Benvenuti alla prima puntata di RISCHIO LEGALE.

IN QUESTA SITUAZIONE EMERGENZIALE, È POSSIBILE PER L’IMPRENDITORE RACCOGLIERE I DATI SANITARI DEI LAVORATORI?

Se ve lo siete chiesti anche voi, consultate il presente link per tutte le delucidazioni del caso.

Rimaniamo a disposizione per ulteriori chiarimenti.

In merito alla pubblicazione della versione definitiva delle Linee guida 2/2019 sul trattamento dei dati personali ai sensi dell’art. 6, c.1, lett. b) del GDPR, nel contesto della fornitura di servizi online, di cui abbiamo parlato lo scorso giovedì, specifichiamo quanto segue.
Il Comitato Europeo per la Protezione dei Dati, nelle succitate linee guida, specifica anche come la fruibilità della base giuridica contrattuale venga di norma meno con la conclusione del rapporto, con la conseguenza che l’ulteriore e successivo trattamento dei dati personali dovrebbe trovare il suo fondamento in una delle altre basi giuridiche offerte dal Regolamento.

Il Comitato Europeo per la Protezione dei Dati ha adottato la versione definitiva delle Linee guida 2/2019 sul trattamento dei dati personali ai sensi dell’art. 6, c.1, lett. b) del Regolamento UE 2016/679 nel contesto della fornitura di servizi online.
Le Linee guida, al momento disponibili unicamente in lingua inglese, si occupano principalmente di specificare in quali casi il trattamento sarà effettivamente da considerarsi “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” e potrà dunque ritenersi legittimo anche in assenza del consenso dell’interessato

Numerosi son gli spunti in materia di responsabilità da reato delle persone giuridiche ricavabili dalla sentenza in data 16 dicembre 2019 della Corte di Appello di Firenze, pronunciatasi sulla nota vicenda di Viareggio del 29 giugno 2009. In particolare, i Giudici si sono soffermati su composizione e poteri degli Organismi di Vigilanza di alcune delle società coinvolte.
La Corte ha così rilevato come un OdV collegiale il cui Presidente era Responsabile della Direzione internal audit - quindi un dipendente dell’ente - porti a ritenere non attuato efficacemente il Modello organizzativo pur adottato.
Inoltre, i controlli svolti sulle attività sensibili interessate (attività manutentive) si risolvevano in "verifiche puramente cartolari circa il possesso” da parte delle aziende incaricate "delle autorizzazioni e della documentazione circa l’effettuazione delle attività richieste”. Infine, i Giudici hanno censurato anche il fatto che l’Organismo non abbia irrogato nessuna sanzione.

Usare un algoritmo per profilare in modo automatizzato le assenze dei dipendenti viola la loro privacy, ed espone il datore di lavoro alle sanzioni del Gdpr. Lo ha stabilito il Commissario per la protezione dei dati personali di Cipro, imponendo sanzioni per 82.000 euro a tre società che operano nel settore delle crociere.
Invero, il Gruppo Louis aveva iniziato ad utilizzare una formula matematica per monitorare tramite un software i congedi per malattia degli 818 lavoratori, assegnando loro un punteggio negativo quando le defezioni non pianificate erano brevi ma ricorrenti.
Nonostante le società del Gruppo Louis avessero preventivamente effettuato una valutazione d'impatto, non sono però state in grado di dimostrare che tale trattamento automatizzato di dati sensibili relativi alla salute dei lavoratori fosse necessario per il perseguimento di un legittimo interesse del titolare ai sensi dell'art. 6 par. 1) lettera f) del Gdpr.