giovedì 18 giugno 2020

NEWSLETTER DEL 18 GIUGNO 2020

La responsabilità 231 ai tempi del COVID-19: le indicazioni operative di Confindustria nel position paper di Giugno 2020

Anche Confindustria prende posizione nel dibattito sulle responsabilità del datore di lavoro derivanti dal rischio contagio da Covid-19 e, sulla scia di quanto già evidenziato dal Ministero del Lavoro e dall’Inail (quest’ultimo nella circolare n. 22 del 20 maggio), giunge a sostenere che vadano esclusi profili di responsabilità, anche in chiave 231, in capo al datore di lavoro e all’impresa che abbiano adottato e concretamente implementato le misure anti-contagio prescritte dalle Autorità pubbliche per far fronte al rischio pandemico.

Con il position paper pubblicato i primi di giugno, la Confederazione degli industriali fornisce indicazioni sui profili di adeguatezza dei modelli organizzativi adottati ai sensi del Decreto 231/2001, per far fronte ai rischi connessi all’emergenza e ai relativi obblighi per il datore di lavoro e per la struttura aziendale.

Confindustria osserva, in primo luogo, come l’epidemia abbia determinato l’insorgere di un rischio diretto per le imprese, conseguente al rischio da contagio nei luoghi di lavoro, che determina, per il datore di lavoro, l’obbligo di predisporre le misure a tutela dei lavoratori, ai sensi dell’articolo 2087 del codice civile e in attuazione anche dei presidi generalmente previsti nei Modelli 231.

Osserva, però, d’altro canto, come nel quadro di eccezionalità e complessità che stiamo vivendo, i datori di lavoro non abbiano a disposizione le competenze scientifiche necessarie per valutare adeguatamente un rischio di tal genere e le sue conseguenze e, quindi, per decidere autonomamente le misure necessarie a contenere tale rischio. Tali compiti sono demandati alle Autorità pubbliche, le sole che invece dispongono, anche attraverso appositi Comitati Scientifici, di informazioni e competenze necessarie a valutare il rischio e individuare le misure necessarie per farvi fronte.

E infatti, le Autorità – prosegue il position paper - hanno individuato una serie di misure di contenimento del contagio, contenute in diverse fonti: nei decreti-legge e nei DPCM che si sono succeduti, nel Protocollo di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro, sottoscritto dal Governo e dalle parti sociali il 14 marzo scorso e dalle sue successive integrazioni. Il medesimo messaggio è stato inoltre esplicitato dall’INAIL (con la nota n. 89 del 13 marzo 2020).

“A fronte delle indicazioni contenute in queste fonti, - chiariste Confindustria - il margine di valutazione e determinazione dei datori di lavoro appare limitato alla sola attuazione scrupolosa delle misure che le Autorità, anche in raccordo coi rappresentanti delle imprese, hanno adottato e continueranno ad adottare, nonché alla vigilanza volta ad assicurare che i lavoratori si adeguino a tali misure”.

Ai fini di un’efficace e corretta implementazione delle misure, dovrà quindi essere predisposto un protocollo aziendale che declini in modo puntuale le misure poste in essere per recepire quelle contenute nel Protocollo di sicurezza nazionale, e dovranno essere documentate per iscritto tutte le singole attività realizzate e le decisioni assunte dal datore in attuazione di tali misure, le informative rivolte ai dipendenti, nonché le relazioni elaborate dagli organi preposti alle verifiche in ordine al rispetto delle nuove procedure. Tale protocollo andrà a integrarsi, di fatto, nel complesso dei presidi messi in campo dal datore all’interno della propria organizzazione al fine di prevenire la commissione di fattispecie rilevanti anche in chiave 231.

Cambia la qualificazione dell’Organismo di Vigilanza ai fini privacy

(Garante per la protezione dei dati personali - parere del 12 maggio 2020)

Con parere del 12 maggio 2020 il Garante per la protezione dei dati ha risposto ad un quesito sottoposto dall'Associazione dei Componenti degli Organismi di Vigilanza, in merito alla qualificazione soggettiva ai fini privacy degli OdV.

Per anni, infatti, si era assistito ad un vivace dibattito tra chi sosteneva che l’Organismo dovesse essere inquadrato come titolare autonomo o responsabile esterno rispetto al trattamento dei dati di terzi svolto in occasione del compimento dei propri compiti di vigilanza, che comportano normalmente un notevole flusso di informazioni da e verso l’Organismo e la società.

Con un colpo di scena, il Garante ha ritenuto che, pur essendo dotato di autonomi poteri di iniziativa e controllo, l’Organismo non possa essere considerato né autonomo titolare del trattamento, né responsabile, ma che debba piuttosto essere considerato alla stregua di un soggetto autorizzato al trattamento.

Non può essere titolare in quanto i compiti di iniziativa e controllo propri dell'OdV non sono determinati dall'organismo stesso, bensì dalla legge che ne indica i compiti e dall'organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento, compresa l'attribuzione delle risorse, i mezzi e le misure di sicurezza.

Analogamente – ha precisato l’Autorità - tenuto conto che l'OdV non è distinto dall'ente, ma è parte dello stesso, si ritiene che non possa essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest'ultimo” secondo le istruzioni impartite dal titolare. A differenza del responsabile del trattamento, che risponde nei confronti del titolare dell'inosservanza di idonee misure tecniche e organizzative volte a proteggere i dati trattati per conto del titolare, eventuali omessi controlli in ordine all'osservanza dei modelli predisposti dall'ente non ricadono sull'OdV ma sull'ente stesso.

Il Garante ha quindi ritenuto che, in ragione del trattamento dei dati che l'esercizio dei compiti e delle funzioni affidate all'OdV comporta (ad esempio, l'accesso alle informazioni acquisite attraverso flussi informativi), il titolare dovrà designare - nell'ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability - i singoli membri dell'OdV quali soggetti autorizzati. Ciò a prescindere dal fatto dalla circostanza che i membri che lo compongono siano interni o esterni.

Un’interpretazione sicuramente discutibile, ma che, quanto meno, libera i componenti dell’Organismo da una responsabilità per il trattamento dei dati che avrebbe potuto rendere, in effetti, più complicato lo svolgimento del loro incarico.

App Immuni: attiva in tutta Italia dopo l’ok del Garante al trattamento dei dati personali

E’ ormai attiva in tutta Italia dal 15 giugno l’App Immuni, dopo un breve periodo di sperimentazione in alcune Regioni.

Con il provvedimento del 1° giugno 2020 il Garante della protezione dei dati personali ha infatti autorizzato il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19.

All’esito di una disamina sulle principali caratteristiche dell’app Immuni, il Garante ha dato il suo benestare, auspicando il rispetto di una serie di importanti prescrizioni:

1) informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa;

2) consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione;

3) individuare modalità adeguate a proteggere i dati di analisi, evitandone ogni forma di ri-associazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi nel rispetto dei principi di privacy by design e by default;

5) precisare, nel modello di informativa, la descrizione delle operazioni effettuate con i dati personali raccolti in relazione alle diverse categorie di interessati;

6) dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni;

8) integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione;

9) integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti suscettibili di coinvolgimento nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati.