Breaking news

 

 

 

Vaccinazioni anti-Covid nel contesto dell’ambito lavorativo

L’autorità di controllo ha predisposto alcune indicazioni e regole utili che permettono di applicare correttamente il GDPR nei confronti dei trattamenti di dati personali dei datori di lavoro relativi alle vaccinazioni anti-Covid eseguite dai dipendenti. Le linee guida emanate confermano che il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro. Il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (infatti, in tale contesto, non è un’attività subordinata alla necessità di eseguire il contratto di lavoro instaurato tra dipendente e datore di lavoro). Quindi, il datore di lavoro non può richiedere al dipendente conferma sull’avvenuta vaccinazione. Il medico competente non può comunicare al datore di nominativi dei dipendenti vaccinati. Infatti, e ciò deriva da regola generale e non specificamente dalla fattispecie in esame. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica. Il datore di lavoro può, invece, acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati. In sostanza, il medico competente non può comunicare al datore di lavoro i nominativi dei lavoratori che si sono sottoposti a vaccino. Nell’attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi. Quindi, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica. Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore. Da ciò discende che il datore di lavoro non può richiedere al lavoratore di eseguire la vaccinazione anti-Covid per consentire di accedere ai locali di lavoro, ma è compito del medico competente stabilire la necessità del vaccino in funzione della mansione del lavoratore (es.: mansioni svolte in ambito sanitario).

Nuove linee guida dell’autorità di controllo per i cookie e gli altri strumenti di tracciamento

L’autorità di controllo spiega le nuove regole per la gestione dei cookie e altri strumenti di tracciamento on-line. In estrema sintesi, il Garante afferma che non è possibile utilizzare tecniche di scrolling e a cookie wall, fatte particolari eccezioni e che ci si deve attenere a limiti nella reiterazione delle richieste di consenso. L’autorità di controllo ha approvato le nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on-line. Il provvedimento è stato adottato il 10 giugno 2021, tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal GDPR, ma ha le sue motivazioni anche in una serie di altri fattori: l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute al Garante) sulla non corretta attuazione delle modalità per rendere le informazioni agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati. Il meccanismo di acquisizione del consenso on-line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Ecco, in sintesi, i principali contenuti nelle nuove Linee guida sui cookie.

Informazioni ex art. 13, GDPR

Nel rispetto del GDPR, le informazioni agli utenti dovranno indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni; potrà essere resa anche su più canali e con diverse modalità (es.: con pop-up, video, interazioni vocali). Resta confermato l’obbligo delle sole informazioni per i cookie tecnici, anche inserita nelle informazioni generali. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso

Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra. Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento. Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori. Il Garante sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno sei mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nelle informazioni almeno i criteri di codifica dei tracciatori adottati da ciascuno.

I titolari dei siti avranno n. 6 (sei) mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Per entrare maggiormente nel dettaglio, si evidenziano i punti chiave.

I cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori “attivi”). Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa (c.d. identificatori “passivi”), consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei cookie.

I cookie e gli altri strumenti di tracciamento sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, d. lgs 196/2003 come modificato dal d, lgs 101/2018). Non richiedono l’acquisizione del consenso, ma devono essere indicati nelle informazioni ex art. 13, GDPR.

I cookies anaytics di prima e di terze parti sono equiparabili ai cookie e agli altri identificatori tecnici solo se:

1. sono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;

2. è mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;

3. le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (es.: file dei clienti o statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o APP che siano riconducibili al medesimo publisher o gruppo imprenditoriale.

Il titolare che effettui in proprio la mera elaborazione statistica dei dati relativi a più domini, siti web o APP ad esso riconducibili può utilizzare anche i dati in chiaro, nel rispetto del vincolo di finalità.

I cookie e gli altri strumenti di tracciamento non tecnici sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

I principi del GDPR che impattano sulle Linee guida dei cookie sono:

1. accountability (responsabilizzazione del titolare – art. 5, comma 2, GDPR), quindi capacità di dimostrare che il trattamento incontra i requisiti del GDPR

2. integrazione delle informazioni con altri elementi, in primis, i criteri di conservazione

3. rafforzamento del consenso che deve essere “inequivocabile”

4. rispetto dei principi di data protection by design and by default (art. 25, GDPR)

Per le informazioni e il consenso vale quanto segue:

1. usare linguaggio semplice ed accessibile;

2. le informazioni devono essere fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari;

3. le informazioni possono essere rese anche in modalità multilayer e multichannel;

4. se si utilizzano solo cookie tecnici, le informazioni possono essere posizionate nella home page del sito o nella privacy policy generale;

5. se si trattano anche altri cookie e altri identificatori “non tecnici”, si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:

6. l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informazioni in forma breve);

7. il link alla privacy policy (o a specifica cookie policy) contenente le informazioni complete, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti ex artt.15-22, GDPR;

8. l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Per il consenso valgano le seguenti indicazioni:

1. Il banner dovrà contenere il menzionato comando (es.: una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;

2. Il banner dovrà contenere un comando per accettare tutti i cookie o altre tecniche di tracciamento;

3. Nello stesso banner dovrà esserci un link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in un’unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento. Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link (es.: cookie policy) posizionato nel footer di qualsiasi pagina del dominio;

4. Non è consentita la reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso, tranne nei seguenti casi: (i) se mutano significativamente le condizioni del trattamento; (ii) se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo; (iii) se sono trascorsi almeno n. 6 (sei) mesi dalla precedente presentazione del banner.

Nel caso di utenti con account (cd. utenti autenticati), divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi se non previo consenso.

Vi sono altre informazioni da rendere all’utente e, nello specifico:

1. I criteri di codifica dei cookie e degli altri strumenti di tracciamento adottati, da comunicare, su richiesta, al Garante;

2. la possibilità, per gli utenti autenticati, di acconsentire al tracciamento effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device.

La tecnica dello scrolling non può essere adottata, poiché di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

La tecnica del cookie wall è illecita, salva l’ipotesi – da verificare caso per caso – nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del GDPR.

Se i consensi già raccolti sono conformi alle caratteristiche richieste dal GDPR mantengono la loro validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

Il tempo per l’adeguamento dei sistemi e dei trattamenti già in atto ai principi espressi dalle Linee Guida è stato fissato in n. 6 (sei) mesi dalla pubblicazione delle Linee guida in Gazzetta Ufficiale.

Come si può notare le nuove Linee guida non introducono concetti poco noti o requisiti onerosi se già i siti hanno adottato idonee modalità tecniche gestionali, organizzative e di informazione e raccolta di consenso. Ci saranno sicuramente aspetti da adattare e integrare rispetto alle impostazioni di cookie policy di ciascuno, ma il tempo messo a disposizione per recepire integralmente le “vere novità” è tale da permettere un pieno e cristallino allineamento alle nuove regole. Quindi, nessun allarmismo, ma impostazione di un rigoroso e serio piano di analisi della situazione attuale e delle variazioni ed integrazioni da implementare.

 

Per saperne di più, contattami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635