Le principali Faq dell’Autorità chiariscono alcuni aspetti fondamentali del tema

Il D.Lgs. n. 101/2018 allinea il codice italiano al regolamento (Ue) n. 2016/679, ma non sospende le attività ispettive del Garante. Tra le direttrici fondamentali che sono state inserite nell’articolato nel provvedimento, troviamo il controllo a distanza e il divieto d’indagine sulle opinioni dei lavoratori

L’entrata in vigore, il 25 maggio 2018, del regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, ha portato a una nuova rivoluzione in materia di protezione dei dati personali; non
ci sono settori economici, infatti, che possano ritenersi esenti da questo nuovo regime della privacy che, per altro, ha pesanti riflessi anche sulla gestione dei processi di salute e di sicurezza sul lavoro, come
del resto emerge anche scorrendo il documento “storico” del Garante del 31 marzo 2008, in cui mise una serie di paletti all’allora nascente D.Lgs. n. 81/2008, soprattutto in ordine alla tenuta della documentazione e alla gestione dei dati sanitari. Il regolamento (Ue) n. 2016/679 (cosiddetto “Rgpd”) ha posto, tuttavia, anche il problema per il legislatore italiano di armonizzare la disciplina interna con questo importante provvedimento che, com’è noto, non richiede ulteriori provvedimenti recettivi da parte dei singoli Stati membri.
La risposta non è stata immediata, come ci si attendeva, ma, sia pure con ritardo, è arrivata con il decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016» (in Gazzetta Ufficiale 4 settembre 2108, n. 205), con il quale si è completata la prima fase del delicato processo di adeguamento della disciplina italiana a quella europea contenuta nel regolamento (Ue) 2016/679, che, per altro, prevede anche un pesante apparato sanzionatorio. Al tempo stesso, come si vedrà, l’Autorità garante per la privacy ha anche dettato, in data 8 ottobre 2018, istruzioni operative sul registro dei trattamenti che fanno seguito a quelle del 1° ottobre sulla definizione delle liti pendenti, che forniscono importanti indicazioni per gli operatori. Favorita la linea della continuità Il provvedimento, in vigore dal 19 settembre 2018, armonizza, quindi, le disposizioni contenute nel «Codice in materia di protezione dei dati personali» (D.Lgs. n. 196/2003), con quelle introdotte dal citato regolamento europeo n. 2016/679, abrogando anche numerose disposizioni in esso contenute. Un primo profilo da mettere subito in risalto è che con il D.Lgs. n. 101/2018, il legislatore italiano ha operato una precisa scelta di fondo: al fine di assicurare un’indispensabile continuità tra la nuova e la previgente disciplina ha introdotto un periodo transitorio in cui sono fatti salvi i provvedimenti del Garante e le autorizzazioni che saranno oggetto di un successivo riesame. L’art. 21, comma 1, infatti, stabilisce che sarà il Garante ad adottare un apposito provvedimento generale, da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del D.Lgs. n. 101/2018, che stabilirà le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al capo IX del regolamento (Ue) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del D.Lgs. n. 101/2018 e, ove occorra, provvederà al loro aggiornamento.
Le autorizzazioni generali sottoposte a verifica ritenute incompatibili con le disposizioni del regolamento (Ue) n. 2016/679, cesseranno di produrre i loro effetti dal momento della pubblicazione nella Gazzetta Ufficiale del citato provvedimento generale; il comma 3 stabilisce, inoltre, che le autorizzazioni generali adottate dal Garante prima della data di entrata in vigore del decreto – quindi come già accennato il 19 settembre 2018 – relative a trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla predetta data. Peraltro, occorre osservare che lo stesso Garante con provvedimento generale 19 luglio 2018, n. 424, già aveva preannunciato che, nelle more del perfezionamento dell’iter legislativo di adeguamento del quadro normativo nazionale, sarebbero restate in vigore, sia pure temporaneamente, le autorizzazioni generali adottate in data 15 dicembre 2016, tra le quali le più significative riguardanti la salute e la sicurezza sul lavoro sono:
• la n. 1/2016, in materia di rapporto di lavoro;

• la n. 2/2016, in materia di dati idonei a rivelare lo stato di salute e la vita sessuale;

• la n. 4/2016 per i professionisti.

Molto significativa è, inoltre, anche la funzione promozionale attribuita al Garante che avrà, così, il delicato compito di emanare le regole deontologiche concernenti il trattamento dei dati personali in alcuni settori (giornalismo, lavoro, statistica e ricerca scientifica) coinvolgendo i soggetti interessati.

Controllo a distanza e divieto d’indagine sulle opinioni dei lavoratori

Un’altra direttrice strategica fondamentale, seguita in materia di lavoro, la si rinviene nell’art. 15, D.Lgs. n. 101/2018, che ha novellato l’art. 171, D.Lgs. n. 193/2006, riguardante le violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori, stabilendo che, in caso di violazione delle norme contenute negli articoli 4, comma 1, e 8, legge n. 300/1970 (cosiddetto “Statuto dei lavoratori”) si applica il regime sanzionatorio già previsto dell’art. 38 della stessa legge.
Non si tratta, in effetti, di un’innovazione assoluta, ma la strada seguita dal legislatore anche in questo caso è quella di un più efficace coordinamento sistematico delle nuove disposizioni con quelle poste a tutela della libertà e della dignità del lavoratore della legge n. 300/1970; è necessario ricordare, in particolare, che l’art. 4, comma 1, stabilisce il divieto generale in base al quale gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori (ad esempio personal computer fissi e portatili, tablet, telefoni cellulari eccetera) possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria (Rsu) o dalle rappresentanze sindacali aziendali (Rsa) o, in mancanza, previa autorizzazione rilasciata dalla competenze sede territoriale dell’Ispettorato nazionale del lavoro.
L’art. 8, legge n. 300/1970, invece, fa espresso divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore; si tratta, invero, di una disposizione molto importante e per altro bisogna ricordare anche dibattuta in tema d’indagini sul personale finalizzate alla valutazione del rischio da stress lavoro-correlato.
In caso di violazione, pertanto, di queste disposizioni secondo quanto confermato dal novellato art.171, D.Lgs. n. 193/2006, il trasgressore sarà passibile delle sanzioni previste dall’art. 38, legge n. 300/1970, quindi, salvo che il fatto non costituisca più grave reato, l’ammenda da euro 154,94 a euro 1.549,37 o l’arresto da 15 giorni a un anno.

Controlli: nessuna sospensione all’orizzonte
Un altro profilo di notevole rilievo è la disciplina sui controlli; il D.Lgs. n. 101/2018, ha messo fine ad alcuni rumor, risultati poi infondati, su alcune previsioni della versione definitiva del decreto che andavano nella direzione di uno stop temporaneo delle attività di controllo.
Viceversa, nel provvedimento in questione, non è prevista alcuna sospensione dell’attività ispettiva dell’Autorità garante fino ad aprile 2019; occorre considerare, infatti, che l’art. 22, comma 13, infatti, stabilisce
che «Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (Ue) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie».
Invero, non è molto chiara l’esatta portata di questa previsione ma, almeno da una prima lettura, sembra di capire che, fino al 18 maggio 2019, l’attività sanzionatoria del Garante dovrebbe essere più “mite” e improntata alla valutazione di diversi fattori, come l’aver avviato le procedure di adeguamento e aver pianificato le diverse attività necessarie per garantire il rispetto della nuova normativa.
Da questa previsione, pertanto, non emerge alcuna sospensione del potere ispettivo, ma solo una fase transitoria in cui si tiene in considerazione che, in sede di prima applicazione di una normativa alquanto complessa come quella del regolamento europeo n. 2016/679, sono maggiori le difficoltà di adeguamento dei sistemi e delle procedure; di conseguenza, nell’applicare le sanzioni il Garante dovrà tener conto di diversi elementi come del resto già previsto nelle linee guida del Comitato europeo (ex WP29) del 3 ottobre 2017.

Violazioni pregresse: parte la sanatoria

Sempre sul piano sanzionatorio, occorre anche sottolineare che l’art. 18, D.Lgs. n. 101/2018, ha introdotto anche la definizione agevolata delle violazioni pregresse in materia di protezione dei dati personali; in deroga all’art.16, legge n. 689/1981, per i procedimenti sanzionatori riguardanti le violazioni di cui agli artt. 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, D.Lgs. n. 196/2003, e le violazioni delle misure di cui agli artt. 33 e 162, comma 2-bis, medesimo decreto che, alla data di applicazione del regolamento europeo, risultino non ancora definiti con l’adozione dell’ordinanza- ingiunzione, è ammesso il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale. Si tratta, quindi, di una sanatoria che riguarda tutti quei procedimenti sanzionatori relativi a condotte illecite poste in essere prima del 25 maggio 2018; fatti salvi i restanti atti del procedimento eventualmente già adottati, il pagamento potrà essere effettuato entro 90 giorni dalla data di entrata in vigore del D.Lgs. n. 101/2018, ossia il 18 dicembre 2018. L’art. 18 – che, è bene precisare, detta ulteriori disposizioni in materia – ha, quindi, una sua precisa ratio, ovvero produrre un effetto deflattivo del contezioso sorto per le violazioni commesse prima dell’entrata in vigore del regolamento europeo n. 2016/679.
Come già accennato in merito è intervenuto recentemente anche l’Autorità garante e con comunicato del 1° ottobre 2018 ha fornito importanti istruzioni operative per chiarire ai soggetti pubblici e privati come usufruire della definizione agevolata dei procedimenti sanzionatori pendenti. Da osservare, in particolare, che nelle domande più frequenti (Faq) pubblicate sul proprio sito web2, l’Autorità ha precisato che, qualora decida di non definire in maniera agevolata i procedimenti sanzionatori pendenti, il contravventore ha la facoltà di pagare l’intero importo contenuto nell’atto di contestazione oppure di presentare nuove memorie difensive entro il 16 febbraio 2019.
In quest’ultimo caso, il Garante, esaminate le nuove memorie presentate nei termini, potrà, in alternativa, disporre l’archiviazione degli atti ove ne ricorrano i presupposti, ovvero adottare specifica ordinanza- ingiunzione con la quale potrà determinare la somma dovuta per la violazione e ingiungerne il pagamento all’autore della violazione e alle persone che vi sono obbligate solidalmente. Nella stessa Faq è inoltre sottolineato che «Il termine per il Garante per disporre l’archiviazione degli atti o per adottare una specifica ordinanza-ingiunzione è di 5 anni ai sensi dell’art. 28 della legge 24 novembre 1981, n. 689; tale termine di prescrizione del diritto a riscuotere le somme dovute è stato espressamente interrotto dall’art. 18, comma 5, del decreto legislativo n. 101 del 10 agosto 2018 e pertanto decorrerà nuovamente a partire dal 19 settembre 2018 (data di entrata in vigore del d.lgs. 101/2018). Il termine ultimo per l’archiviazione degli atti o per l’adozione di un provvedimento di ordinanza-ingiunzione, in tali casi, sarà quindi quello del 19 settembre 2023».
Da rilevare, inoltre, che sempre nelle Faq è chiarito che, per effetto del già citato art. 18, D.Lgs. n. 101/2018, possono avvalersi della definizione agevolata soltanto i contravventori che abbiano ricevuto, entro il 25 maggio 2018, l’atto con il quale sono notificati gli estremi della violazione o l’atto di contestazione immediata di cui all’art. 14, legge n. 689/1981.

Registro delle attività di trattamento: i chiarimenti del Garante e le ricadute sui professionisti

Per quanto, invece, riguarda la tenuta del registro dei trattamenti, il D.Lgs. n. 101/2018 non ha introdotto innovazioni in materia come ci si attendeva, lasciando più saggiamente, quindi, un ampio spazio d’intervento all’Autorità garante che come accennato l’8 ottobre 2018 ha fornito diversi e importanti chiarimenti sui soggetti obbligati e le regole di tenuta. Bisogna ricordare che questo registro deve essere predisposto dal titolare e dal responsabile del trattamento ed è un documento contenente le principali informazioni (si veda l’art. 30, regolamento n. 2016/679) relative alle operazioni di trattamento svolte da un’impresa, un’associazione, un esercizio commerciale, un libero professionista o altro soggetto obbligato. Come precisato dell’Autorità garante, l’obbligo di redigere questo registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento «idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività»; la stessa Autorità, inoltre, ricorda che sono tenuti a redigere il registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particoprivacy lari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica eccetera) o anche di dati relativi a condanne penali e a reati. Il campo applicativo è, quindi, molto vasto e, come emerge delle importanti Faq del Garante riportate di seguito, per quanto riguarda la salute e la sicurezza sul lavoro, coinvolge non solo i medici competenti, ma anche altri professionisti che trattano tali dati in questo ambito.

Le altre novità di rilievo in sintesi

Resta, infine, solo da rilevare brevemente che il D.Lgs. n. 101/2018, ha introdotto anche alcune ulteriori innovazioni di rilievo; in particolare, nel codice della privacy (D.Lgs. n. 196/2003), è stato introdotto il nuovo articolo 154-bis, che, al comma 4, prevede che, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/Ce, il Garante stabilirà le modalità semplificate di adempimento degli obblighi del titolare del trattamento. Al tempo stesso, è stato ridotto da 16 a 14 anni il limite di età entro cui il consenso al trattamento dei dati personali dei minori deve essere esercitato da chi ne abbia la responsabilità genitoriale. Inoltre, per quanto riguarda il curriculum vitae inviato ai fini dell’instaurazione di un rapporto di lavoro, non è più necessario esprimere il consenso al trattamento dei dati in esso contenuti, ma chi lo riceve deve fornire al primo contatto utile successivo le informazioni previste dall’articolo 13, regolamento n. 2016/679.