Archivio mensile:maggio 2020

Il ruolo degli Organismi di Vigilanza dopo il Gdpr

Il ruolo degli Organismi di Vigilanza dopo il Gdpr
I chiarimenti del Garante Privacy

Il Garante per la privacy ha precisato il ruolo e le responsabilità degli Organismi di Vigilanza (OdV) riguardo ai trattamenti dei dati personali svolti nelle loro funzioni e ha escluso che essi possano essere qualificati come titolari autonomi o come responsabili del trattamento.

Gli OdV sono gli organi ai quali l’ente, ossia la persona giuridica, la società o l’associazione affida, nel rispetto della disciplina sulla responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.

Nella risposta ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza, il Garante ha infatti chiarito che il Gdpr (Regolamento Ue 679/2016) si pone in linea di continuità con quanto già previsto dalla Direttiva europea sulla privacy del 1995 in relazione alla definizione del ruolo di titolare e responsabile del trattamento: il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo è colui che “tratta dati personali per conto del titolare del trattamento”.

Gli OdV, sia pur dotati di autonomi poteri di iniziativa e controllo previsti dalla normativa 231 per l’espletamento delle loro funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.

Inoltre, l’OdV non può essere considerato neppure quale responsabile del trattamento, inteso come persona giuridicamente distinta dal titolare che agisce per conto di quest’ultimo secondo le istruzioni impartite. Il Gdpr, infatti, pur non modificandone l’essenza, prevede ora, in funzione della gestione dei dati svolta per conto del titolare, un serie di obblighi in capo al responsabile del trattamento, come pure la sua diretta responsabilità per l’eventuale inosservanza degli stessi. Al contrario, eventuali omessi controlli sull’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso.

L’OdV nel suo complesso non è quindi distinto dall’ente ma è “parte dell’ente” che, quale titolare del trattamento, definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. In particolare, l’ente designerà i singoli membri dell’OdV come soggetti autorizzati, i quali dovranno attenersi alle istruzioni del titolare.

Covid-19, test sierologici sul posto di lavoro: i chiarimenti del Garante privacy Il datore di lavoro non può effettuare direttamente esami diagnostici sui dipendenti.

corso_agg_dpo

 

Il datore di lavoro può effettuare direttamente test sierologici per il Covid-19 ai propri dipendenti?  Quali aspetti bisogna considerare nel promuovere screening sierologici nei confronti di lavoratori appartenenti a categorie a rischio come, ad esempio, gli operatori sanitari e le forze dell’ordine?

A queste domande rispondono due Faq appena pubblicate sul sito del Garante http://www.garanteprivacy.it. Le Faq forniscono indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private e chiariscono i presupposti per l’effettuazione dei test sierologici per il Covid-19 sul posto di lavoro.

Il Garante ha specificato, in particolare, che, nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica. Solo il medico del lavoro infatti, nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici. E sempre il medico competente può suggerire l’adozione di mezzi diagnostici, quando li ritenga utili al fine del contenimento della diffusione del virus, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche riguardo alla loro affidabilità e appropriatezza.

Nelle Faq l’Autorità precisa anche che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami). Il datore di lavoro deve, invece, trattare i dati relativi al giudizio di idoneità del lavoratore alla mansione svolta e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire. Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Il Garante ha chiarito infine che la partecipazione agli screening sierologici promossi dai Dipartimenti di prevenzione regionali nei confronti di particolari categorie di lavoratori a rischio di contagio, come operatori sanitari e forze dell’ordine, può avvenire solo su base volontaria. I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare).

Roma, 14 maggio 2020