non ancora ufficiali, relative all’impiego pubblico hanno tuttavia precisato che i Certificati di esenzione dal possesso del GP debbano essere consegnati esclusivamente al Medico Competente che li conserverà nella Cartella Sanitaria del dipendente, al fine di rafforzare la tutela in materia di privacy. A questo punto si dovrà ipotizzare una comunicazione del Medico Competente al ddl od all’incaricato che potrà omettere il controllo delle persone esenti. Non si può escludere allora che, a seguito del coinvolgimento del Medico Competente, sia opportuno procedere all’aggiornamento del DVR in relazione alle misure organizzative e di tutela che il ddl dovrà mettere in atto per proteggere i lavoratori esenti che, evidentemente, sono esposti ad un maggiore rischio di contagio rispetto a coloro che sono dotati di GP, specie se a seguito di avvenuta vaccinazione.

Stessa conclusione allora dovrà essere tratta circa l’aggiornamento del Modello 231, che si basa sulla valutazione del rischio e sulle Procedure di sicurezza complessivamente adottate dall’impresa.

Le sanzioni applicabili sono solo quelle amministrative di competenza prefettizia?

Non si può non evidenziare come le sanzioni di cui all’art. 4, commi 1, 3, 5 e 9, del D.L. n. 19/2020, (convertito dalla L. n. 35/2020) richiamate dal’art. 3, comma 9, del DL 127/2021 prevedono la clausola di salvaguardia “salvo che il fatto costituisca reato”, pertanto occorre tener presente che gli obblighi previsti dal D.Lgs. n. 81/2008 sono generalmente presidiati da sanzioni penali. Tra questi obblighi, v’è quello – previsto dall’art. 18, comma 1, lett. f), penalmente sanzionato a carico del datore di lavoro e del dirigente dall’art. 55, comma 5, lett. c) – di vigilare sull’osservanza da parte dei singoli lavoratori delle “norme vigenti”, nonché delle “disposizioni aziendali in materia di sicurezza e di igiene del lavoro” (oltre agli obblighi in capo al preposto, di cui all’art. 19, comma 1, lett. a, D.Lgs. n. 81/2008). Né sfugga che, in base all’art. 20, comma 1, lett. a), e b) del medesimo Decreto, i lavoratori hanno l’obbligo – penalmente sanzionato dall’art. 59, comma 1, lettera a) – di “osservare le disposizioni e le istruzioni impartite dal datore di lavoro, dai dirigenti e dai preposti, ai fini della protezione collettiva ed individuale”. Non è pertanto da escludere che, a seguito dell’intervento dell’Organo di P.G., oltre alla segnalazione al Prefetto che applicherà la sanzione amministrativa, in caso di violazione non possano essere applicate anche le predette sanzioni penali.

I controlli sul Green Pass e la tutela dei dati personali nell’ente locale

Con il D.L. n. 127/2021 è stato introdotto l’obbligo di possedere ed esibire, su richiesta, la certificazione verde COVID-19 (cd. Green pass) per accedere al luogo di lavoro, a decorrere dal 15 ottobre 2021.

Tale obbligo riguarda tutto il personale dipendente comunale, gli amministratori comunali e tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso il comune, anche sulla base di contratti esterni (esempio appaltatori, tirocinanti, stagisti, volontari che devono accedere ai locali comunali, ecc.).

Per i dipendenti è previsto in sintesi che:

  • il dipendente che comunica di non avere il Green pass o che, se richiesto, non lo esibisca PRIMA DI ACCEDERE al luogo di lavoro, non potrà accedervi e verrà dichiarato assente ingiustificato dal servizio senza retribuzione o altro compenso, senza conseguenze disciplinari;
  • il dipendente che, se richiesto, non esibisca il Green pass ALL’INTERNO del luogo di lavoro, è soggetto a sanzione disciplinare e a sanzione amministrativa per un importo da 600 a 1500 euro.

Il Green pass non è richiesto agli utenti che devono accedere agli uffici comunali.

La necessità di porre in essere i controlli pone l’ente locale, ma in generale tutte le organizzazioni nella posizione di dover prendere delle decisioni che sembrano porsi in conflitto con il corretto adempimento della normativa in materia

Adempimenti da porre in essere ai sensi del Regolamento UE 2016/679 (GDPR)

Un errore molto diffuso è ritenere che l’attività di verifica del Green Pass non comporti trattamento di dati personali, e che di conseguenza non sia richiesto alcun aggiornamento della documentazione. Gli interventi dell’Autorità Garante per la protezione dei dati personali smentiscono in modo piuttosto palese questo tipo di interpretazione e anzi richiamano proprio (tanto le istituzioni quanto i privati) al corretto adempimento dei principi del GDPR.

E’ necessario perciò:

  1.  produrre le informative relative all’attività di verifica, conformemente agli artt. 13 e 14 del GDPR;
  2. aggiornare i registri delle attività di trattamento, conformemente all’art. 30 del GDPR;
  3. redigere l’atto di designazione dei verificatori, con autorizzazioni ed istruzioni, conformemente all’art. 29 GDPR e, ovviamente, in fase operativa verificare che tali interventi documentali siano operativamente attuati.

Particolare attenzione andrà posta nella definizione dei termini di conservazione delle checklist relative agli esiti dei controlli. Speriamo che il Garante per la Protezione dei Dati Personali dia delle indicazioni al riguardo.

Nonostante sia espressamente vietata la raccolta dei dati, non poche organizzazioni hanno creato banche dati contenenti dei dati delle certificazioni verdi.

Tale tipo di raccolta deve considerarsi illecita.

Così è accaduto, ad esempio, per le palestre, ma non sono le uniche ad aver predisposto tali procedure in aperta violazione del dettato dell’art. 13 comma 5 DPCM 17 giugno 2021 per cui “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.

Che sia il caricamento in PDF o l’anticipazione via e-mail o l’invio di una foto tramite servizio di messaggistica istantanea, tale attività è, fondamentalmente, vietata. Definire un termine breve (o brevissimo) di conservazione o l’applicazione di metodi di cifratura non consente di superare tale limite.

Attività di questo genere comportano la violazione del principio di liceità in quanto non vi è una base giuridica validamente individuabile, nonché del principio di minimizzazione dal momento che sono raccolti dati in eccesso rispetto alle finalità indicate dalla norma. Inoltre, è violato anche il principio di esattezza del dato con riguardo alla validità del Green Pass il quale, pur avendo una data di scadenza, può essere revocato.

E’ ESPRESSAMENTE VIETATA LA RACCOLTA DEI DATI DELLE CERTIFICAZIONI VERDI. NESSUNA BANCA DATI PER LA RACCOLTA DELLE CERTIFICAZIONI VERDI DEVE ESSERE CREATA.

Modalità di verifica

Al momento abbiamo l’esclusività di impiego dell’app VerificaC19, con l’unica eccezione al momento rappresentata dalla piattaforma docenti in ambito scolastico. Ogni sistema alternativo proposto sul mercato non è dunque conforme alle attuali prescrizioni di legge.

E’ assolutamente vietata l’adozione di sistemi integrati di riconoscimento facciale per evitare il “reimpiego” del medesimo Green Pass. L’attività di verifica non solo non deve raccogliere i dati della certificazione verde, ma, ovviamente nemmeno i dati biometrici degli interessati, in carenza di alcun fondamento di liceità per il trattamento di tali informazioni.

I verificatori

Spesso i verificatori non sono né designati né istruiti.

La mancata predisposizione di misure organizzative per la definizione dei ruoli e delle responsabilità dei soggetti verificatori viola la previsione di quell’ “atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica” previsto dall’art. 13 comma 3 DPCM 17 giugno 2021.

Tale disposizione, letta tenendo conto della normativa in materia di protezione dei dati personali è un richiamo della previsione generale stabilita dall’art. 29 GDPR per cui vi è l’obbligo generale, in capo al titolare del trattamento, di autorizzare ed istruire gli operatori che hanno accesso ai dati personali.

La forma che si vorrà dare all’atto di designazione rimane libera, ma è necessario fornire le istruzioni operative circa l’attività concreta da svolgere. Ad esempio: specificando le modalità di compilazione e conservazione di una checklist di controllo con il divieto di annotazione di alcuno dei dati relativi al Green Pass.

Il coinvolgimento del DPO

Con riferimento al DPO, va ricordato che vi è un obbligo specifico previsto dal GDPR, per cui tale soggetto deve essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali

Avvalersi della consulenza e informazione specifica in ambito di protezione dei dati personali già in sede di progettazione delle misure organizzative comporta infatti un minore rischio di incorrere in una o più non conformità.

APPENDICE NORMATIVA

DECRETO-LEGGE 21 settembre 2021, n. 127

Art. 1

Disposizioni urgenti sull’impiego di certificazioni verdi COVID-19 in ambito lavorativo pubblico

1. Al decreto-legge 22 aprile 2021, n. 52, convertito, con modificazioni, dalla legge 17 giugno 2021, n. 87, dopo l’articolo 9-quater e’ inserito il seguente:

«Art. 9-quinquies (Impiego delle certificazioni verdi COVID-19 nel settore pubblico).

1.            Dal 15 ottobre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di prevenire la diffusione dell’infezione da SARS-CoV-2, al personale delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, al personale di cui all’articolo 3 del predetto decreto legislativo, al personale delle Autorita’ amministrative indipendenti, ivi comprese la Commissione nazionale per la societa’ e la borsa e la Commissione di vigilanza sui fondi pensione, della Banca d’Italia, nonche’ degli enti pubblici economici e degli organi di rilievo costituzionale, ai fini dell’accesso ai luoghi di lavoro, nell’ambito del territorio nazionale, in cui il predetto personale svolge l’attivita’ lavorativa, e’ fatto obbligo di possedere e di esibire, su richiesta, la certificazione verde COVID-19 di cui all’articolo 9, comma 2. Resta fermo quanto previsto dagli articoli 9-ter, 9-ter.1 e 9-ter.2 del presente decreto e dagli articoli 4 e 4-bis del decreto-legge 1° aprile 2021, n. 44, convertito, con modificazioni, dalla legge 28 maggio 2021, n. 76.

2.            La disposizione di cui al comma 1 si applica altresi’ a tutti i soggetti che svolgono, a qualsiasi titolo, la propria attivita’ lavorativa o di formazione o di volontariato presso le amministrazioni di cui al comma 1, anche sulla base di contratti esterni.

3.            Le disposizioni di cui ai commi 1 e 2 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute.

4.            I datori di lavoro del personale di cui al comma 1 sono tenuti a verificare il rispetto delle prescrizioni di cui ai commi 1 e 2. Per i lavoratori di cui al comma 2 la verifica sul rispetto delle prescrizioni di cui al comma 1, oltre che dai soggetti di cui al primo periodo, e’ effettuata anche dai rispettivi datori di lavoro.

5.            I datori di lavoro di cui al comma 4, primo periodo, definiscono, entro il 15 ottobre 2021, le modalita’ operative per l’organizzazione delle verifiche di cui al comma 4, anche a campione, prevedendo prioritariamente, ove possibile, che tali controlli siano effettuati al momento dell’accesso ai luoghi di lavoro, e individuano con atto formale i soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi di cui ai commi 1 e 2. Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalita’ indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell’articolo 9, comma 10. Il Presidente del Consiglio dei ministri, su proposta dei Ministri per la pubblica amministrazione e della salute, puo’ adottare linee guida per la omogenea definizione delle modalita’ organizzative di cui al primo periodo. Per le regioni e gli enti locali le predette linee guida, ove adottate, sono definite d’intesa con la Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281.

6.            Il personale di cui al comma 1, nel caso in cui comunichi di non essere in possesso della certificazione verde COVID-19 o qualora risulti privo della predetta certificazione al momento dell’accesso al luogo di lavoro, al fine di tutelare la salute e la sicurezza dei lavoratori nel luogo di lavoro, e’ considerato assente ingiustificato fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021, termine di cessazione dello stato di emergenza, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro. Per i giorni di assenza ingiustificata di cui al primo periodo non sono dovuti la retribuzione ne’ altro compenso o emolumento, comunque denominati.

7.            L’accesso del personale ai luoghi di lavoro di cui al comma 1 in violazione degli obblighi di cui ai commi 1 e 2, e’ punito con la sanzione di cui al comma 8 e restano ferme le conseguenze disciplinari secondo i rispettivi ordinamenti di appartenenza.

8.            In caso di violazione delle disposizioni di cui al comma 4, di mancata adozione delle misure organizzative di cui al comma 5 nel termine previsto, nonche’ per la violazione di cui al comma 7, si applica l’articolo 4, commi 1, 3, 5 e 9, del decreto-legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35. Resta fermo quanto previsto dall’articolo 2, comma 2-bis, del decreto-legge 16 maggio 2020, n. 33, convertito, con modificazioni, dalla legge 14 luglio 2020, n. 74. Per le violazioni di cui al comma 7, la sanzione amministrativa prevista dal comma 1 del citato articolo 4 del decreto-legge n. 19 del 2020 e’ stabilita in euro da 600 a 1.500.

9.            Le sanzioni di cui al comma 8 sono irrogate dal Prefetto. I soggetti incaricati dell’accertamento e della contestazione delle violazioni di cui al medesimo comma 8 trasmettono al Prefetto gli atti relativi alla violazione.

0.            Al personale di cui al comma 1 dell’articolo 9-sexies, collocato fuori ruolo presso le amministrazioni di cui al comma 1, si applicano le disposizioni di cui al medesimo articolo 9-sexies, commi 2 e 3, fermo restando quanto previsto dal comma 8 del presente articolo.

1.            Fermo restando quanto previsto al comma 12, ai soggetti titolari di cariche elettive o di cariche istituzionali di vertice, si applicano le disposizioni di cui ai commi 1, 3, 4, 5 e 8.

10.          Gli organi costituzionali, ciascuno nell’ambito della propria autonomia, adeguano il proprio ordinamento alle disposizioni di cui al presente articolo.

2.            Le amministrazioni di cui al comma 1, provvedono alle attivita’ di cui al presente articolo con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica.».

Sì all’uso delle Body Cam in operazioni di polizia

La polizia potrà utilizzare le telecamere indossabili in caso di operazioni particolari (vanno individuate nel disciplinare di servizio) con conservazione dei dati allungata a sei mesi.

Va posta la massima costante attenzione al corretto trattamento dei dati personali ed in particolare al perimetro della sicurezza informatica e senza fare mai ricorso al riconoscimento facciale.

Lo ha chiarito il Garante per la protezione dei dati personali con il provvedimento n. 290 del 22 luglio 2021.

L’impiego delle bodycam da parte degli operatori di polizia è sempre più frequente grazie al potente effetto dissuasivo rappresentato dal fattore visibilità della telecamera sulla divisa. Ma anche grazie ad una tecnologia sempre più performante. La corretta regolazione di questi sistemi richiede però una adeguata perimetrazione dei rischi privacy.

Il titolare del trattamento deve adottare tutte le necessarie misure tecniche ed organizzative a tutela del corretto trattamento dei dati personali.

Il ministero dell’interno ha richiesto un parere sulla preventiva valutazione di impatto e sul disciplinare operativo redatto dalla polizia di stato per l’attivazione del proprio sistema di 700 bodycam da assegnare ai reparti mobili che curano l’ordine pubblico.

Il Garante ha espresso parere favorevole ai sensi dell’art. 24 del dlgs 51/2018 evidenziando una serie importante di raccomandazioni. In particolare l’autorità ha evidenziato una serie di criticità operative che potrebbero interferire con la sicurezza complessiva del trattamento dei dati personali specificando che il sistema non potrà essere utilizzato per il riconoscimento facciale e la tracciabilità di tutte le operazioni dovrà essere sempre assicurata ritenendo anche congruo un termine massimo di conservazione delle immagini di 6 mesi.

Vi deve essere una rigida regolamentazione delle copie dei filmati. Il Garante raccomanda al Viminale di non generare copie tra il centro e la periferia ma di organizzare in qualche modo l’accesso sicuro ai filmati senza duplicazioni.

Autovelox, l’automobilista multato ha diritto di accedere alle immagini registrate dalle telecamere

L’automobilista che incorre in un controllo automatico dell’eccesso di velocità ha diritto di accesso alle informazioni relative all’eventuale sistema di videosorveglianza posizionata in loco a tutela del vigile elettronico. E se il comune omette di dare seguito alle richieste può scattare una sanzione in materia di privacy. Lo ha evidenziato il Garante per la protezione dei dati con l’ordinanza ingiunzione 15 ottobre 2020, n. 9486531.