Questo il mio parere di consulente legale dopo un’attenta disamina dei più recenti interventi di semplificazione (o banalizzazione) delle misure minime di sicurezza nel settore data protection.
Tralasciando per qualche istante best practices e buonsenso mi sono chiesto: ma chi può realmente e in tutta tranquillità bypassare il DPS con un’autocertificazione?
Partiamo dalla fetta più consistente di destinatari delle nuove norme: liberi professionisti, artigiani e PMI che, con strumenti elettronici, trattano:
a) solo dati personali non sensibili (indirizzi, numeri di telefono, etc.) oppure che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;
b) dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.
I Titolari che rientrano nel Punto a) possono sostituire il Documento con una più agile Autocertificazione nella quale attestano di trattare soltanto tali dati (v. Punto a) in osservanza delle altre misure di sicurezza prescritte (v. Codice e suo Allegato b), mentre i Titolari che rientrano nel Punto b) devono redigere si il DPS, ma in forma semplificata.
Chi può passare all’autocertificazione?
Vediamo un po’ chi effettivamente rientra nel Punto a) e può tranquillamente usufruire dell’Autocertificazione sostitutiva del DPS.
A prima vista sembrerebbe che la stragrande maggioranza dei Titolari di trattamento, limitandosi a gestire informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate anche in relazione a obblighi contrattuali e normativi per correnti finalità amministrative e contabili, possa mandare in soffitta il DPS, ma attenzione ad un dettaglio di non trascurabile rilevanza.
Se per quanto riguarda i dati comuni non sorge alcun dubbio, non altrettanto si può dire per la tipologia di dati sensibili che rientrano nell’agevolazione. Il nuovo Art. 34 comma 1-bis del Codice Privacy parla di “dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto, costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi”, ed è su quest’ultima locuzione che vorrei spendere qualche riflessione.
Quali sono i dati idonei a rivelare lo stato di salute di lavoratori trattati in Azienda?
1) Comunicazioni all’INPS: per le assenze per motivi di salute, il lavoratore utilizza un’apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro (con la sola indicazione dell’inizio e della durata presunta dell’infermità: c.d. “prognosi”) e in un certificato di diagnosi da consegnare, a cura del lavoratore stesso, all’Istituto nazionale della previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso Istituto d’intesa con la regione, se il lavoratore ha diritto a ricevere l’indennità di malattia a carico dell’ente previdenziale.
2) Denuncia all’INAIL: la denuncia all’Istituto assicuratore (Inail) ha ad oggetto infortuni e malattie professionali occorsi ai lavoratori. Essa, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965). In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l’obbligo di limitarsi a comunicare all’ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata.
3) Benefici di legge: trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap.
4) Accesso a programmi riabilitativi o terapeutici: il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l’onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell’art. 124, commi 1 e 2, d.P.R. n. 309/1990).
5) Medico competente: il D.L 626/1994 pone direttamente in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlativo trattamento dei dati contenuti in cartelle cliniche).
In quest’ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 DPR 303/1956; art. 16 D.L. 626/1994) e istituisce (curandone l’aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies e 70 d.lg. n. 626/1994).
Detta cartella è custodita presso l’azienda o l’unità produttiva, “con salvaguardia del segreto professionale, e [consegnata in] copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta” (art. 4, comma 8, d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all’Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, d.lg. n. 626/1994), in originale e in busta chiusa.
Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un’efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, “con salvaguardia del segreto professionale” .
Ancora sicuri di poter ricorrere all’Autocertificazione?
Ricordando, poi, che per il Codice operazioni di trattamento sono anche la conservazione di dati personali anche se non registrati in una banca dati, faccio presente che è sufficiente una semplice email con scannerizzata una denuncia Inail per far scattare l’obbligo di redazione del DPS seppur in forma semplificata.
Quali rischi?
Il rischio a cui si espone il Titolare del trattamento non è più quello relativo alla violazione dell’art. 169, bensì quello dell’art. 168 del Codice Privacy. Tale ipotesi di reato attiene alle “Falsità nelle dichiarazioni e notificazione rese al Garante”: Chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da 6 mesi a 3 anni.
E’ evidente, quindi, il diverso tenore della sanzione che il Titolare rischia di vedersi comunque infliggere se autocertifica e attesta falsamente in tale documento di trattare solo dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto (…) senza indicazione della relativa diagnosi, poiché si prevede la pena (ben superiore) della reclusione da sei mesi a tre anni (al posto dell’arresto sino a due anni previsto dall’art. 169 anche per il mancato adeguamento del DPS nella situazione ante modifica).
In conclusione
Considerato il non gravoso impegno della redazione del nuovo DPS in forma semplificata, consiglio caldamente a tutti coloro che trattano dati dei propri dipendenti con strumenti elettronici di eccedere pure in prudenza e proseguire con gli aggiornamenti del DPS entro il 31 marzo di ogni anno alleggerendolo pure di tutte quelle parti non ritenute più necessarie dall’ordinamento.