Primi commenti al Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati

LEGGI ANCHE: Metadati delle e-mail dei dipendenti: osservazioni sul provvedimento del Garante sottoposto a consultazione pubblica

È arrivato dal Garante per la Protezione dei Dati Personali l’esito della consultazione pubblica che la stessa Autorità aveva aperto a distanza di poche settimane dalla pubblicazione del documento di indirizzo circa la conservazione dei metadati della posta elettronica, che tante discussioni aveva suscitato tra esperti di protezione dati e responsabili aziendali.

E le novità sono importanti. Vediamo cosa e come è cambiato.

Le definizioni di “metadati”

Innanzitutto, il Garante chiarisce meglio cosa sono i “metadati” e, di conseguenza, amplia il campo di applicazione, affermando come “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate”; e tecnicamente si tratta di “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”.

In altri termini, i metadati includono: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.

Si tratta di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla (manifestazione di) volontà dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.

Non a caso il Garante precisa dicendo che: “possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.

Metadati registrati automaticamente nei log dei servizi di posta

Poi, sempre il Garante spiega come questi metadati siano in grado di formare “il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”; e poi conclude dicendo come dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.

In parole più semplici, le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.

Gli aspetti giuslavoristici e il controllo a distanza

Ancora, in materia giuslavoristica, circa l’applicabilità del comma II dell’art. 4 della L. n. 300/1970, la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è sì consentita ma per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari.

In pratica, comanda il contesto, il che consente di rispettare prima e applicare dopo, i vari principi generali del GDPR e in primis quello dell’accountability.

Da ultimo, circa la tematica del controllo a distanza, la generalizzata raccolta e conservazione dei log di posta elettronica per un periodo (più) esteso, può determinare un “indiretto controllo a distanza” dell’attività dei lavoratori, richiedendo perciò le garanzie previste dall’art. 4, comma I.

Conservazione dei metadati e la normativa in materia

La normativa in materia ovviamente non cambia, richiamando per l’effetto i seguenti documenti:

le “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, il provvedimento del 4 dicembre 2019, n. 216, doc. web n. 9215890);

i principi fondanti del GDPR tra cui la liceità in termini di protezione dati (ex artt. 5, par. 1, lett. a), e 6 del GDPR), nonché la sussistenza dei presupposti di liceità giuslavoristici (ex art. 4 della l. 20 maggio 1970, n. 300) oltre al rispetto di quanto è fatto divieto al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Ciò a maggiore garanzia di una delle condizioni di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del GDPR, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice);

il rispetto da parte del titolare del trattamento di tutti principi generali (artt. 5, 24 e 25), ponendo in essere tutti quegli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del GDPR);

in piena attuazione del principio di “accountability” è compito del titolare, scrive il Garante, “valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento)”;

le linee guida concernenti “la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5, tenendo in debito conto delle indicazioni fornite anche a livello europeo sul punto, nella specie, in caso di raccolta e memorizzazione dei log della posta elettronica, considerata la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

La conservazione dei metadati in materia di controlli a distanza

Il documento di indirizzo rivisitato sul punto cruciale della conservazione dei metadati in materia di controlli a distanza, affinché sia ritenuto applicabile il comma II dell’art. 4 della Statuto dei lavoratori (L. n. 300/1970), si sbilancia dicendo che “tale conservazione non dovrebbe comunque superare i 21 giorni”, come anticipato.

Poi precisa che, dovendo assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, e quindi sempre nell’ambito della stessa finalità, l’eventuale data retention per un tempo ancora più ampio è possibile, ma solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare”.

Spetta al titolare, in caso di un’estensione ulteriore di 48 ore, “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

In caso contrario, dice il Garante, “la generalizzata raccolta nonchè la conservazione di tali metadati dei log di posta elettronica, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro –” si configura un indiretto controllo a distanza dell’attività dei lavoratori che richiede senza dubbio l’esperimento di quelle garanzie ex art. 4, comma I, dello Statuto dei Lavoratori.

Conservazione dei metadati e responsabilità dei datori di lavoro

Circa le possibili responsabilità, nel caso in cui i datori di lavoro, tanto del comparto pubblico quanto di quello privato, conservino oltremodo detti metadati, sono svariate profilandosi aspetti di illiceità del trattamento circa l’impiego di programmi/servizi di gestione della posta elettronica, in assenza delle garanzia (accordo sindacale), prima dell’avvio circa l’attività di “preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti” nonché alla loro conservazione per un arco temporale più ampio e cioè superiore a 21 giorni più 48 ore.

Profili di illiceità possono tuttavia derivare altresì, scrive il Garante “dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie” (art. 4, comma III) evitando che per le finalità connesse alla gestione del rapporto di lavoro, siano utilizzati/trattati altri dati/informazioni senza fornire una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” nel rispetto della privacy.

Per dunque concludere con l’affermazione a mente della quale “la generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

La violazione del principio di correttezza e trasparenza

Il Garante richiama poi il principio secondo cui tutti i titolari del trattamento sono tenuti a “verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano”; dal momento che “è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.)”.

Il principio della data retention

Sui tempi di conservazione dei metadati, richiamando quanto già sopra detto, non aggiunge molto di più anche rispetto al documento di indirizzo primigenio, se non sottolineare l’importanza/presenza delle finalità connesse alla sicurezza informativa e informatica, in considerazione della tutela del patrimonio annesso, rispondendo il tutto all’obiettivo principe che è quello di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.

I principi di privacy by design e by default

Importanti sono le considerazioni che il Garante fa in ordine alla privacy by design e by default sul tema.

Nella fattispecie ritiene che il datore di lavoro/titolare del trattamento debba “accertarsi che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.

Prospettiva interessante, la stessa peraltro che si deve applicare ai “produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte”.

Ne consegue dunque anche i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR.

In tale prospettiva, saranno i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a (dover) tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

Ma questa indicazione sarà praticabile?

Possibili iniziative di compliance per tutti i datori di lavoro

I datori di lavoro pubblici e privati quindi dovranno adottare tutte le misure necessarie a conformare i propri trattamenti.

In particolare, spetterà al titolare del trattamento (datore di lavoro pubblico o privato) verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano all’utente/cliente cioè datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola, anche tenuto conto della previsione di cui al periodo di conservazione degli stessi ad un limite massimo di 21 giorni, estensibile di ulteriori 48 ore, alle condizioni sopra indicate.

In ogni caso, le indicazioni contenute nel documento di indirizzo rinnovato all’esito della consultazione pubblica, scrive il Garante “devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici […] siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi”. In pratica, valgono per tutti i datori di lavoro.

E nel cloud, occorre far riferimento specie con riferimento al settore pubblico, alle indicazioni contenute nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo, come il primo documento di indirizzo già prevedeva.

Conclusioni

La parte più interessante del documento ci pare essere proprio alla fine, laddove “ il Garante sottolinea il ruolo dei provider di posta, che non sempre può essere considerato un semplice responsabile, prefigurando precise responsabilità in termini di privacy by design in capo a loro”.

Metadati delle e-mail dei dipendenti: osservazioni sul provvedimento del Garante sottoposto a consultazione pubblica

I metadati delle comunicazioni di posta elettronica dei dipendenti possono essere conservati dai datori di lavoro, al più tardi, per 7 giorni, prorogabili con motivate ragioni per ulteriori 48 ore.

Lo ha stabilito il Garante all’interno di un provvedimento di indirizzo datato 21 dicembre 2023, reso pubblico il 6 febbraio 2024. Le nuove regole sui metadati hanno colto di sorpresa aziende e professionisti, sollevando malumori in dottrina, anche già solo per la mancanza di spiegazioni in merito alla determinazione di una durata così precisa, rigida e breve. La posizione dell’Autorità di controllo ha enormi impatti concreti, sia per le conseguenze bloccanti (inutilizzabilità dei dati) sia per i profili di responsabilità civile, amministrativa e perfino, in qualche caso, penale che il provvedimento in questione evoca.

Sull’onda delle ampie reazioni negative, il Garante ha deciso di sottoporre la congruità dei termini e di altri passaggi a consultazione pubblica con un pacchetto di atti amministrativi reso disponibile il 27 febbraio 2024. La consultazione si è aperta il 16 marzo con la pubblicazione del relativo avviso in G.U. (serie generale, n. 64) e avrà termine il prossimo 15 aprile.

Si può partecipare, facoltativamente, inviando osservazioni presso la sede di piazza Venezia n. 11 – 00187 Roma o all’indirizzo di posta elettronica ordinaria protocollo@gpdp.it oppure via pec a protocollo@pec.gpdp.it, indicando nell’oggetto «Consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica».

Va tenuto in ogni caso presente che gli apporti che perverranno non vincolano in alcun modo l’Autorità: “I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante”.

Facciamo dunque un punto sull’intera vicenda, con l’auspicio che possa essere utile alle imprese e ai professionisti che intendono partecipare alla consultazione pubblica. In particolare, saranno analizzati:

  1. i passaggi essenziali del provvedimento sui metadati;
  2. la logica giuridica sottostante;
  3. i principali elementi di perplessità; e,
  4. a monte, la questione più generale se il Garante disponga o non disponga del potere di imporre preventivamente e in senso generale termini di conservazione. Sia permesso sottolineare l’importanza di quest’ultimo punto, che costituisce la premessa logica idonea a travolgere non solo l’intera operazione prescrittiva del Garante ma anche tutte le altre similari su argomenti diversi.

I passaggi essenziali del provvedimento di indirizzo

Punto di partenza del ragionamento è che i metadati delle mail dei dipendenti sono dati personali, come tali sono sottoposti alla disciplina del GDPR, il Regolamento (UE) 2016/679. Il passaggio è incontestabile, nella misura in cui essi siano collegati a un account email riferibile a uno specifico individuo. La nozione di “dato personale” è infatti quella di “qualsiasi informazione”, purché “riguardante una persona fisica” almeno identificabile, cfr. art. 4.1) GDPR.

Siccome la persona fisica in questione è un lavoratore subordinato, viene intercettata non solo la normativa sulla protezione dei dati personali, ma anche quella giuslavoristica, e in particolare – almeno in ipotesi – l’art. 4 dello Statuto dei lavoratori, l. 300/1970, che proibisce, in linea generale, i controlli a distanza sui dipendenti.

Ma perché l’Autorità italiana sui dati personali dovrebbe occuparsi dell’art. 4 dello Statuto? Anche questo è in realtà un punto pacifico. Occorre infatti tenere presente che il principale tassello della normativa italiana di adeguamento al GDPR, ossia il cd. “codice privacy”, d.lgs. 196/2003, richiama appunto espressamente il menzionato articolo 4 dello Statuto, vedasi in proposito gli artt. 114 e 171 cod. priv.. È del resto lo stesso terzo comma della disposizione lavoristica in esame a prescrivere espressamente il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Tali molteplici collegamenti permettono, e nello stesso tempo perimetrano, la diretta competenza del Garante.

Fermata dunque la cornice giuridica, veniamo al contenuto. I metadati di cui viene prescritta la conservazione per, al più tardi, 7/9 giorni sono, in via esemplificativa, i seguenti: “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”. Nel provvedimento del 21 dicembre 2023 non era fornita una soddisfacente definizione dei processi coinvolti, il che ha aperto a speculazioni e ipotesi.

Poi, nell’ultimo pacchetto di precisazioni l’Autorità di controllo ha lasciato intendere che i processi sono quelli riguardanti i “metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto)”, cfr. GPDP, Provv. 24 febbraio 2024, avviso pubblico di avvio della consultazione. Un perimetro dunque molto vasto. I trattamenti descritti sono evidentemente necessari al funzionamento stesso dei protocolli di gestione della posta elettronica, rilievo che rende ancora più drastico e impattante il provvedimento di indirizzo.

Gli ulteriori passaggi salienti esposti dal Garante appaiono i seguenti:

  • la conservazione dei metadati, anche di durata molto breve, va puntualmente motivata e contenuta;
  • deve essere, verosimilmente, preceduta da una valutazione d’impatto (DPIA);
  • fermo restando che può essere effettuata solo per finalità lecite, va preventivamente concordata con le rappresentanze sindacali oppure autorizzata dall’Ispettorato nazionale del lavoro (INL) ove superi il predetto termine massimo di 7/9 giorni.

I temi toccati sono in realtà più ampi e complessi, ma credo che quelli sopra esposti costituiscano una buona sintesi degli snodi più rilevanti. Sono tutti conseguenze applicative della sottostante logica giuridica seguita dall’Autorità.

La logica giuridica sottostante

L’art. 4 dello Statuto fu introdotto all’inizio degli anni ’70 con un preciso obiettivo: tutelare i dipendenti da videocamere di sorveglianza e/o microfoni, quali strumenti di controllo a distanza. Una garanzia che esprime lucidità e capacità di governare anche le future evoluzioni dei contesti di lavoro.

Mentre gli “impianti audiovisivi” restano ancora oggi l’oggetto principale della disposizione anche dopo le modifiche intervenute, come si evince sia dalla rubrica sia, soprattutto, dal primo comma, richiede invece un passaggio motivazionale in più, non immediato e non pacifico, considerare i metadati delle email alla stregua di “altri strumenti di controllo”, come fa appunto il Garante.

Orbene, affinché sia consentito l’uso di strumenti “dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” occorrono due condizioni essenziali, come si è accennato: (i) che i controlli siano posti in essere per specifiche finalità lecite indicate dal legislatore; (ii) che sia in ogni caso raggiunto un previo accordo sindacale o, in mancanza, sia ottenuta un’autorizzazione dell’INL.

Si danno due casi sottratti al meccanismo generale descritto: quello degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e quello degli “strumenti di registrazione degli accessi e delle presenze”. Ora, la posta elettronica cade, pacificamente, nel primo gruppo, serve cioè a svolgere la prestazione lavorativa, tuttavia secondo il Garante, decorsi 7/9 giorni, ciò non sarebbe più vero rispetto ai relativi metadati, come se il passare del tempo determinasse il cambiamento ontologico di questi ultimi, vale a dire come se essi cessassero improvvisamente di essere una componente necessaria dello strumento di lavoro. Il passaggio appare privo di convincente motivazione, ma da esso l’Autorità trae il sicuro obbligo di assolvere alla descritta procedura di accordo/consultazione.

Il resto del provvedimento d’indirizzo è piuttosto riconducibile all’applicazione diretta di disposizioni del GDPR, in particolare all’articolo 5 che enuncia i principi da osservare nel trattamento di dati personali. La previsione, è noto, costituisce uno dei componenti strutturali della normativa, come più volte evidenziato dalla Corte di giustizia.

Infine, l’obbligo, se del caso, di procedere a DPIA va collegato all’art. 35 GDPR e soprattutto alle linee guida del 4 ottobre 2017 pubblicate e ratificate dalle autorità di controllo dell’Unione sui dati personali, vale a dire Garante e omologhi (ex WP29/EDPB).

Principali punti critici del provvedimento sui metadati

Termine privo di motivazione – Uno dei più evidenti elementi di perplessità, come osservato dai più, è che la precisazione del termine di conservazione di 7/9 giorni appare introdotta dal Garante senza alcuna motivazione. Manca cioè del supporto di un ragionamento che la renda verificabile razionalmente e giustificata giuridicamente. Inoltre, manca di un collegamento logico con il conseguimento della specifica finalità per cui i metadati sono trattati. Per la precisione, le finalità di trattamento possono qui essere più d’una, sono anzi certamente più d’una, dunque vanno necessariamente definiti tempi di durata diversi. Già questa considerazione appare inconciliabile con il termine massimo unico prescritto dall’Autorità. In definitiva, è proprio l’articolo 5 GDPR a imporre un approccio complesso, ispirato a necessità e proporzionalità, e motivato in stretta relazione alle finalità conseguite.

Il provvedimento non riguarda direttamente i grandi fornitori di soluzioni cloud – “È emerso” indica l’Autorità “il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti […], conservando gli stessi per un esteso arco temporale”. Da questa premessa, ci si attenderebbe che il Garante attenzioni prima di ogni altra cosa tali grandi fornitori, anziché la moltitudine delle società e dei professionisti che se ne servono. L’Autorità è tenuta infatti a verifiche nei confronti dei responsabili del trattamento (tali sono i prestatori delle soluzioni in cloud) ove se ne ipotizzi la violazione dell’art. 32 GDPR. Sarebbe apparso l’approccio più efficace, poiché svolto nei confronti di pochi soggetti alla fonte, e tutto sommato più equo, visto che lo stesso Garante riconosce che i grandi fornitori pongono talvolta altresì “limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”. La leva è in definitiva nelle mani di software house di primo piano, che tuttavia, a parte un generico invito a “a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte”, appaiono fuori dal raggio applicativo del provvedimento.

I metadati sono parte essenziale della posta elettronica – I metadati sono componenti essenziali dello strumento di posta elettronica, e non solo perché contenuti negli header, ma in senso più ampio e pregnante: una corrispondenza senza mittente, destinatario, data, oggetto non è più una corrispondenza, ma testo libero, inutilizzabile. Uno strumento di lavoro deve essere integro e disponibile per tutto il tempo necessario all’attività per cui è adottato.

Il provvedimento del Garante è contemporaneamente prescrittivo e carente degli elementi per esserlo – Indubbiamente l’enunciazione di un termine così netto, 7/9 giorni, costituisce un passaggio prescrittivo incapsulato entro il corpo di linee guida. Come tale, i destinatari del precetto dovrebbero poterlo impugnare. Tuttavia, il provvedimento che ci occupa manca della precisazione della possibilità di ricorso, che è invece necessaria nei provvedimenti vincolanti dell’Autorità, come peraltro ricorda anche il considerando 129 GDPR. Ciò determina una notevole anomalia e reca pregiudizio al diritto di difesa dei destinatari dell’obbligo. Questa considerazione apre anche il ragionamento all’obiezione principale: può il Garante introdurre liberamente termini di conservazione dei dati personali di portata generale e preventiva?

Il Garante non può derogare al principio di accountability

Il punto centrale è qui proprio l’art. 5 GDPR, che al paragrafo secondo introduce il noto principio di “accountability”, in italiano “responsabilizzazione”. Non che il Garante non lo menzioni nel provvedimento sui metadati, ma lo fa senza trarne le radicali conclusioni che ne derivano linearmente.

In base a tale principio, non compete all’autorità di controllo, ma al titolare del trattamento (quindi al datore di lavoro), stabilire i termini di conservazione dei dati personali. Ogni titolare del trattamento potrà determinarli in maniera diversa, vale a dire con durate diverse, e dovrà, ovviamente, essere in grado di motivare il termine scelto. Per farlo, dovrà inoltre individuare le finalità di trattamento dei metadati, calandole, nella misura possibile, sul suo caso concreto, e collegare a ciascuna di esse una durata. Va cioè escluso che si possano avere termini assolutamente coincidenti per più titolari e che siano sovrapponibili i termini di conservazione dei metadati per finalità di utilizzo della posta elettronica come strumento lavorativo, quelli di conservazione degli stessi per finalità di sicurezza informatica oppure ancora quelli di conservazione per finalità di esercizio e tutela di diritti. Cade con ciò completamente, ad avviso di chi scrive, la logica del termine massimo unico.

Ora, la regola dell’accountability costituisce un principio portante del GDPR, per questo ha destato stupore che il provvedimento in commento lo abbia sostanzialmente ignorato o, meglio, ridotto a operare entro lo spazio massimo di conservazione fissato invece d’autorità dal Garante.

La posizione centrale, di pilastro della normativa, occupata dall’art. 5 si riflette peraltro sulla sussistenza di limitatissime deroghe allo stesso. Nella specie nessuna di esse appare ravvisabile. Questo pone un limite fondamentale all’iniziativa del Garante, e soprattutto lo pone a monte.

Neppure la normativa nazionale richiamata come base del provvedimento d’indirizzo, ossia il comma 1, lett. a) dell’art. 154-bis cod. priv. sembra consentire contenuti prescrittivi: il legislatore parla chiaramente di “linee guida”, ossia testi di semplice chiarimento della disciplina in vigore.

Resta in ogni caso fermo che la normativa di adeguamento nazionale, come è appunto il codice privacy, non potrebbe mai introdurre deroghe all’art. 5 GDPR fuori dalle pochissime ipotesi consentite dal Regolamento.

Conclusioni

La conservazione così breve dei metadati delle email di lavoro è chiaramente problematica per ogni attività economica privata, ma anche per l’agire pubblico (le previsioni in parola si applicano infatti anche alla pubblica amministrazione). Introduce inoltre un’impraticabile riduzione a una sola durata di periodi necessariamente diversi perché rispondenti a finalità diverse, rimesse alla competenza di ciascun titolare, a cui incombe naturalmente l’onere di dimostrarne la congruità.

Dunque è certamente positivo che il Garante abbia voluto creare, sia pure in seconda battuta, un’occasione di ampio coinvolgimento quale è appunto una consultazione pubblica. È altresì chiaro, per la stessa ragione, che questa volta qualcosa non ha funzionato inizialmente nei meccanismi interni di controllo dell’Autorità sui propri atti amministrativi. Lo dimostra la circostanza stessa che la consultazione pubblica investe elementi centrali del provvedimento d’indirizzo, vale a dire la “congruità […] del termine di conservazione dei metadati” “e più in generale […] le forme e modalità di utilizzo” degli stessi. L’auspicio è dunque che l’Autorità, ad esito della consultazione, ponga mano a una revisione radicale degli elementi di natura precettiva. Preceduta o no da consultazione pubblica, la fissazione di termini di durata appare infatti possibile, ai sensi del GDPR, soltanto al datore di lavoro titolare del trattamento, che non può trovarsi chiuso, entro una stretta gabbia temporale imposta d’ufficio dall’Authority.

L’uso delle Body Cam della Polizia Locale deve essere preceduto da una DPIA

L’utilizzo delle bodycam da parte della Polizia Locale deve essere regolamentato. Vanno predisposti una valutazione di impatto privacy ad hoc ed un disciplinare dettagliato da mettere a disposizione degli operatori. Lo ha precisato il Garante per la protezione dei dati personali con l’inedito parere n. 238958/2023 rilasciato ad un comune.

I comuni devono inquadrare correttamente questi dispositivi. Le indicazioni fornite dal garante risultano utilissime in tal senso.

Innanzitutto sarebbe opportuno redigere specifiche valutazioni di impatto in relazione a ciascun trattamento effettuato. Quindi una valutazione di impatto privacy (Dpia, acronimo di Data protection impact assessment) per la videosorveglianza fissa, una per le fototrappole e una per le bodycam.

In alternativa, specifica la nota centrale, “ove si decida di effettuare un’unica valutazione di impatto occorre comunque distinguere con chiarezza e puntualità le proprie valutazioni, con riferimento a tutti gli elementi di cui all’art. 35, par. 7 del regolamento, per ciascun trattamento effettuato/strumento impiegato”. Attenzione al monitoraggio del personale. Ai sensi dello statuto dei lavoratori gli impianti audiovisivi possono essere impiegati per esigenze produttive, per la sicurezza e per la tutela del patrimonio aziendale, nel rispetto dei principi di liceità, correttezza, trasparenza e limitazione delle finalità.

Ma previo accordo sindacale o autorizzazione ad hoc ed una necessaria valutazione di impatto privacy. La base giuridica del trattamento dei dati personali con l’impiego di bodycam in ogni caso non può fare riferimento al dl 11/2009 o al dl 14/2017. Tali disposizioni normative “regolano esclusivamente l’impiego da parte dei comuni di dispositivi di videosorveglianza sulla pubblica via, su base continuativa, per finalità di sicurezza urbana, ovvero per la prevenzione e il contrasto dei fenomeni di criminalità diffusa e predatoria”. In pratica l’impiego delle bodycam può essere giustificato per tutelare l’operatore o per particolari esigenze operative.

Spetterà però al comando identificare i casi operativi “individuando conseguentemente la corretta base giuridica del trattamento nei limiti previsti dalla normativa in materia di controllo a distanza” dei lavoratori. Attenzione infine alla corretta valutazione sulla necessità e proporzionalità dei trattamenti in relazione alle finalità delle bodycam. Oltre alla concreta individuazione degli eventi in presenza dei quali è possibile attivare i dispositivi sarà necessario adottare un disciplinare dettagliato che permetta agli operatori di regolare al meglio la propria attività quotidiana.

Controllo a distanza dei lavoratori e strumenti informatici

Il Garante per la Protezione dei Dati Personali si è pronunciato sulla questione dei controlli datoriali a distanza sugli strumenti informatici aziendali, tra norme in materia di protezione dei dati personali e Statuto dei lavoratori.

È questo il contenuto del provvedimento 28 ottobre 2021, n. 384, adottato a seguito di un reclamo di un dipendente della società Trasporto Passeggeri Emilia Romagna S.p.A. il quale lamentava “presunte violazioni con riguardo al trattamento dei dati personali degli operatori addetti al call center posti in essere dalla Società mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound), mediante piattaforma dedicata “Phones”, realizzata e fornita da IFM Infomaster S.p.A. (che svolgeva anche attività di manutenzione sulla piattaforma), in qualità di responsabile del trattamento (art. 28 del Regolamento; cfr. nota XX e relativi allegati, in atti).”

Controllo a distanza dei lavoratori e strumenti informatici, tra norme sulla privacy e Statuto dei lavoratori

Nell’affrontare la questione dei controlli datoriali sugli strumenti informatici aziendali, è fondamentale innanzitutto evidenziare come tale materia intersechi non solo la disciplina giuslavoristica, ma anche quella in materia di tutela della privacy.

La prima è rappresentata dal c.d. Statuto dei lavoratori, la Legge 300/1970, mentre la seconda comprende l’insieme delle norme contenute nel GDPR e nel Codice della Privacy.

Si ha dunque una duplice tutela, poiché lo Statuto dei lavoratori regola i limiti al potere di controllo del datore di lavoro a tutela dei diritti del soggetto nella sua condizione di lavoratore, mentre la disciplina in materia di protezione dei dati personali mira a proteggere il diritto alla riservatezza del dipendente in quanto persona fisica.

Alle norme devono aggiungersi poi molteplici pronunce giurisprudenziali, sia da parte delle giurisdizioni nazionali che di quelle sovranazionali, ma anche i provvedimenti del Garante per la protezione dei dati personali per quanto riguarda l’applicazione del GDPR e del Codice della Privacy e le circolari dell’Ispettorato Nazionale del Lavoro per l’interpretazione delle norme giuslavoristiche.

Le condizioni di liceità del trattamento dei dati personali da parte del datore di lavoro devono essere dunque individuate guardando all’insieme delle norme in materia di tutela della privacy e giuslavoristiche.

Nello specifico, in base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei lavoratori, compresi quelli rientranti nelle categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti dalla disciplina di settore (artt. 6, par. 1, lett. c); 9, par. 2, lett. b) e 4; 88 del GDPR). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”).

Il trattamento dei dati in questione deve avvenire però, innanzitutto, nel rispetto dei principi in materia di tutela della privacy di cui all’articolo 5 del GDPR; nello specifico, eventuali controlli da parte del datore di lavoro devono essere leciti, corretti e trasparenti (in base ai principi di liceità, correttezza e trasparenza), posti in essere per finalità determinate e limitati a quanto strettamente necessario per il conseguimento delle stesse (alla luce dei principi di limitazione delle finalità e minimizzazione).

Perché il trattamento dei dati in questione sia lecito, il datore deve, inoltre, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento).

In quest’ottica, il Codice della privacy rinvia espressamente alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”).

La liceità del trattamento dei dati è connessa dunque anche all’osservanza della disciplina di settore in materia di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” (art. 5 e 6 par. 1, lett. c), e 88, par. 2, del Regolamento e 114 del Codice della privacy).

Per effetto di tale rinvio, l’osservanza degli artt. 4 (“Impianti audiovisivi e altri strumenti di controllo”) e 8 (“Divieto di indagini datoriali sul lavoratore”) dello Statuto dei lavoratori e dell’art. 10 del d.lgs. n. 276/2003 (“Divieto di indagini sulle opinioni e trattamenti discriminatori”, rivolto alle agenzie per il lavoro e agli altri soggetti pubblici e privati autorizzati o accreditati) costituisce dunque una condizione essenziale di liceità del trattamento, come ha evidenziato anche il Garante per la Protezione dei Dati Personali in una recente pronuncia, che sarà oggetto di una più attenta analisi in seguito.

Lo Statuto dei lavoratori, la natura degli strumenti informatici e gli obblighi di informazione

Nell’ambito del quadro brevemente ricostruito, una particolare attenzione merita la questione degli obblighi di informazione da parte del datore legati all’utilizzo di strumenti di controllo; la corretta informazione ai dipendenti trova la propria disciplina sia negli articoli 12, 13 e 14 del GDPR, sia nella disciplina giuslavoristica.

In tal senso, per quanto riguarda quest’ultima, la norma di riferimento è senz’altro il già citato art. 4 St. Lav., così come modificato dal D.Lgs.14 settembre 2015, n. 151, il c.d. Jobs Act.

Con la riforma, è stato eliminato il divieto generale (precedentemente previsto al comma 1) di utilizzo di impianti e strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, i quali possono però essere impiegati per determinate finalità (vale a dire esigenze organizzative e produttive, sicurezza sul lavoro e tutela del patrimonio aziendale) ed installati previo accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, previa autorizzazione dell’Ispettorato del lavoro (INL).

Il comma 2 dell’art. 4 prevede però che le disposizioni di cui al comma 1 non si applichino “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”. Ciò significa che, in presenza di strumenti che per il loro funzionamento potrebbero consentire un controllo a distanza dei dipendenti, non è necessario che vi siano il predetto accordo con le rappresentanze sindacali o l’autorizzazione dell’INL.

Infine, la norma prevede, al comma 3, che le informazioni raccolte ai sensi del comma 1 e 2 possano essere utilizzate “a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.Lgs. n. 195/2003”.

Alla luce di quanto disposto dal comma 2, ai fini della valutazione della liceità della condotta del datore di lavoro appare dunque determinante chiarire quale sia la natura degli strumenti informatici concretamente utilizzati da questi, e dunque se essi possono essere qualificati come “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” o debbano essere considerati strumenti di controllo. Sul punto è intervenuto con le proprie circolari, innanzitutto, l’INL; in particolare, con la circolare 7 novembre 2016, n. 2, l’Ispettorato ha precisato che possono essere considerati strumenti di lavoro “gli apparecchi, dispositivi, apparati e congegni che costituiscono il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa dedotta in contratto, e che per tale finalità siano stati posti in uso e messi a sua disposizione”.

Sulla questione è intervenuto più volte anche il Garante della Privacy, ad ultimo con l’ordinanza 28 ottobre 2021 (provvedimento 28 ottobre 2021, n. 384), il cui fulcro è rappresentato proprio dalla questione della determinazione della natura degli strumenti utilizzati dal datore, al fine di stabilire la liceità della raccolta e del trattamento dei dati dei dipendenti.

La determinazione di tale aspetto, come emerge dal caso che sarà esaminato di seguito, può essere tutt’altro che agevole e richiede, come si vedrà, un’attenta analisi delle concrete caratteristiche e modalità di funzionamento dello strumento informatico stesso.

Il caso

La decisione del Garante è arrivata in seguito al reclamo di un dipendente della società di trasporto pubblico TPER Trasporto Passeggeri Emilia Romagna S.p.A., che lamentava il monitoraggio del personale tramite il sistema di gestione delle telefonate del call center dedicato al customer care.

Nello specifico, erano state lamentate violazioni con riguardo al trattamento dei dati personali degli operatori addetti al call center, violazioni compiute dalla società, in qualità di responsabile del trattamento (art. 28 del GDPR), mediante il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound).

Nel corso dell’istruttoria, la società ha giustificato l’utilizzo di tale strumento tecnologico affermando la necessità di verificare gli standard qualitativi e di gestire eventuali reclami, precisando di aver informato i lavoratori e i sindacati dell’utilizzo dello strumento in questione.

In particolare, la società ha affermato che, ai sensi dell’articolo 4 dello Statuto dei Lavoratori, la registrazione delle telefonate tra utenza e operatori di call center costituiva uno strumento di lavoro, ed era dunque consentita senza necessità di sottoscrizione di un previo accordo sindacale né della previa autorizzazione dell’INL, richiesti invece, come già visto, per gli strumenti qualificabili come “strumenti organizzativi”; per gli strumenti di lavoro è infatti sufficiente un’ adeguata informativa, che secondo la società era stata predisposta e fornita in formato cartaceo al personale interessato prima di attivare il sistema di registrazione telefonica, oltre ad essere stata affissa nei locali del call center aziendale. L’azienda ha inoltre affermato che le organizzazioni sindacali erano state preventivamente informate.

Dall’accertamento compiuto dal Garante è risultato che la società aveva adottato un sistema per la gestione delle telefonate della clientela (call center inbound) che consentiva operazioni di trattamento di dati personali, riferiti al personale addetto al call center (o di altro personale impiegato in tale servizio a rotazione, che fosse impossibilitato a svolgere le ordinarie mansioni, come gli autisti temporaneamente inidonei al servizio).

In particolare, il sistema di gestione delle chiamate in entrata della clientela, a cui su richiesta della società era stata aggiunta dal fornitore la funzionalità di registrazione delle telefonate, consentiva che una parte delle telefonate della clientela ricevute dagli operatori, identificati anche tramite il proprio numero di matricola, fosse automaticamente registrata su un’apposita piattaforma e lì memorizzate per tre mesi, previa cifratura dei file audio.

Oltre alla specifica funzionalità di registrazione delle telefonate, era prevista poi la possibilità di riascolto delle telefonate memorizzate mediante una procedura che poteva essere attivata dalla Società, su richiesta di un cittadino o un operatore, per la gestione di eventuali reclami, e a campione, su iniziativa aziendale, per verificare lo standard qualitativo del servizio con l’immediata cancellazione del dato che risultasse non critico.

Come emerso nel corso delle verifiche effettuate durante gli accertamenti ispettivi, il sistema consentiva inoltre la raccolta e la conservazione delle cc.dd. meta informazioni relative alle chiamate registrate e, dunque, il trattamento di dati personali riferiti ai dipendenti addetti al call center (nello specifico, il nome dell’operatore, la data e l’ora della chiamata e il numero di telefono che aveva effettuato la telefonata), con conservazione per un arco temporale che, al momento dell’accertamento compiuto, non era stato definito dalla società.

La pronuncia del Garante

Come già anticipato, il nodo centrale della pronuncia del Garante appare dunque essere la questione del trattamento dei dati personali dei lavoratori da parte del datore.

Nella propria pronuncia, il Garante ha rigettato la ricostruzione della società di trasporti relativa alla natura dello strumento di registrazione delle telefonate utilizzato. 

Secondo l’Autorità, infatti, alla luce del quadro normativo di settore e di precedenti orientamenti dell’Ispettorato nazionale del lavoro, relativi proprio all’istallazione e utilizzazione di strumenti di supporto all’attività ordinaria dei call center e già fatti propri dal Garante in altre pronunce (richiamate nell’ordinanza), il sistema di registrazione delle telefonate utilizzato dalla società non poteva essere considerato tra gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ai sensi e per gli effetti del già citato art. 4, comma 2, Legge n. 300/1970, ma doveva essere incluso tra gli “strumenti organizzativi” di cui all’art. 4, comma 1, l. 300/1970, anche per l’impossibilità per il singolo operatore di disattivare la funzione di memorizzazione.  Con riguardo all’istallazione e utilizzazione di strumenti di supporto all’attività ordinaria dei call center, nella circolare 26 luglio 2017, n. 4 l’Ispettorato nazionale del lavoro ha infatti precisato che “possono essere considerati strumenti di lavoro” ai sensi dell’art. 4, comma 2 dello Statuto dei lavoratori i sistemi che “consentano il mero collegamento tra la chiamata e l’anagrafica del cliente senza ulteriori elaborazioni”, mentre negli altri casi, ad esempio qualora consentano di effettuare anche “ulteriori elaborazioni”, essi devono essere considerati idonei a realizzare un indiretto e preterintenzionale “monitoraggio dell´attività telefonica” effettuata dagli operatori addetti al call center, con la possibilità di ricostruirne anche indirettamente l’attività.

Come verificato nel corso dell’istruttoria, il sistema impiegato dalla società non si limitava a consentire l’associazione tra la chiamata in entrata e l’anagrafica del cliente per facilitare e semplificare l’attività dell’operatore di call center nella rapida ed efficiente gestione delle richieste dell’utenza, né consisteva in un mero archivio informatico a uso dei soli dipendenti che hanno rapporti con gli utenti, ma consentiva anche altre operazioni di trattamento e ulteriori elaborazioni e, nello specifico, la già citata registrazione delle chiamate e la memorizzazione delle meta informazioni ad esse relative, associate direttamente ai nominativi dei dipendenti che le avevano effettuate nell’ambito della propria attività lavorativa.

Dunque, sebbene la finalità perseguita dalla società di trasporti con il sistema di gestione delle telefonate in esame fosse quella di garantire il costante adeguamento quantitativo e qualitativo del servizio alle esigenze dell’utenza, e dunque fosse riconducibile alle lecite “esigenze organizzative e produttive […]”, espressamente fatte salve dal predetto articolo 4, comma 1, secondo il Garante la società non aveva però attivato le garanzie procedurali prescritte per gli strumenti di strumenti organizzativi dalla medesima norma, vale a dire l’accordo sindacale o l’autorizzazione da parte dell’Ispettorato nazionale del lavoro.

Secondo la ricostruzione del Garante, a questo si aggiungevano poi ulteriori violazioni delle norme in materia di protezione dei dati personali, puntualmente ricostruite nell’ordinanza, relative all’omissione di informazioni ai lavoratori sui diritti e le tutele loro spettanti previste, in questo caso, dalle già citate norme in materia di tutela della privacy, al mancato rispetto di principi della disciplina in materia di protezione dei dati personali (vale a dire i già citati principi di minimizzazione, di protezione dei dati fin dalla progettazione e di protezione dei dati per impostazione predefinita), e la violazione di regole relative alla garanzia della sicurezza dei dati.

L’Autorità ha perciò comminato alla società una sanzione amministrativa di 30.000 euro, tenuto conto anche della collaborazione da parte della società, compreso il fatto che questa aveva prontamente disattivato il sistema, a cui ha aggiunto la sanzione accessoria della pubblicazione dell’ordinanza sul sito web del Garante.

In conclusione, il Garante è dunque intervenuto sia rispetto al violazioni delle norme in materia di liceità del trattamento dei dati connesse al mancato rispetto dello Statuto dei lavoratori, sia rispetto a violazioni derivanti dalla configurazione stessa dell’informativa resa ai lavoratori e dello strumento di registrazione in quanto tale, delineando un quadro in cui, rispetto agli obblighi di comunicazione del datore, si intersecano norme in materia di tutela della privacy e norme giuslavoristiche.

Revenge porn: le segnalazioni e i reclami al Garante Privacy possono essere fatti anche da parte dei minori

Il Decreto Legge “riaperture” approvato il 7 ottobre in Consiglio dei Ministri (articolo 9 D.L. 139/21 pubblicato sulla Gazzetta Ufficiale 241 del 8 ottobre 2021) estende agli ultra 14enni la possibilità di segnalazioni al Garante della Privacy per il “revenge porn”, ovvero la diffusione di immagini intime di qualcuno senza il suo consenso e con scopi vendicativi, estorsivi o ricattatori.

Lo scorso marzo, l’autorità per la protezione dei dati personali aveva deciso di mettere a disposizione sul proprio sito istituzionale un canale di emergenza, tramite il quale le persone maggiorenni che temono che le loro foto o i loro video intimi possano essere diffusi senza il loro consenso su Facebook o Instagram, possono segnalare questo rischio e ottenere che le immagini vengano bloccate.

Adesso l’articolo 144-bis al Dlgs 196/2003, prevede che «chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’articolo 612-ter del Codice penale, può rivolgersi, mediante segnalazione o reclamo, al Garante». Quest’ultimo, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi dell’articolo 58 del Regolamento Ue 2016/679 e degli articoli 143 e 144, predisponendo indagini.

Si precisa inoltre che «quando le immagini o i video riguardano minori, la richiesta al Garante può essere effettuata anche dai genitori o dagli esercenti la responsabilità genitoriale o la tutela» e che ai fini della segnalazione, l’invio al Garante di immagini o video a contenuto sessualmente esplicito riguardanti anche soggetti terzi, effettuato dall’interessato, non integra il reato di cui all’articolo 612- ter del Codice penale relativo alla diffusione illecita di immagini.

La nuova misura del Governo nasce per contrastare il sempre più diffuso fenomeno, quello della ignobile pratica della cosiddetta “pornovendetta”, che solitamente viene posta in essere da parte di un eventuale ex partner o da branchi di stupratori, producendo una violazione di diritti inviolabili della persona costituzionalmente garantiti e di lesioni gravi, talvolta irrimediabili e sempre irrisarcibili, della dignità e reputazione della vittima, con inevitabili ricadute sulla sua vita professionale e di relazione. L’obiettivo del revenge porn è quello sottoporre la persona ad una gogna mediatica che può condurla, a fronte di una sofferenza psichica, in alcuni casi ingestibile, anche a scelte estreme, compreso il suicidio.

Nota di approfondimento sulle disposizioni del D.L. 127/2021 Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening

Aggiornamento al 9 ottobre 2021

Il D.L. 127/2021 ha introdotto nell’ambito del lavoro pubblico e privato, ai fini dell’accesso ai luoghi di lavoro, l’obbligo di possedere ed esibire la certificazione verde COVID-19 (c.d. green pass,  di seguito “GP”).

Per quanto riguarda in particolare la previsione dell’obbligo del GP nell’ambito dell’impiego privato, si riporta di seguito una sintesi di quanto disposto dalla norma di riferimento, ovvero l’art. 3 D.L. 127/2021, che introduce un nuovo art. 9-septies nel contesto del D.L. 52/2021 conv. In L. 87/2021.

Oggetto: obbligo di possedere ed esibire il GP ai fini dell’accesso ai luoghi di lavoro pubblico e privato (ferma l’apposita disciplina già prevista per l’accesso per motivi di lavoro a) nelle istituzioni scolastiche, educative, di formazione e universitarie art. 9 ter – ter.1 – ter.2 D.L. 52/2021; b) nelle strutture residenziali, sociosanitarie e socioassistenziali art. 4 bis D.L. 44/2021; c) per il personale che esercita professioni sanitarie e operatori di interesse sanitario che svolgono attività nelle strutture sanitarie sociosanitari e socioassistenziali, pubbliche e private, nelle farmacie, parafarmacie e studi professionali art. 4 D.L. 52/2021)

Durata: per il periodo dal 15.10.2021 fino al 31.12.2021 (data che coincide con il termine attuale di cessazione dello stato di emergenza)

Soggetti obbligati: personale pubblico e privato, nonché tutti i soggetti che a qualsiasi titolo svolgono la loro attività lavorativa, o di formazione o di volontariato nei medesimi luoghi di lavoro, anche sulla base di contratti esterni

Esclusioni: non sono soggetti all’obbligo del GP i soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con Circolare del Ministero della Salute

Per le certificazioni di esenzione, le disposizioni attualmente vigenti sono quelle di cui alla Circolare del Ministero della Salute del 4.8.2021, in base alla quale, nelle more dell’adozione di apposito DPCM volto a regolare l’emissione e verifica digitale di tali certificazioni, i certificati di esenzione possono essere rilasciati in forma cartacea, con una validità massima fino al 30.9.2021, e non possono riportare altri dati sensibili dell’interessato ulteriori rispetto a quelli tassativamente previsti dalla Circolare stessa (non devono, ad esempio, riportare la motivazione clinica dell’esenzione).

Con Circolare del Ministero della Salute 25.9.2021 la validità e la possibilità di rilascio delle certificazioni di esenzione alla vaccinazione anti-COVID-19 di cui alla circolare del 4.8.2021, per gli usi previsti dalla normativa vigente, è stata prorogata sino al 30 novembre 2021, precisando che non sarà necessario un nuovo rilascio delle certificazioni già emesse, salvo i casi in cui le stesse contengano dati del soggetto interessato, ulteriori rispetto a quelli indicati per la loro compilazione, a carattere sensibile (es. motivazione clinica della esenzione).

Verifica del GP: obbligo del datore di lavoro (e del terzo, in caso di svolgimento di attività presso terzi o di terzi presso il datore di lavoro), da effettuarsi con le modalità indicate dal DPCM adottato ex art. 9, comma 10 D.L. 52/2021 convertito nella L. 87/2021: il riferimento è dunque al DPCM 17.6.2021 in base al quale:

4 le certificazioni verdi COVID -19 sono le certificazioni rilasciate, con termine di validità variabile, da 48 ore a 12 mesi a seconda delle circostanze che ne hanno consentito il rilascio, a fronte di a) avvenuta vaccinazione contro il SARS-CoV-2; b) avvenuta guarigione dall’infezione da SARS-CoV-2; c) effettuazione di un test molecolare o antigenico rapido con risultato negativo al virus SARS-CoV-2;

4 la verifica delle certificazioni verdi COVID-19 non può comportare, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma ed è effettuata mediante la lettura del codice a barre bidimensionale (QR code), utilizzando esclusivamente l’applicazione mobile prevista nell’allegato B del DPCM stesso, che consente unicamente di controllare l’autenticità, validità e integrità della certificazione e di conoscere le generalità dell’intestatario senza rendere visibili le informazioni che ne hanno determinato l’emissione; all’atto della verifica, su richiesta dei verificatori, l’intestatario della certificazione verde COVID-19 deve dimostrare la propria identità personale mediante esibizione di un documento d’identità.

OBBLIGHI DEL DATORE DI LAVORO ENTRO IL 15.10.2021

  1. definire le modalità operative per l’organizzazione delle verifiche del GP (anche a campione, ma con previsione prioritaria, ove possibile, che le verifiche siano effettuate al momento dell’accesso ai luoghi di lavoro)
  2. individuare con atto formale i soggetti incaricati all’accertamento delle violazioni da parte dei lavoratori (in base al DPCM 17.6.2021 se il controllo viene affidato a un dipendente/collaboratore l’incarico deve essere formalizzato con atto scritto comprensivo delle istruzioni sull’attività di verifica)

Conseguenze per i lavoratori che comunichino di non essere in possesso del GP ovvero che ne risultino privi al momento dell’accesso al luogo di lavoro

  1. Se l’impresa ha 15 o più dipendenti e per gli enti pubblici

sono considerati assenti ingiustificati fino alla presentazione del GP e comunque non oltre il 31.12.2021

-> senza conseguenze disciplinari

-> con diritto alla conservazione del posto

-> senza retribuzione o altro compenso o emolumento, comunque denominato

b) Se l’impresa ha meno di 15 dipendenti

dopo il quinto giorno di assenza ingiustificata il datore di lavoro può sospendere unilateralmente il lavoratore per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a 10 giorni, rinnovabili per una sola volta, non oltre il termine del 31.12.2021

Conseguenze per i lavoratori che accedono ai luoghi di lavoro in mancanza di GP

4 sanzione amministrativa da Euro 600 a 1.500 raddoppiata in caso di violazione reiterata 4 conseguenze disciplinari secondo i vari orientamenti di settore

Conseguenze per i DDL per mancata verifica dell’adempimento delle prescrizioni da parte

dei lavoratori o mancata adozione delle misure organizzative per le verifiche entro il  15.10.2021

4 salvo che il fatto costituisca reato, sanzione amministrativa da Euro 400 a 1.000, raddoppiata in caso di violazione reiterata

–           Sanzioni amministrative

Le sanzioni amministrative di cui sopra vengono irrogate dal Prefetto, i soggetti incaricati dell’accertamento e della contestazione delle violazioni trasmettono al Prefetto gli atti relativi alla violazione.

Le disposizioni che sono state sintetizzate hanno sollevato numerosi dubbi e perplessità

Confidiamo che i dubbi vengano risolti con delle chiare indicazioni ministeriali, cerchiamo di dare conto delle criticità, di cui alcune sembrano aver trovato una (se non ufficiale, comunque abbastanza condivisa) soluzione, mentre altre restano interrogativi ancora aperti.

L’inciso “su richiesta” inserito nel D.L. può essere interpretato nel senso che l’obbligo di GP sussiste solo in caso di richiesta?

No, l’obbligo di GP per accedere ai luoghi di lavoro sussiste in capo al lavoratore indipendentemente dalla richiesta di esibizione e dal controllo, il lavoratore che dovesse accedere al luogo di lavoro in mancanza di GP risponde della relativa violazione anche nel caso in cui quel giorno nessuno gli abbia chiesto di esibire e abbia verificato il suo GP.

La disposizione si applica anche ai lavoratori autonomi e liberi professionisti, considerato che l’art. 3 si riferisce sempre al soggetto tenuto all’effettuazione delle verifiche come “datore di lavoro”, concetto che potrebbe far pensare alla sussistenza dell’obbligo solo per i lavoratori subordinati?

Si, l’obbligo riguarda tutti coloro che devono accedere ai luoghi di lavoro per svolgere un’attività lavorativa, di formazione o volontariato a qualsiasi titolo, quindi anche al ddl e ai lavoratori autonomi e liberi professionisti; l’espressione “datore di lavoro” non è di ostacolo a tale interpretazione, peraltro certamente in linea con la ratio della norma, ove correttamente intesa nell’accezione ampia utilizzata in materia di sicurezza sul lavoro quale soggetto su cui grava l’organizzazione e la responsabilità del luogo di lavoro.

Cosa significa “contratti esterni” ex art. 1 comma 3 e ex art. 3 co. 2?

Ragionando sulla base della ratio della norma, l’espressione ha lo scopo di imporre l’obbligo a tutti i soggetti che per ragioni di lavoro, formazione, volontariato devono accedere ai luoghi di lavoro non solo in forza di un rapporto contrattuale diretto con il datore di lavoro (da intendersi, come accennato, nella nozione ampia di datore di lavoro di cui al D.Lgs 81/2008, nel senso di soggetto responsabile di un determinato luogo di lavoro), ma anche in forza di un “contratto esterno”, ossia con un soggetto terzo (per fare degli es.: i soggetti che riforniscono le macchinette del caffè e degli snack; gli addetti al servizio di pulizia).

Quali potrebbero essere i soggetti che, non dovendo accedere al luogo di lavoro per svolgere attività lavorativa, di formazione volontariato, possono ritenersi non soggetti all’obbligo di legge di possesso ed esibizione del GP per accedere al luogo di lavoro?

In linea di massima i clienti / utenti, i soggetti che debbano recarsi in azienda /ente per sostenere un colloquio di lavoro, eventuali “visitatori” (es. familiari del dipendente). Nella pubblica amministrazione i soggetti che usufruiscono dei servizi.

Per questi soggetti si ritiene permanga comunque l’obbligo di GP per poter utilizzare la mensa aziendale.

Peraltro, avendo le imprese natura privata, la norma non preclude ai ddl l’eventuale estensione dell’obbligo di GP per l’accesso al luogo di loro anche ai soggetti che per legge non vi sarebbero tenuti (come è stato fatto da alcune strutture sanitarie – anche pubbliche – per l’accesso dei pazienti/clienti alle visite specialistiche, oltre che per la visita dei degenti).

Il luogo di lavoro per l’accesso al quale è richiesto il GP ricomprende anche eventuali spazi all’aperto, depositi, etc.?

Posto che la norma non prevede eccezioni si ritiene opportuno adottare una interpretazione ampia del concetto di luogo di lavoro.

I soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica sono esclusi dall’obbligo di GP per accedere ai luoghi di lavoro: cosa dovranno presentare al ddl per dimostrare la loro condizione e poter quindi essere esentati dai controlli accedendo così ai luoghi di lavoro pur in assenza di GP?

Ad oggi e fino il 30.11.2021, dovranno presentare certificato cartaceo di esenzione con le caratteristiche di cui alla Circolare del Ministero della Salute del 4.8.2021, che non deve riportare alcuna indicazione della motivazione dell’esenzione. Tuttavia, sul punto è prevista la prossima adozione di un DPCM che dovrebbe regolare l’emissione dei certificati di esenzione in modo che gli stessi possano essere verificati digitalmente.

Nelle more, è necessario valutare dal punto di vista pratico come gestire i certificati di esenzione cartacei: in base alle adottande Linee Guida del Governo sul pubblico impiego i lavoratori esenti non dovranno essere sottoposti ad alcun controllo “previa trasmissione della relativa documentazione sanitaria al medico competente”. Alla luce di ciò, quindi, anche nell’impiego privato sembra del tutto preclusa la possibilità di richiedere ai lavoratori esenti l’esibizione quotidiana del certificato cartaceo di esenzione per poter accedere al luogo di lavoro.

Come fare il controllo a campione?

La norma non fornisce indicazioni precise ma ragioni di buon senso inducono a ritenere che il controllo a campione debba essere fatto su un campione SIGNIFICATIVO (non posso limitarmi a controllare 1 lavoratore su 100) e, ovviamente, prestando particolare attenzione che lo stesso venga effettuato con modalità tali da non risultare discriminatorie.

Sul punto le Linee Guida relative all’impiego pubblico dovrebbero indicare dei precisi parametri per i controlli a campione, da effettuarsi con cadenza giornaliera, prioritariamente nella fascia antimeridiana della giornata, in misura non inferiore a una determinata % del personale complessivamente presente in servizio e in maniera omogenea con un criterio di rotazione su tutto il personale.

La verifica a campione non garantisce che tutti coloro che di fatto accedono siano effettivamente dotati di GP: nell’ipotesi in cui venga accertata la presenza di un lavoratore privo di GP all’interno del luogo di lavoro il ddl che abbia fatto la verifica a campione è anch’egli responsabile (oltre al lavoratore) della violazione dell’obbligo di GP?

No, è opinione prevalente sul punto che il ddl non possa essere chiamato a rispondere se nelle proprie modalità operative per l’organizzazione delle verifiche ha previsto la modalità di verifica a campione, motivando tale scelta e se tale verifica è stata poi effettivamente svolta secondo quanto stabilito.

Si segnala che tuttavia, per evitare responsabilità, non sembra sia sufficiente definire delle “qualsiasi” modalità di controllo e svolgere le verifiche in conformità, le modalità di organizzazione dei controlli devono essere individuate sulla base di criteri di ragionevolezza e adeguatezza (ad es. potrebbe essere ritenuto non adeguato il controllo a campione se il campione non è significativo ovvero in mancanza di una ragione oggettiva che giustifichi il controllo a campione rispetto a un controllo generalizzato e puntuale).

Cosa significa che le modalità operative definite dai ddl per le verifiche devono prevedere prioritariamente, se possibile, che il controllo sia effettuato al momento dell’accesso ai luoghi di lavoro? Significa che posso prevedere il controllo in un momento diverso da quello dell’accesso ai luoghi di lavoro solo se, anche con verifica a campione, il controllo all’accesso risulta impossibile o è sufficiente che sia eccessivamente oneroso/gravoso/difficoltoso?

Si ritiene che la verifica possa essere effettuata anche dopo l’accesso in tutti i casi in cui vi siano delle oggettive e comprovabili difficoltà (ad esempio, numero eccessivo dei dipendenti da controllare, diversa dislocazione dei luoghi di lavoro etc.) ad effettuarla al momento dell’accesso.

Si ritiene opportuno evidenziare in proposito che il controllo a campione e il controllo successivo all’accesso ai luoghi di lavoro non garantiscono che nessuno dei soggetti tenuti acceda senza GP: pertanto, nella prospettiva di ridurre il più possibile il rischio di contagio, è senza dubbio preferibile privilegiare il controllo generalizzato, puntuale ed al momento dell’accesso.

Il controllo generalizzato all’ingresso, ove possibile, rimane, per evidenti ragioni di opportunità pratica, la misura da prediligere. Qualora, infatti, un lavoratore dovesse risultare positivo al Covid-19, sarà più semplice provare agli enti preposti la propria estraneità rispetto al momento del contagio.

In caso di opzione per una diversa modalità (a campione e/o successivamente all’accesso) è comunque opportuno che in sede di definizione delle modalità operative per l’effettuazione dei controlli la scelta venga motivata sulla base di ragioni oggettive.

E’ stato altresì rilevato che la scelta di effettuare controlli a campione e/o successivamente all’accesso, non garantendo che nessuno acceda senza GP, esporrebbe i lavoratori a più gravi conseguenze: è senz’altro opportuno, (anche) in relazione a questo profilo, che ai lavoratori venga data in azienda adeguata informazione in ordine alle novità contenute del D.L. 127/2021.

Cosa deve essere materialmente verificato ai fini dell’accesso ai luoghi di lavoro?

La verifica riguarda il QR code (che può essere esibito in cartaceo o su supporto digitale) e deve essere effettuata esclusivamente con l’apposita app di cui al DPCM 17.6.2021 “Verifica C19”. In caso di incertezza circa l’identità personale del soggetto che esibisce il GP i verificatori possono chiedere anche l’esibizione di un documento di identità personale, per verificare che il QR code corrisponde al soggetto che lo esibisce.

Si può chiedere ai soggetti incaricati dei controlli di installare l’app per effettuarli su loro dispositivi personali?

La norma nulla prevede al riguardo ma è senz’altro opportuno che i soggetti coinvolti nell’attività di verifica, sulla base di uno specifico incarico del ddl sul quale grava il relativo obbligo di legge e l’organizzazione dei controlli, utilizzino devices messi a disposizione a tal fine dal ddl e non dispositivi personali. Anche questo aspetto dovrà essere regolato nella definizione delle modalità operative di effettuazione dei controlli e ribadito nell’incarico che il ddl potrà rilasciare a soggetti terzi, peraltro informati e formati a tal proposito.

Chi non è in possesso di GP per essere considerato assente ingiustificato può anche solo limitarsi a comunicarlo preventivamente o deve necessariamente presentarsi ogni giorno in azienda?

Sul punto ciò che risulta dalla norma è che: a) l’autocertificazione di possesso del GP non è sufficiente per l’accesso al luogo di lavoro e non esime il ddl dall’effettuazioe delle verifiche; b) la norma fa espresso riferimento alla possibilità di una dichiarazione preventiva di NON essere in possesso del GP. Quindi, a ben vedere, se il lavoratore abbia dichiarato di non avere il GP (di talchè nessuna ulteriore verifica è necessaria) sopporterà le relative conseguenze economiche sino ad eventuale esibizione di un GP valido e non sembra ragionevole esigere che lo stesso si presenti ogni giorno in azienda al mero fine di ribadire tale dichiarazione (tenuto conto che inutili viaggi quotidiani di andata e ritorno al luogo di lavoro, visti in una prospettiva più ampia, portano con sé anche un potenziale inutile affollamento di mezzi pubblici, nonché una inutile esposizione a rischi anche di contagio).

Coloro che devono essere considerati “assenti ingiustificati” perché privi di GP non hanno diritto alla retribuzione né ad altri compensi o emolumenti, tuttavia la legge nulla dice sulla contribuzione: è comunque dovuta o rimane ferma per il ddl l’obbligazione contributiva?

Sul punto, al di là della contraddittorietà intrinseca di una nozione di assenza ingiustificata senza conseguenze disciplinari e con diritto alla conservazione del posto, l’opinione prevalente è che nel caso di specie, trattandosi di una ipotesi legale di sospensione della retribuzione, la contribuzione non sia dovuta.

Alle imprese con più di 15 dipendenti è preclusa la possibilità di sostituire il lavoratore assente perché privo di GP con una assunzione a tempo determinato?

In linea di principio la sostituzione è sempre legittima e tuttavia, non essendo possibile la sospensione del lavoratore sostituito, la durata del contratto a termine resta collegata al rientro del lavoratore sostituito che, in astratto, potrebbe presentarsi qualunque giorno con un GP valido e pretendere di prendere servizio, anche se magari solo per un paio di giorni

La possibilità di sospendere il lavoratore per le aziende sotto i 15 dipendenti è prevista dopo 5 giorni di assenza ingiustificata per mancanza del GP: deve trattarsi di 5 giorni continuativi o di 5 giorni complessivi anche non continuativi?

La norma lascia spazio a qualche incertezza, si potrebbe argomentare che i 5 giorni possono anche essere non continuativi in mancanza nella norma di una espressa previsione contraria. Peraltro, se si trattasse di 5 giorni continuativi, la previsione concederebbe al lavoratore ampi margini per impedire di fatto al ddl di sostituirlo e sospenderlo (per assurdo il lavoratore, facendo un tampone ogni tanto, potrebbe intervallare ad libitum 4 giorni di assenza con 1 o 2 giorni di presenza).

Per le aziende sotto i 15 dipendenti, dopo 5 giorni di assenza ingiustificata per mancanza del GP è possibile disporre la sospensione del lavoratore per 10 giorni “rinnovabili” una sola volta non oltre il termine del 31.12.2021: significa che per lo stesso lavoratore il ddl può disporre due diverse sospensioni di 10 giorni (al verificarsi ogni volta del pressuposto dei 5 giorni di assenza ingiustificata) ovvero che, dopo i 5 giorni di assenza ingiustificata del lavoratore, la sospensione di 10 giorni eventualmente disposta può anche essere prorogata di altri 10 giorni senza soluzione di continuità?

In proposito l’utilizzo dell’espressione “rinnovabili” farebbe pensare a due diverse sospensioni ciascuna di massimo 10 giorni collegate a due diversi contratti a termine per ragioni sostitutive, piuttosto che ad un’unica sospensione inizialmente di 10 giorni poi prorogata di altri 10 giorni collegata ad un contratto a termine e ad una successiva proroga dello stesso (peraltro questa sembra anche la soluzione più prudente perché richiederebbe nuovamente il verificarsi del requisito dei 5 giorni di sospensione per poter disporre la seconda sospensione ). Sul punto, tuttavia, per una risposta definitiva è opportuno attendere le indicazioni ufficiali che verranno date per l’impiego privato.

L’assenza ingiustificata per mancanza di GP richiede che al lavoratore venga fatta qualche comunicazione?

Pur non essendo in linea di principio necessario (a differenza che nel caso della sospensione) è senz’altro opportuno, nella prospettiva di eventuali contestazioni, comunicare al lavoratore che abbia dichiarato preventivamente di non essere in possesso di GP, o a cui è stato precluso l’accesso per mancanza di GP, che da quel giorno e fino a presentazione di GP valido sarà considerato assente ingiustificato senza diritto alla retribuzione. Le Linee Guida sull’impiego pubblico confermerebbero questa indicazione.

Il ddl può chiedere ai lavoratori di comunicare preventivamente se al 15.10.2021 e/o successivamente saranno in possesso di GP?

Tenuto conto del dato normativo (art. 3, co. 6 D.L. 127/2021) si ritiene legittima la richiesta al lavoratore di dichiarare anticipatamente se NON sarà in possesso di GP ad una certa data o per uno specifico lasso di tempo, in particolare ove sussistano oggettive ragioni organizzative che richiedano di sapere se il lavoratore presterà servizio.

E’ stata altresì ipotizzata, in alternativa, la possibilità di effettuare delle indagini anonime ovvero di chiedere ai lavoratori semplicemente di comunicare, per esigenze organizzative e senza alcun riferimento alle situazioni personali e quindi neppure al possesso o meno del GP, se potranno prestare la loro attività lavorativa in una certa data o un in un certo periodo.

Ad ogni buon conto, dovrebbe essere imminente la pubblicazione in G.U. di una ulteriore disposizione, contenuta nel D.L. c.d. “Capienze” che, mediante l’introduzione di un nuovo art. 9octies nell’ambito del D.L. 52/2021, dovrebbe “tagliare la testa al toro”, prevedendo espressamente anche l’obbligo dei lavoratori, in caso di richiesta del datore di lavoro derivante da specifiche esigenze organizzative volte a garantire l’efficace programmazione del lavoro, di comunicare il mancato possesso del green pass col preavviso necessario a soddisfare tali esigenze organizzative

Con l’obbligo del GP viene meno l’obbligo di rispettare le disposizioni previste dai Protocolli (distanziamento, mascherina ecc.)?

No

Per evitare l’incertezza quotidiana circa la ripresa del servizio o meno da parte del lavoratore, ove non è possibile la sospensione il ddl può comunque concordare con il lavoratore un periodo di aspettativa non retribuita o eventuali permessi o concedere le ferie?

In linea di massima non si vede la ragione per cui tali possibilità debbano essere escluse ove vi sia l’accordo delle parti. Attenzione, però, da un lato, a tener in debito conto, caso per caso, sia l’eventuale maggior costo (ove ad esempio non venga meno l’obbligo contributivo) di eventuali assenze concordate sia l’opportunità di procedere secondo criteri che non prestino il fianco ad accuse di discriminazione.

Mancanza di GP e smart working: il lavoratore che non ha il GP può comunque lavorare in SW? Devo concedere lo SW al lavoratore che non ha il GP?

Il GP è necessario per accedere al luogo di lavoro per cui nel caso in cui un soggetto lavori sempre in SW non ha necessità del GP.

Sono state pubblicate sul sito del Governo delle FAQ nelle quali si legge che lo SW non può essere utilizzato per “eludere” l’obbligo di GP: al di fuori dunque delle ipotesi in cui il lavoratore già prestava attività in SW in tutto o in parte anche prima del D.L. 127/2021, ipotesi per le quali non dovrebbero esserci problemi a proseguire con le modalità già in essere anche dopo il 15.10.2021, ed esclusa la sussistenza di un diritto del lavoratore privo di GP ad essere collocato in SW, sembrerebbe preclusa al ddl la possibilità di individuare i lavoratori da adibire allo SW sulla base del mancato possesso del GP. La bozza delle linee guida del Governo confermerebbero questa tesi.

Il lavoratore che alterna alcune giornate di SW e alcune giornate in presenza, se in una giornata in cui dovrebbe essere presente non esibisce il GP resta assente ingiustificato fino all’esibizione del GP o va considerato assente ingiustificato solo per le giornate di lavoro in cui era prevista la presenza?

Nonostante la lettera della norma, che tuttavia non contempla espressamente l’ipotesi dello SW, sembra preferibile la seconda soluzione: il lavoratore sarà considerato assente ingiustificato per mancanza di GP solo per le giornate di lavoro in presenza, mentre nelle giornate di SW potrà prestare regolarmente la propria attività e sarà considerato presente (allo stesso modo si ritiene che l’assenza ingiustificata per mancanza del GP venga interrotta, a prescindere dalla presentazione di un GP valido, anche ove sopravvengano altre legittime cause di esonero dalla prestazione (e, quindi, dalla presenza) quali ad esempio la malattia, il congedo di maternità etc..); in questi casi, tuttavia, la corretta imputazione delle giornate di assenza ingiustificata per mancanza del GP risulta in concreto possibile solo ove vi sia una precisa programmazione preventiva delle giornate in cui il lavoro deve essere svolto in SW e di quelle in cui deve essere svolto in presenza.

Chi deve sostenere il costo dei tamponi?

Il costo dei tamponi per ottenere il GP per i lavoratori che non vogliano vaccinarsi è a carico dei lavoratori stessi; il D.L. 127/2021 prevede che i tamponi vengano effettuati applicando un prezzo calmierato. Per coloro che invece siano esentati dalla vaccinazione è stabilita la gratuità del tampone, anche se non necessario per accedere ai luoghi di lavoro

Oltre agli obblighi (e relative sanzioni) espressamente previsti dal D.L. 127/2021 ve ne sono di ulteriori ai sensi della normativa privacy?

Le disposizioni di cui al D.L. 127/2021 comportano anche il trattamento di dati personali da parte del ddl per cui è senza dubbio necessario chiedersi anche quali siano gli specifici obblighi per il ddl derivanti dall’applicazione della normativa sulla protezione dei dati personali.

In primo luogo bisogna precisare che l’unico trattamento di dati espressamente ammesso dal D.L. 127/2021 sarebbe soltanto la verifica dei GP dei lavoratori mediante l’apposita app, operazione che non comporta la conoscenza e conservazione di alcun dato (tra cui in particolare le ragioni del rilascio del GP ovvero la sua durata, informazioni che il ddl non è legittimato a trattare neppure con il consenso dell’interessato).

Tanto precisato, si riporta di seguito una sintesi degli obblighi derivanti dal trattamento dei dati di cui al D.L. 127/2021 ai sensi della normativa sulla protezione dei dati personali:

a) INFORMATIVA agli INTERESSATI (art. 13 GDPR) sul trattamento che verrà fatto attraverso la verifica dei GP (via mail ai lavoratori, affissione nel luogo in cui vengono fatti i controlli, pubblicazione sulla rete intranet aziendale). E’ comunque opportuno che questa informativa venga preceduta sin d’ora da una comunicazione semplice sul contenuto del D.L. 127/2021 ed in particolare sui controlli che verranno fatti e sulle conseguenze del mancato possesso GP

b) INTEGRAZIONE REGISTRO TRATTAMENTO DATI con la nuova attività di trattamento e le realative modalità e caratteristiche

c) DEFINIRE LE MODALITA’ OPERATIVE DI GESTIONE DELLE VERIFICHE (oltre che ex art. 3 co. 5 D.L. 127/2021, anche ex artt. 24, 25, 32 GDPR): obbligo del titolare del trattamento di mettere in atto misure anche organizzative adeguate per garantire che il trattamento sia fatto in linea con GDPR e con un livello di sicurezza adeguato al rischio

d) INDIVIDUAZIONE DEI SOGGETTI INCARICATI DELLE VERIFICHE (oltre che ex art. 3 co. 5 D.L. 127/2021, anche ex art. 29 GDPR): bisogna incaricare i soggetti che faranno i controlli e formalizzare la loro autorizzazione al trattamento che preveda anche le istruzioni su come farlo; sarebbe inoltre necessaria una FORMAZIONE SPECIFICA dei soggetti incaricati

e) VALUTAZIONE DI IMPATTO DPIA (art. 35 GDPR), ove vengano utilizzati sistemi di rilevamento automatizzata (previa attenta verifica della legittimità degli stessi!)

Si evidenzia, da ultimo, che, oltre alle sanzioni amministrative previste dal D.L. 127/2021, il GDPR prevede ulteriori sanzioni amministrative in caso omissione degli specifici adempimenti privacy.

A fronte del D.L. 127/2021, in ambito privacy non sarà sufficiente un mero aggiornamento delle informative e il conferimento delle deleghe ai verificatori, ma è necessario un aggiornamento complessivo del modello di gestione del trattamento dati personali.

Merita evidenziare che la normativa esaminata solleva perplessità anche in relazione alla compatibilità tra obblighi imposti al ddl e limiti imposti al trattamento dei dati. In particolare, si è detto che i controlli non possono comportare la conservazione di alcun dato, ma se così fosse, come può il ddl dimostrare di aver eseguito i controlli in conformità a quanto previsto dal proprio piano operativo? Inoltre, per poter considerare i lavoratori privi di GP (per loro stessa dichiarazione ovvero a seguito di esito negativo del controllo) “assenti ingiustificati per mancanza di GP” applicando lo specifico trattamento previsto dal D.L. 127/2021, dovranno necessariamente essere comunicati all’ufficio che si occupa dell’elaborazione delle paghe quantomeno i dati relativi ai controlli che hanno avuto esito negativo (e le dichiarazioni dei lavoratori di non essere in possesso del GP).

Sul punto, è evidente che sul piano pratico, nel confronto tra l’adempimento degli obblighi di legge e i limiti imposti a tutela della riservatezza, “qualcosa non torna”.

Le Linee Guida del Governo relative all’impiego pubblico, se pur in versione ancora non definitiva, hanno tuttavia precisato, quanto ai controlli, che “in ossequio alla disciplina sul trattamento dei dati personali non è consentita la raccolta dei dati relativi alle certificazioni esibite dai lavoratori né la conservazione della loro copia”, il che porta a ritenere che sia invece legittima la mera registrazione (anche nominativa ossia con nome e cognome dei lavoratori controllati) delle verifiche effettuate, con indicazione del relativo esito.

Sarebbe opportuno che, qualora il ddl decida di incaricare un soggetto terzo al controllo della Certificazione, questi non proceda autonomamente a vietare l’ingresso ad un soggetto privo o con GP non valido o che ne imponga l’uscita dal luogo di lavoro. Stessa cosa in caso di rifiuto ad esibire la Certificazione od il relativo documento d’identità. Sarebbe più opportuno che l’incaricato informi della situazione il ddl/il Covid Manager (se nominato)/il Responsabile delle Risorse Umane (in ragione dell’organizzazione aziendale) e che si proceda contestualmente alla redazione di un verbale, che funga sia da prova in caso di controllo da parte degli Organi di P.G. e da documentazione necessaria alla regolamentazione del rapporto di lavoro o di prestazione di servizi/opera.

I soggetti incaricati dal ddl di effettuare i controlli possono rifiutare di svolgere tale attività?

Se l’incarico è affidato ad un lavoratore dipendente e la sua attribuzione rientra nel legittimo esercizio del potere del datore di lavoro di definire le mansioni si ritiene che in linea di principio l’incaricato non possa rifiutare l’incarico.

Se i soggetti incaricati dell’accertamento delle violazioni poste in essere dai lavoratori sono quelli individuati dal ddl, chi sono i soggetti incaricati dell’accertamento delle violazioni poste in essere dai ddl? C’è un obbligo di denuncia delle violazioni dei lavoratori? Chi deve occuparsi della trasmissione degli atti al Prefetto, il verificatore o il ddl su segnalazione del verificatore? Come va formalizzata la contestazione della violazione?

Si registra una forte incongruenza della norma sul punto. L’art. 3, comma 9 del DL 127/2021 prescrive sul punto l’applicazione dell’art. 4, comma 9, del DL 5 marzo 2020, n. 19, convertito, con modificazioni, dalla Legge 22 maggio 2020, n. 35, che così dispone:”Il Prefetto, informando preventivamente il Ministro dell’interno, assicura l’esecuzione delle misure avvalendosi delle Forze di polizia, del personale dei corpi di polizia municipale munito della qualifica di agente di pubblica sicurezza e, ove occorra, delle Forze armate, sentiti i competenti comandi territoriali. Al personale delle Forze armate impiegato, previo provvedimento del Prefetto competente, per assicurare l’esecuzione delle misure di contenimento di cui agli articoli 1 e 2 e’ attribuita la qualifica di agente di pubblica sicurezza. Il prefetto assicura l’esecuzione delle misure di contenimento nei luoghi di lavoro avvalendosi anche del personale ispettivo dell’azienda sanitaria locale competente per territorio e dell’Ispettorato nazionale del lavoro limitatamente alle sue competenze in materia di salute e di sicurezza nei luoghi di lavoro“. Al contempo però l’art. 10 del DL 127/2021 stabilisce che “Le sanzioni di cui al comma 9 sono irrogate dal Prefetto. I soggetti incaricati dell’accertamento e della contestazione delle violazioni di cui al medesimo comma 9 trasmettono al Prefetto gli atti relativi alla violazione”. Ne consegue che, il ddL ed i suoi incaricati NON hanno alcun obbligo giuridico di riferire al Prefetto le violazioni dell’obbligo di GP. I soggetti incaricati di accertare le violazioni del DL n. 127/2021 ai fini dell’applicazione delle sanzioni amministrative NON sono i soggetti privati designati dal ddl per verificare il possesso del GP. Sono semmai funzionari pubblici indicati dalla legge; infatti l’art. 13 della Legge 689/1981 chiarisce che “All’accertamento delle violazioni punite con la sanzione amministrativa del pagamento di una somma di denaro possono procedere anche gli ufficiali e gli agenti di polizia giudiziaria. […] È fatto salvo l’esercizio degli specifici poteri di accertamento previsti dalle leggi vigenti“. Si può al momento ipotizzare che, per le violazioni riferibili ai lavoratori il ddl (se non direttamente, ma dopo essere stato informato dall’incaricato), può trasmetterne notizia al Prefetto, senza perciò incorrere automaticamente in una sanzione, semmai dando prova di aver correttamente adottato e messo in atto la relativa Procedura, mentre per quelle applicabili ai ddl/Imprese provvederà principalmente lo SPISAl/Ispettorato del Lavoro ed altri Organi di P.G. competenti.

Necessità di doppia verifica da parte del ddl e del terzo in caso di lavoratori dipendenti di un terzo che operano all’interno dei luoghi di lavoro? Il caso particolare della somministrazione:

E’ possibile che il soggetto presso cui il lavoratore debba svolgere la prestazione, nell’ambito contrattuale, chieda che sia il ddl a svolgere il controllo del GP del proprio dipendente e poi si riservi un controllo a campione dei soggetti che effettivamente accedono alla propria struttura.Tuttavia si segnala la presa di posizione di Assolavoro che, con Circolare 9/2021, proprio per evitare la doppia verifica, ha invece stabilito che sia l’utilizzatore ad eseguire il controllo di validità del GP, in quanto ogni potere dispositivo e di controllo è trasferito per legge proprio sull’utilizzatore ed i locali dell’Agenzia non possono essere equiparati alla nozione di “luogo di lavoro”. Alle agenzie che si occupano dei contratti di somministrazione resterebbe dunque solo l’obbligo di informare i lavoratori degli obblighi previsti dal DL 127/2021.

E’ necessario/obbligatorio aggiornare la Procedura ANTI-COVID o piuttosto istituire una Procedura ad hoc? Stessa cosa dicasi per il DVR ed il MOGC ai sensi del D.Lgs. n. 231/2001?

E’ preferibile tenere separati i protocolli di sicurezza già adottati rispetto al documento che definisce le modalità dei controlli, trattandosi di atti che, pur dovendo necessariamente dialogare, hanno una diversa natura (negoziale i protocolli, unilaterale il piano che definisce l’organizzazione e le modalità dei controlli).

Per quanto riguarda l’aggiornamento del DVR, il ddl dovrà/potrà introdurre la Procedura inerente il possesso e la verifica della validità del GP quale ulteriore documentazione necessaria a governare il rischio del contagio all’interno della sede lavorativa, così rispettando il dettato anche della più generale norma di cui all’art. 2087 C.C.- L’Associazione Nazionale Medici d’Azienda e Competenti, con Nota del 3 Settembre 2021, ha fornito indicazioni sul ruolo del Medico Competente rispetto alla Certificazione Verde nei luoghi di lavoro, quale soggetto che non è generalmente coinvolto nelle procedure relative al controllo dell’assolvimento dell’obbligo vaccinale, non essendovi un collegamento diretto tra GP ed idoneità lavorativa. Per il Medico Competente permane il ruolo di collaborazione con il sistema aziendale, soprattutto nella messa a punto, aggiornamento e/o monitoraggio delle misure di contrasto alla diffusione del COVID-19. Le norme di riferimento rimangono quelle contenute nel Protocollo Condiviso dalle Parti Sociali del 6 Aprile 2021. Il ruolo del Medico Competente in ambito vaccinale consiste nella sensibilizzazione attraverso iniziative aziendali di info-formazione sul tema, allo scopo di fornire elementi oggettivi di valutazione personale ai lavoratori.

Le linee Guida del Governo, non ancora ufficiali, relative all’impiego pubblico hanno tuttavia precisato che i Certificati di esenzione dal possesso del GP debbano essere consegnati esclusivamente al Medico Competente che li conserverà nella Cartella Sanitaria del dipendente, al fine di rafforzare la tutela in materia di privacy. A questo punto si dovrà ipotizzare una comunicazione del Medico Competente al ddl od all’incaricato che potrà omettere il controllo delle persone esenti. Non si può escludere allora che, a seguito del coinvolgimento del Medico Competente, sia opportuno procedere all’aggiornamento del DVR in relazione alle misure organizzative e di tutela che il ddl dovrà mettere in atto per proteggere i lavoratori esenti che, evidentemente, sono esposti ad un maggiore rischio di contagio rispetto a coloro che sono dotati di GP, specie se a seguito di avvenuta vaccinazione.

Stessa conclusione allora dovrà essere tratta circa l’aggiornamento del Modello 231, che si basa sulla valutazione del rischio e sulle Procedure di sicurezza complessivamente adottate dall’impresa.

Le sanzioni applicabili sono solo quelle amministrative di competenza prefettizia?

Non si può non evidenziare come le sanzioni di cui all’art. 4, commi 1, 3, 5 e 9, del D.L. n. 19/2020, (convertito dalla L. n. 35/2020) richiamate dal’art. 3, comma 9, del DL 127/2021 prevedono la clausola di salvaguardia “salvo che il fatto costituisca reato”, pertanto occorre tener presente che gli obblighi previsti dal D.Lgs. n. 81/2008 sono generalmente presidiati da sanzioni penali. Tra questi obblighi, v’è quello – previsto dall’art. 18, comma 1, lett. f), penalmente sanzionato a carico del datore di lavoro e del dirigente dall’art. 55, comma 5, lett. c) – di vigilare sull’osservanza da parte dei singoli lavoratori delle “norme vigenti”, nonché delle “disposizioni aziendali in materia di sicurezza e di igiene del lavoro” (oltre agli obblighi in capo al preposto, di cui all’art. 19, comma 1, lett. a, D.Lgs. n. 81/2008). Né sfugga che, in base all’art. 20, comma 1, lett. a), e b) del medesimo Decreto, i lavoratori hanno l’obbligo – penalmente sanzionato dall’art. 59, comma 1, lettera a) – di “osservare le disposizioni e le istruzioni impartite dal datore di lavoro, dai dirigenti e dai preposti, ai fini della protezione collettiva ed individuale”. Non è pertanto da escludere che, a seguito dell’intervento dell’Organo di P.G., oltre alla segnalazione al Prefetto che applicherà la sanzione amministrativa, in caso di violazione non possano essere applicate anche le predette sanzioni penali.

I controlli sul Green Pass e la tutela dei dati personali nell’ente locale

Con il D.L. n. 127/2021 è stato introdotto l’obbligo di possedere ed esibire, su richiesta, la certificazione verde COVID-19 (cd. Green pass) per accedere al luogo di lavoro, a decorrere dal 15 ottobre 2021.

Tale obbligo riguarda tutto il personale dipendente comunale, gli amministratori comunali e tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso il comune, anche sulla base di contratti esterni (esempio appaltatori, tirocinanti, stagisti, volontari che devono accedere ai locali comunali, ecc.).

Per i dipendenti è previsto in sintesi che:

  • il dipendente che comunica di non avere il Green pass o che, se richiesto, non lo esibisca PRIMA DI ACCEDERE al luogo di lavoro, non potrà accedervi e verrà dichiarato assente ingiustificato dal servizio senza retribuzione o altro compenso, senza conseguenze disciplinari;
  • il dipendente che, se richiesto, non esibisca il Green pass ALL’INTERNO del luogo di lavoro, è soggetto a sanzione disciplinare e a sanzione amministrativa per un importo da 600 a 1500 euro.

Il Green pass non è richiesto agli utenti che devono accedere agli uffici comunali.

La necessità di porre in essere i controlli pone l’ente locale, ma in generale tutte le organizzazioni nella posizione di dover prendere delle decisioni che sembrano porsi in conflitto con il corretto adempimento della normativa in materia

Adempimenti da porre in essere ai sensi del Regolamento UE 2016/679 (GDPR)

Un errore molto diffuso è ritenere che l’attività di verifica del Green Pass non comporti trattamento di dati personali, e che di conseguenza non sia richiesto alcun aggiornamento della documentazione. Gli interventi dell’Autorità Garante per la protezione dei dati personali smentiscono in modo piuttosto palese questo tipo di interpretazione e anzi richiamano proprio (tanto le istituzioni quanto i privati) al corretto adempimento dei principi del GDPR.

E’ necessario perciò:

  1.  produrre le informative relative all’attività di verifica, conformemente agli artt. 13 e 14 del GDPR;
  2. aggiornare i registri delle attività di trattamento, conformemente all’art. 30 del GDPR;
  3. redigere l’atto di designazione dei verificatori, con autorizzazioni ed istruzioni, conformemente all’art. 29 GDPR e, ovviamente, in fase operativa verificare che tali interventi documentali siano operativamente attuati.

Particolare attenzione andrà posta nella definizione dei termini di conservazione delle checklist relative agli esiti dei controlli. Speriamo che il Garante per la Protezione dei Dati Personali dia delle indicazioni al riguardo.

Nonostante sia espressamente vietata la raccolta dei dati, non poche organizzazioni hanno creato banche dati contenenti dei dati delle certificazioni verdi.

Tale tipo di raccolta deve considerarsi illecita.

Così è accaduto, ad esempio, per le palestre, ma non sono le uniche ad aver predisposto tali procedure in aperta violazione del dettato dell’art. 13 comma 5 DPCM 17 giugno 2021 per cui “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.

Che sia il caricamento in PDF o l’anticipazione via e-mail o l’invio di una foto tramite servizio di messaggistica istantanea, tale attività è, fondamentalmente, vietata. Definire un termine breve (o brevissimo) di conservazione o l’applicazione di metodi di cifratura non consente di superare tale limite.

Attività di questo genere comportano la violazione del principio di liceità in quanto non vi è una base giuridica validamente individuabile, nonché del principio di minimizzazione dal momento che sono raccolti dati in eccesso rispetto alle finalità indicate dalla norma. Inoltre, è violato anche il principio di esattezza del dato con riguardo alla validità del Green Pass il quale, pur avendo una data di scadenza, può essere revocato.

E’ ESPRESSAMENTE VIETATA LA RACCOLTA DEI DATI DELLE CERTIFICAZIONI VERDI. NESSUNA BANCA DATI PER LA RACCOLTA DELLE CERTIFICAZIONI VERDI DEVE ESSERE CREATA.

Modalità di verifica

Al momento abbiamo l’esclusività di impiego dell’app VerificaC19, con l’unica eccezione al momento rappresentata dalla piattaforma docenti in ambito scolastico. Ogni sistema alternativo proposto sul mercato non è dunque conforme alle attuali prescrizioni di legge.

E’ assolutamente vietata l’adozione di sistemi integrati di riconoscimento facciale per evitare il “reimpiego” del medesimo Green Pass. L’attività di verifica non solo non deve raccogliere i dati della certificazione verde, ma, ovviamente nemmeno i dati biometrici degli interessati, in carenza di alcun fondamento di liceità per il trattamento di tali informazioni.

I verificatori

Spesso i verificatori non sono né designati né istruiti.

La mancata predisposizione di misure organizzative per la definizione dei ruoli e delle responsabilità dei soggetti verificatori viola la previsione di quell’ “atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica” previsto dall’art. 13 comma 3 DPCM 17 giugno 2021.

Tale disposizione, letta tenendo conto della normativa in materia di protezione dei dati personali è un richiamo della previsione generale stabilita dall’art. 29 GDPR per cui vi è l’obbligo generale, in capo al titolare del trattamento, di autorizzare ed istruire gli operatori che hanno accesso ai dati personali.

La forma che si vorrà dare all’atto di designazione rimane libera, ma è necessario fornire le istruzioni operative circa l’attività concreta da svolgere. Ad esempio: specificando le modalità di compilazione e conservazione di una checklist di controllo con il divieto di annotazione di alcuno dei dati relativi al Green Pass.

Il coinvolgimento del DPO

Con riferimento al DPO, va ricordato che vi è un obbligo specifico previsto dal GDPR, per cui tale soggetto deve essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali

Avvalersi della consulenza e informazione specifica in ambito di protezione dei dati personali già in sede di progettazione delle misure organizzative comporta infatti un minore rischio di incorrere in una o più non conformità.

APPENDICE NORMATIVA

DECRETO-LEGGE 21 settembre 2021, n. 127

Art. 1

Disposizioni urgenti sull’impiego di certificazioni verdi COVID-19 in ambito lavorativo pubblico

1. Al decreto-legge 22 aprile 2021, n. 52, convertito, con modificazioni, dalla legge 17 giugno 2021, n. 87, dopo l’articolo 9-quater e’ inserito il seguente:

«Art. 9-quinquies (Impiego delle certificazioni verdi COVID-19 nel settore pubblico).

1.            Dal 15 ottobre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di prevenire la diffusione dell’infezione da SARS-CoV-2, al personale delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, al personale di cui all’articolo 3 del predetto decreto legislativo, al personale delle Autorita’ amministrative indipendenti, ivi comprese la Commissione nazionale per la societa’ e la borsa e la Commissione di vigilanza sui fondi pensione, della Banca d’Italia, nonche’ degli enti pubblici economici e degli organi di rilievo costituzionale, ai fini dell’accesso ai luoghi di lavoro, nell’ambito del territorio nazionale, in cui il predetto personale svolge l’attivita’ lavorativa, e’ fatto obbligo di possedere e di esibire, su richiesta, la certificazione verde COVID-19 di cui all’articolo 9, comma 2. Resta fermo quanto previsto dagli articoli 9-ter, 9-ter.1 e 9-ter.2 del presente decreto e dagli articoli 4 e 4-bis del decreto-legge 1° aprile 2021, n. 44, convertito, con modificazioni, dalla legge 28 maggio 2021, n. 76.

2.            La disposizione di cui al comma 1 si applica altresi’ a tutti i soggetti che svolgono, a qualsiasi titolo, la propria attivita’ lavorativa o di formazione o di volontariato presso le amministrazioni di cui al comma 1, anche sulla base di contratti esterni.

3.            Le disposizioni di cui ai commi 1 e 2 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute.

4.            I datori di lavoro del personale di cui al comma 1 sono tenuti a verificare il rispetto delle prescrizioni di cui ai commi 1 e 2. Per i lavoratori di cui al comma 2 la verifica sul rispetto delle prescrizioni di cui al comma 1, oltre che dai soggetti di cui al primo periodo, e’ effettuata anche dai rispettivi datori di lavoro.

5.            I datori di lavoro di cui al comma 4, primo periodo, definiscono, entro il 15 ottobre 2021, le modalita’ operative per l’organizzazione delle verifiche di cui al comma 4, anche a campione, prevedendo prioritariamente, ove possibile, che tali controlli siano effettuati al momento dell’accesso ai luoghi di lavoro, e individuano con atto formale i soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi di cui ai commi 1 e 2. Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalita’ indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell’articolo 9, comma 10. Il Presidente del Consiglio dei ministri, su proposta dei Ministri per la pubblica amministrazione e della salute, puo’ adottare linee guida per la omogenea definizione delle modalita’ organizzative di cui al primo periodo. Per le regioni e gli enti locali le predette linee guida, ove adottate, sono definite d’intesa con la Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281.

6.            Il personale di cui al comma 1, nel caso in cui comunichi di non essere in possesso della certificazione verde COVID-19 o qualora risulti privo della predetta certificazione al momento dell’accesso al luogo di lavoro, al fine di tutelare la salute e la sicurezza dei lavoratori nel luogo di lavoro, e’ considerato assente ingiustificato fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021, termine di cessazione dello stato di emergenza, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro. Per i giorni di assenza ingiustificata di cui al primo periodo non sono dovuti la retribuzione ne’ altro compenso o emolumento, comunque denominati.

7.            L’accesso del personale ai luoghi di lavoro di cui al comma 1 in violazione degli obblighi di cui ai commi 1 e 2, e’ punito con la sanzione di cui al comma 8 e restano ferme le conseguenze disciplinari secondo i rispettivi ordinamenti di appartenenza.

8.            In caso di violazione delle disposizioni di cui al comma 4, di mancata adozione delle misure organizzative di cui al comma 5 nel termine previsto, nonche’ per la violazione di cui al comma 7, si applica l’articolo 4, commi 1, 3, 5 e 9, del decreto-legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35. Resta fermo quanto previsto dall’articolo 2, comma 2-bis, del decreto-legge 16 maggio 2020, n. 33, convertito, con modificazioni, dalla legge 14 luglio 2020, n. 74. Per le violazioni di cui al comma 7, la sanzione amministrativa prevista dal comma 1 del citato articolo 4 del decreto-legge n. 19 del 2020 e’ stabilita in euro da 600 a 1.500.

9.            Le sanzioni di cui al comma 8 sono irrogate dal Prefetto. I soggetti incaricati dell’accertamento e della contestazione delle violazioni di cui al medesimo comma 8 trasmettono al Prefetto gli atti relativi alla violazione.

0.            Al personale di cui al comma 1 dell’articolo 9-sexies, collocato fuori ruolo presso le amministrazioni di cui al comma 1, si applicano le disposizioni di cui al medesimo articolo 9-sexies, commi 2 e 3, fermo restando quanto previsto dal comma 8 del presente articolo.

1.            Fermo restando quanto previsto al comma 12, ai soggetti titolari di cariche elettive o di cariche istituzionali di vertice, si applicano le disposizioni di cui ai commi 1, 3, 4, 5 e 8.

10.          Gli organi costituzionali, ciascuno nell’ambito della propria autonomia, adeguano il proprio ordinamento alle disposizioni di cui al presente articolo.

2.            Le amministrazioni di cui al comma 1, provvedono alle attivita’ di cui al presente articolo con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica.».

Sì all’uso delle Body Cam in operazioni di polizia

La polizia potrà utilizzare le telecamere indossabili in caso di operazioni particolari (vanno individuate nel disciplinare di servizio) con conservazione dei dati allungata a sei mesi.

Va posta la massima costante attenzione al corretto trattamento dei dati personali ed in particolare al perimetro della sicurezza informatica e senza fare mai ricorso al riconoscimento facciale.

Lo ha chiarito il Garante per la protezione dei dati personali con il provvedimento n. 290 del 22 luglio 2021.

L’impiego delle bodycam da parte degli operatori di polizia è sempre più frequente grazie al potente effetto dissuasivo rappresentato dal fattore visibilità della telecamera sulla divisa. Ma anche grazie ad una tecnologia sempre più performante. La corretta regolazione di questi sistemi richiede però una adeguata perimetrazione dei rischi privacy.

Il titolare del trattamento deve adottare tutte le necessarie misure tecniche ed organizzative a tutela del corretto trattamento dei dati personali.

Il ministero dell’interno ha richiesto un parere sulla preventiva valutazione di impatto e sul disciplinare operativo redatto dalla polizia di stato per l’attivazione del proprio sistema di 700 bodycam da assegnare ai reparti mobili che curano l’ordine pubblico.

Il Garante ha espresso parere favorevole ai sensi dell’art. 24 del dlgs 51/2018 evidenziando una serie importante di raccomandazioni. In particolare l’autorità ha evidenziato una serie di criticità operative che potrebbero interferire con la sicurezza complessiva del trattamento dei dati personali specificando che il sistema non potrà essere utilizzato per il riconoscimento facciale e la tracciabilità di tutte le operazioni dovrà essere sempre assicurata ritenendo anche congruo un termine massimo di conservazione delle immagini di 6 mesi.

Vi deve essere una rigida regolamentazione delle copie dei filmati. Il Garante raccomanda al Viminale di non generare copie tra il centro e la periferia ma di organizzare in qualche modo l’accesso sicuro ai filmati senza duplicazioni.

Autovelox, l’automobilista multato ha diritto di accedere alle immagini registrate dalle telecamere

L’automobilista che incorre in un controllo automatico dell’eccesso di velocità ha diritto di accesso alle informazioni relative all’eventuale sistema di videosorveglianza posizionata in loco a tutela del vigile elettronico. E se il comune omette di dare seguito alle richieste può scattare una sanzione in materia di privacy. Lo ha evidenziato il Garante per la protezione dei dati con l’ordinanza ingiunzione 15 ottobre 2020, n. 9486531.

PUBBLICATA LA LEGGE DI CONVERSIONE DEL DECRETO LEGGE 16 LUGLIO 2020 – “DECRETO SEMPLIFICAZIONI”

LEGGE 11 SETTEMBRE 2020 N.120 – IN VIGORE DAL 15.09.2020

Ecco le principali novità:

APPALTI

Prevista la possibilità dell’affidamento diretto per i lavori sotto i 150000 euro.

Prevista la procedura negoziata senza bando per l’affidamento di servizi e forniture per importo pari o superiore ai 75000 euro.

DOCUMENTAZIONE ANTIMAFIA

La Pubblica Amministrazione può concedere benefici economici anche in assenza di documentazione antimafia quando questa non è subito consultabile nella banca dati nazionale.

Possibilità di stipula di contratti sulla base di informativa antimafia provvisoria.

MISURE DI SEMPLIFICAZIONE DELL’ATTIVITA’ EDILIZIA

Previste deroghe ai limiti di distanza tra fabbricati, modifiche alle tipologie edilizie: manutenzioni straordinarie e ristrutturazioni e attività edilizia libera. Documentazione sullo stato legittimo degli immobili. Interventi subordinati a permesso di costruire. PDC in deroga. Agevolazioni fiscali. Silenzio-assenso, Scia. Beni storici e artistici

MISURE DI SEMPLIFICAZIONE EDILIZIA SCOLASTICA

E’ sufficiente la presentazione della SCIA per le opere di edilizia scolastica che dovranno però iniziare entro il 2022

ACCESSO ALL’ANAGRAFICA TRIBUTARIA DA PARTE DEI COMUNI.

Viene previsto l’accesso completo ai dati dell’anagrafe tributaria in favore dei comuni che potranno avere accesso completo ai dati e alle informazioni in possesso dell’anagrafe tributaria.

CODICE DELLA STRADA

Sarà possibile installare autovelox fissi anche nelle strade urbane di quartiere.

E’ esteso ai netturbini il potere di accertamento delle violazioni sulla sosta dei veicoli.

DANNO ERARIALE

Per i fatti commessi dal 17 luglio 2020 al 31 dicembre 2021, la responsabilità per i danni erariali è limitata alle sole ipotesi di dolo

ABUSO D’UFFICIO

Viene modificato il reato di abuso d’ufficio che non sarà più punibile per violazione di norme di legge o di regolamento, ma solo se si violano specifiche regole di condotta disciplinate espressamente dalla legge.

Il nuovo articolo 323 del Codice Penale risulta così formulato:

Abuso d’ufficio

Salvo che il fatto non costituisca un più grave reato, il pubblico ufficiale o l’incaricato di pubblico servizio che, nello svolgimento delle funzioni o del servizio, in violazione di specifiche regole di condotta espressamente previste dalla legge o da atti aventi forza di legge e dalle quali non residuino margini di discrezionalità, ovvero omettendo di astenersi in presenza di un interesse proprio o di un prossimo congiunto o negli altri casi prescritti, intenzionalmente procura a sé o ad altri un ingiusto vantaggio patrimoniale ovvero arreca ad altri un danno ingiusto è punito con la reclusione da uno a quattro anni.

La pena è aumentata nei casi in cui il vantaggio o il danno hanno un carattere di rilevante gravità .

SRL

Vi sarà la possibilità di aumento di capitale a maggioranza semplice anche per le S.r.l.

SONO INTRODOTTE NUMEROSE MODIFICHE ALLA LEGGE 241/1990 SUL PROCEDIMENTO AMMINISTRATIVO

CON L’OBIETTIVO DELLA SEMPLIFICAZIONE

Viene modificato l’articolo 2 con l’ottica di rendere ancora più certi i termini di conclusione del procedimento

Art. 2 Conclusione del procedimento

4-bis. Le pubbliche amministrazioni misurano e rendono pubblici i tempi effettivi di conclusione dei procedimenti amministrativi di maggiore impatto per i cittadini e per le imprese, comparandoli con i termini previsti dalla normativa vigente. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro per la pubblica amministrazione, previa intesa in Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono definite modalità e criteri di misurazione dei tempi effettivi di conclusione dei procedimenti di cui al primo periodo.

Art. 3-bis Uso della telematica

1.  Per conseguire maggiore efficienza nella loro attività, le amministrazioni pubbliche agiscono mediante strumenti informatici e telematici, nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati.

Art. 5 Responsabile del procedimento )

1. Il dirigente di ciascuna unità organizzativa provvede ad assegnare a sé o ad altro dipendente addetto all’unità la responsabilità della istruttoria e di ogni altro adempimento inerente il singolo procedimento nonché, eventualmente, dell’adozione del provvedimento finale.

2. Fino a quando non sia effettuata l’assegnazione di cui al comma 1, è considerato responsabile del singolo procedimento il funzionario preposto alla unità organizzativa determinata a norma del comma 1 dell’articolo 4.

3. L’unità organizzativa competente, il domicilio digitale e il nominativo del responsabile del procedimento sono comunicati ai soggetti di cui all’articolo 7 e, a richiesta, a chiunque vi abbia interesse.

Art. 8 Modalità e contenuti della comunicazione di avvio del procedimento

1.  L’amministrazione provvede a dare notizia dell’avvio del procedimento mediante comunicazione personale.

2.  Nella comunicazione debbono essere indicati:

a) l’amministrazione competente;

b) l’oggetto del procedimento promosso;

c) l’ufficio, il domicilio digitale dell’amministrazione e la persona responsabile del procedimento; 

c-bis)  la data entro la quale, secondo i termini previsti dall’articolo 2, commi 2 o 3, deve concludersi il procedimento e i rimedi esperibili in caso di inerzia dell’amministrazione;

c-ter) nei procedimenti ad iniziativa di parte, la data di presentazione della relativa istanza;

d) le modalità con le quali, attraverso il punto di accesso telematico di cui all’articolo 64-bis del decreto legislativo 7 marzo 2005, n. 82 o con altre modalità telematiche, è possibile prendere visione degli atti, accedere al fascicolo informatico di cui all’articolo 41 dello stesso decreto legislativo n. 82 del 2005 ed esercitare in via telematica i diritti previsti dalla presente legge;

d-bis) l’ufficio dove è possibile prendere visione degli atti che non sono disponibili o accessibili con le modalità di cui alla lettera d)

3. Qualora per il numero dei destinatari la comunicazione personale non sia possibile o risulti particolarmente gravosa, l’amministrazione provvede a rendere noti gli elementi di cui al comma 2 mediante forme di pubblicità idonee di volta in volta stabilite dall’amministrazione medesima.

4. L’omissione di taluna delle comunicazioni prescritte può esser fatta valere solo dal soggetto nel cui interesse la comunicazione è prevista.

Art. 10-bis Comunicazione dei motivi ostativi all’accoglimento dell’istanza

1. Nei procedimenti ad istanza di parte il responsabile del procedimento o l’autorità competente, prima della formale adozione di un provvedimento negativo, comunica tempestivamente agli istanti i motivi che ostano all’accoglimento della domanda. Entro il termine di dieci giorni dal ricevimento della comunicazione, gli istanti hanno il diritto di presentare per iscritto le loro osservazioni, eventualmente corredate da documenti. La comunicazione di cui al primo periodo sospende i termini di conclusione dei procedimenti, che ricominciano a decorrere dieci giorni dopo la presentazione delle osservazioni o, in mancanza delle stesse, dalla scadenza del termine di cui al secondo periodo. Qualora gli istanti abbiano presentato osservazioni, del loro eventuale mancato accoglimento il responsabile del procedimento o l’autorità competente sono tenuti a dare ragione nella motivazione del provvedimento finale di diniego indicando, se ve ne sono, i soli motivi ostativi ulteriori che sono conseguenza delle osservazioni. In caso di annullamento in giudizio del provvedimento così adottato, nell’esercitare nuovamente il suo potere l’amministrazione non può addurre per la prima volta motivi ostativi già emergenti dall’istruttoria del provvedimento annullato. Le disposizioni di cui al presente articolo non si applicano alle procedure concorsuali e ai procedimenti in materia previdenziale e assistenziale sorti a seguito di istanza di parte e gestiti dagli enti previdenziali. Non possono essere addotti tra i motivi che ostano all’accoglimento della domanda inadempienze o ritardi attribuibili all’amministrazione. 

Art. 16 Attività consultiva

1. Gli organi consultivi delle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 3 febbraio 1993, n. 29, sono tenuti a rendere i pareri ad essi obbligatoriamente richiesti entro venti giorni dal ricevimento della richiesta. Qualora siano richiesti di pareri facoltativi, sono tenuti a dare immediata comunicazione alle amministrazioni richiedenti del termine entro il quale il parere sarà reso, che comunque non può superare i venti giorni dal ricevimento della richiesta.

2.  In caso di decorrenza del termine senza che sia stato comunicato il parere o senza che l’organo adito abbia rappresentato esigenze istruttorie, l’amministrazione richiedente procede indipendentemente dall’espressione del parere. Salvo il caso di omessa richiesta del parere, il responsabile del procedimento non può essere chiamato a rispondere degli eventuali danni derivanti dalla mancata espressione dei pareri di cui al presente comma.

3.  Le disposizioni di cui ai commi 1 e 2 non si applicano in caso di pareri che debbano essere rilasciati da amministrazioni preposte alla tutela ambientale, paesaggistica, territoriale e della salute dei cittadini.

4.  Nel caso in cui l’organo adito abbia rappresentato esigenze istruttorie, i termini di cui al comma 1 possono essere interrotti per una sola volta e il parere deve essere reso definitivamente entro quindici giorni dalla ricezione degli elementi istruttori da parte delle amministrazioni interessate.

5.  I pareri di cui al comma 1 sono trasmessi con mezzi telematici.

6.  Gli organi consultivi dello Stato predispongono procedure di particolare urgenza per l’adozione dei pareri loro richiesti.

6-bis.  Resta fermo quanto previsto dall’ articolo 127 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163, e successive modificazioni.

Art. 17-bis Effetti del silenzio e dell’inerzia nei rapporti tra amministrazioni pubbliche e tra amministrazioni pubbliche e gestori di beni o servizi pubblici

1.  Nei casi in cui è prevista l’acquisizione di assensi, concerti o nulla osta comunque denominati di amministrazioni pubbliche e di gestori di beni o servizi pubblici, per l’adozione di provvedimenti normativi e amministrativi di competenza di altre amministrazioni pubbliche, le amministrazioni o i gestori competenti comunicano il proprio assenso, concerto o nulla osta entro trenta giorni dal ricevimento dello schema di provvedimento, corredato della relativa documentazione, da parte dell’amministrazione procedente. Esclusi i casi di cui al comma 3, quando per l’adozione di provvedimenti normativi e amministrativi è prevista la proposta di una o più amministrazioni pubbliche diverse da quella competente ad adottare l’atto, la proposta stessa è trasmessa entro trenta giorni dal ricevimento della richiesta da parte di quest’ultima amministrazione. Il termine è interrotto qualora l’amministrazione o il gestore che deve rendere il proprio assenso, concerto o nulla osta rappresenti esigenze istruttorie o richieste di modifica, motivate e formulate in modo puntuale nel termine stesso. In tal caso, l’assenso, il concerto o il nulla osta è reso nei successivi trenta giorni dalla ricezione degli elementi istruttori o dello schema di provvedimento; lo stesso termine si applica qualora dette esigenze istruttorie siano rappresentate dall’amministrazione proponente nei casi di cui al secondo periodo. Non sono ammesse ulteriori interruzioni di termini.

2.  Decorsi i termini di cui al comma 1 senza che sia stato comunicato l’assenso, il concerto o il nulla osta, lo stesso si intende acquisito. Esclusi i casi di cui al comma 3, qualora la proposta non sia trasmessa nei termini di cui al comma 1, secondo periodo, l’amministrazione competente può comunque procedere. In tal caso, lo schema di provvedimento, corredato della relativa documentazione, è trasmesso all’amministrazione che avrebbe dovuto formulare la proposta per acquisirne l’assenso ai sensi del presente articolo. In caso di mancato accordo tra le amministrazioni statali coinvolte nei procedimenti di cui al comma 1, il Presidente del Consiglio dei ministri, previa deliberazione del Consiglio dei ministri, decide sulle modifiche da apportare allo schema di provvedimento.

3.  Le disposizioni dei commi 1 e 2 si applicano anche ai casi in cui è prevista l’acquisizione di assensi, concerti o nulla osta comunque denominati di amministrazioni preposte alla tutela ambientale, paesaggistico-territoriale, dei beni culturali e della salute dei cittadini, per l’adozione di provvedimenti normativi e amministrativi di competenza di amministrazioni pubbliche. In tali casi, ove disposizioni di legge o i provvedimenti di cui all’articolo 2 non prevedano un termine diverso, il termine entro il quale le amministrazioni competenti comunicano il proprio assenso, concerto o nulla osta è di novanta giorni dal ricevimento della richiesta da parte dell’amministrazione procedente. Decorsi i suddetti termini senza che sia stato comunicato l’assenso, il concerto o il nulla osta, lo stesso si intende acquisito.

4.  Le disposizioni del presente articolo non si applicano nei casi in cui disposizioni del diritto dell’Unione europea richiedano l’adozione di provvedimenti espressi.

Art. 18 Autocertificazione

1. Le amministrazioni adottano le misure organizzative idonee a garantire l’applicazione delle disposizioni in materia di autocertificazione e di presentazione di atti e documenti da parte di cittadini a pubbliche amministrazioni di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.

2.  I documenti attestanti atti, fatti, qualità e stati soggettivi, necessari per l’istruttoria del procedimento, sono acquisiti d’ufficio quando sono in possesso dell’amministrazione procedente, ovvero sono detenuti, istituzionalmente, da altre pubbliche amministrazioni. L’amministrazione procedente può richiedere agli interessati i soli elementi necessari per la ricerca dei documenti.

3.  Parimenti sono accertati d’ufficio dal responsabile del procedimento i fatti, gli stati e le qualità che la stessa amministrazione procedente o altra pubblica amministrazione è tenuta a certificare.

3-bis.  Nei procedimenti avviati su istanza di parte, che hanno ad oggetto l’erogazione di benefici economici comunque denominati, indennità, prestazioni previdenziali e assistenziali, erogazioni, contributi, sovvenzioni, finanziamenti, prestiti, agevolazioni, da parte di pubbliche amministrazioni ovvero il rilascio di autorizzazioni e nulla osta comunque denominati, le dichiarazioni di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, ovvero l’acquisizione di dati e documenti di cui ai commi 2 e 3, sostituiscono ogni tipo di documentazione comprovante tutti i requisiti soggettivi ed oggettivi richiesti dalla normativa di riferimento, fatto comunque salvo il rispetto delle disposizioni del codice delle leggi antimafia e delle misure di prevenzione, di cui al decreto legislativo 6 settembre 2011, n. 159.

Art. 21-octies Annullabilità del provvedimento

1.  E’ annullabile il provvedimento amministrativo adottato in violazione di legge o viziato da eccesso di potere o da incompetenza.

2.  Non è annullabile il provvedimento adottato in violazione di norme sul procedimento o sulla forma degli atti qualora, per la natura vincolata del provvedimento, sia palese che il suo contenuto dispositivo non avrebbe potuto essere diverso da quello in concreto adottato. Il provvedimento amministrativo non è comunque annullabile per mancata comunicazione dell’avvio del procedimento qualora l’amministrazione dimostri in giudizio che il contenuto del provvedimento non avrebbe potuto essere diverso da quello in concreto adottato. La disposizione di cui al secondo periodo non si applica al provvedimento adottato in violazione dell’articolo 10-bis.

E’ STATO INTRODOTTO

Art. 21-decies: (Riemissione di provvedimenti annullati dal giudice per vizi inerenti ad atti endoprocedimentali).

In caso di annullamento di un provvedimento finale in  virtu’  di  una  sentenza passata in giudicato, derivante da vizi inerenti ad uno o più atti emessi nel corso del procedimento di autorizzazione o di  valutazione di impatto ambientale, il proponente può richiedere all’amministrazione procedente e, in caso di  progetto  sottoposto a valutazione di impatto ambientale, all’autorità competente ai  sensi del decreto legislativo 3 aprile 2006, n. 152, l’attivazione di un procedimento  semplificato, ai fini della riadozione  degli  atti annullati. Qualora non si rendano necessarie modifiche al progetto e fermi restando tutti gli atti e i provvedimenti delle amministrazioni interessate resi nel suddetto procedimento, l’amministrazione o l’ente che abbia adottato l’atto ritenuto viziato si esprime provvedendo alle integrazioni necessarie per superare i rilievi indicati dalla sentenza. A tal  fine, entro  quindici  giorni  dalla ricezione dell’istanza del proponente, l’amministrazione procedente trasmette l’istanza all’amministrazione o all’ente che ha emanato l’atto da riemettere, che vi provvede entro trenta  giorni.  Ricevuto l’atto ai sensi del presente comma, o decorso  il  termine per l’adozione dell’atto  stesso,  l’amministrazione  riemette,  entro  i successivi trenta giorni, il provvedimento  di  autorizzazione  o  di valutazione di impatto ambientale, in attuazione, ove necessario, degli articoli  14-quater e 14-quinquies della presente legge  e  dell’articolo 25, commi 2 e 2-bis, del decreto legislativo  3  aprile 2006, n. 152.

Art. 29 Ambito di applicazione della legge

1. Le disposizioni della presente legge si applicano alle amministrazioni statali e agli enti pubblici nazionali. Le disposizioni della presente legge si applicano, altresì, alle società con totale o prevalente capitale pubblico, limitatamente all’esercizio delle funzioni amministrative. Le disposizioni di cui agli articoli 2-bis, 11, 15 e 25, commi 5, 5-bis e 6, nonché quelle del capo IV-bis si applicano a tutte le amministrazioni pubbliche.

2.  Le regioni e gli enti locali, nell’ambito delle rispettive competenze, regolano le materie disciplinate dalla presente legge nel rispetto del sistema costituzionale e delle garanzie del cittadino nei riguardi dell’azione amministrativa, così come definite dai principi stabiliti dalla presente legge.

2-bis.  Attengono ai livelli essenziali delle prestazioni di cui all’articolo 117, secondo comma, lettera m), della Costituzione le disposizioni della presente legge concernenti gli obblighi per la pubblica amministrazione di garantire la partecipazione dell’interessato al procedimento, di individuarne un responsabile, di concluderlo entro il termine prefissato, di misurare i tempi effettivi di conclusione dei procedimenti e di assicurare l’accesso alla documentazione amministrativa, nonché quelle relative alla durata massima dei procedimenti.

2-ter.  Attengono altresì ai livelli essenziali delle prestazioni di cui all’articolo 117, secondo comma, lettera m), della Costituzione le disposizioni della presente legge concernenti la presentazione di istanze, segnalazioni e comunicazioni, la dichiarazione di inizio attività e il silenzio assenso e la conferenza di servizi, salva la possibilità di individuare, con intese in sede di Conferenza unificata di cui all’ articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e successive modificazioni, casi ulteriori in cui tali disposizioni non si applicano.

2-quater. Le regioni e gli enti locali, nel disciplinare i procedimenti amministrativi di loro competenza, non possono stabilire garanzie inferiori a quelle assicurate ai privati dalle disposizioni attinenti ai livelli essenziali delle prestazioni di cui ai commi 2-bis e 2-ter, ma possono prevedere livelli ulteriori di tutela

2-quinquies  Le regioni a statuto speciale e le province autonome di Trento e di Bolzano adeguano la propria legislazione alle disposizioni del presente articolo, secondo i rispettivi statuti e le relative norme di attuazione.

Entro il 31 dicembre 2020 le amministrazioni e gli enti pubblici statali provvedono a verificare e a rideterminare, in riduzione, i termini di durata dei procedimenti di loro competenza ai sensi dell’articolo 2 della legge 7 agosto 1990, n. 241.

Gli enti locali possono gestire in forma associata in ambito provinciale o metropolitano l’attuazione delle disposizioni di cui all’articolo 18 della legge 7 agosto 1990, n. 241. Le province e le città metropolitane definiscono nelle assemblee dei sindaci delle province e nelle conferenze metropolitane appositi protocolli per organizzare lo svolgimento delle funzioni conoscitive, strumentali e di controllo, connesse all’attuazione delle norme di semplificazione della documentazione e dei procedimenti amministrativi

MISURE DI SEMPLIFICAZIONE PER IL SOSTEGNO E LA DIFFUSIONE DELL’AMMINISTRAZIONE DIGITALE

Cittadinanza digitale e accesso ai servizi digitali della pubblica amministrazione

Sancito il diritto all’uso delle tecnologie digitali per l’accesso ai servizi della Pubblica Amministrazione da parte dei cittadini e delle imprese

Sono apportate numerose modifiche al Decreto Legislativo 7 marzo 2005 n. 82

Codice dell’Amministrazione Digitale

Art. 3-bis. Identità digitale e Domicilio digitale

01.  Chiunque ha il diritto di accedere ai servizi on-line offerti dai soggetti di cui all’articolo 2, comma 2, tramite la propria identità digitale e anche attraverso il punto di accesso telematico di cui all’articolo 64-bis.

1. I soggetti di cui all’articolo 2, comma 2, i professionisti tenuti all’iscrizione in albi ed elenchi e i soggetti tenuti all’iscrizione nel registro delle imprese hanno l’obbligo di dotarsi di un domicilio digitale iscritto nell’elenco di cui agli articoli 6-bis o 6-ter.

1-bis. Fermo restando quanto previsto al comma 1, chiunque ha facoltà di eleggere il proprio domicilio digitale da iscrivere nell’elenco di cui all’articolo 6-quater. Nel caso in cui il domicilio eletto risulti non più attivo si procede alla cancellazione d’ufficio dall’indice di cui all’articolo 6-quater secondo le modalità fissate nelle Linee guida.

1-ter. I domicili digitali di cui ai commi 1 e 1-bis sono eletti secondo le modalità stabilite con le Linee guida. Le persone fisiche possono altresì eleggere il domicilio digitale avvalendosi del servizio di cui all’articolo 64-bis.

1-quater. I soggetti di cui ai commi 1 e 1-bis hanno l’obbligo di fare un uso diligente del proprio domicilio digitale e di comunicare ogni modifica o variazione del medesimo secondo le modalità fissate nelle Linee guida. Con le stesse Linee guida, fermo restando quanto previsto ai commi 3-bis e 4-bis, sono definite le modalità di gestione e di aggiornamento dell’elenco di cui all’articolo 6-quater anche nei casi di decesso del titolare del domicilio digitale eletto o di impossibilità sopravvenuta di avvalersi del domicilio.

3-bis. Con decreto del Presidente del Consiglio dei ministri o del Ministro delegato per la semplificazione e la pubblica amministrazione, sentiti l’AgID e il Garante per la protezione dei dati personali e acquisito il parere della Conferenza unificata, è stabilita la data a decorrere dalla quale le comunicazioni tra i soggetti di cui all’articolo 2, comma 2, e coloro che non hanno provveduto a eleggere un domicilio digitale ai sensi del comma 1-bis, avvengono esclusivamente in forma elettronica. Con lo stesso decreto sono determinate le modalità con le quali ai predetti soggetti può essere reso disponibile un domicilio digitale ovvero altre modalità con le quali, anche per superare il divario digitale, i documenti possono essere messi a disposizione e consegnati a coloro che non hanno accesso ad un domicilio digitale.

4. A decorrere dal 1° gennaio 2013, salvo i casi in cui è prevista dalla normativa vigente una diversa modalità di comunicazione o di pubblicazione in via telematica, le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi comunicano con il cittadino esclusivamente tramite il domicilio digitale dallo stesso dichiarato, anche ai sensi dell’articolo 21-bis della legge 7 agosto 1990, n. 241, senza oneri di spedizione a suo carico. Ogni altra forma di comunicazione non può produrre effetti pregiudizievoli per il destinatario. L’utilizzo di differenti modalità di comunicazione rientra tra i parametri di valutazione della performance dirigenziale ai sensi dell’articolo 11, comma 9, del decreto legislativo 27 ottobre 2009, n. 150.

4-bis. Fino alla data fissata nel decreto di cui al comma 3-bis, i soggetti di cui all’articolo 2, comma 2, possono predisporre le comunicazioni ai soggetti che non hanno un domicilio digitale ovvero nei casi di domicilio digitale non attivo, non funzionante o non raggiungibile, come documenti informatici sottoscritti con firma digitale o altra firma elettronica qualificata, da conservare nei propri archivi, ed inviare agli stessi, per posta ordinaria o raccomandata con avviso di ricevimento, copia analogica di tali documenti sottoscritti con firma autografa sostituita a mezzo stampa predisposta secondo le disposizioni di cui all’articolo 3 del decreto legislativo 12 febbraio 1993, n. 39 ovvero un avviso con le indicazioni delle modalità con le quali i suddetti documenti sono messi a disposizione e consegnati al destinatario.

4-ter. Le disposizioni di cui al comma 4-bis soddisfano a tutti gli effetti di legge gli obblighi di conservazione e di esibizione dei documenti previsti dalla legislazione vigente laddove la copia analogica inviata al cittadino contenga una dicitura che specifichi che il documento informatico, da cui la copia è tratta, è stato predisposto ed è disponibile presso l’amministrazione in conformità alle Linee guida

4-quater.  Le modalità di predisposizione della copia analogica di cui ai commi 4-bis e 4-ter soddisfano le condizioni di cui all’articolo 23, comma 2-bis, salvo i casi in cui il documento rappresenti, per propria natura, una certificazione rilasciata dall’amministrazione da utilizzarsi nei rapporti tra privati. 

4-quinquies. Fino all’adozione delle Linee guida di cui al comma 1-ter del presente articolo e alla realizzazione dell’indice di cui all’articolo 6-quater, è possibile eleggere il domicilio speciale di cui all’articolo 47 del Codice civile anche presso un domicilio digitale diverso da quello di cui al comma 1-ter. In tal caso, ferma restando la validità ai fini delle comunicazioni elettroniche aventi valore legale, colui che lo ha eletto non può opporre eccezioni relative alla forma e alla data della spedizione e del ricevimento delle comunicazioni o notificazioni ivi indirizzate. (64)

5.  Dall’attuazione delle disposizioni di cui al presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

Art. 6-bis. Indice nazionale dei domicili digitali delle imprese e dei professionisti

1. Al fine di favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra i soggetti di cui all’articolo 2, comma 2 e le imprese e i professionisti in modalità telematica, è istituito il pubblico elenco denominato Indice nazionale dei domicili digitali (INI-PEC) delle imprese e dei professionisti, presso il Ministero per lo sviluppo economico.

2. L’Indice nazionale di cui al comma 1 è realizzato a partire dagli elenchi di indirizzi PEC costituiti presso il registro delle imprese e gli ordini o collegi professionali, in attuazione di quanto previsto dall’articolo 16 del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2. Nell’Indice nazionale sono inseriti anche i domicili digitali dei professionisti diversi da quelli di cui al primo periodo, iscritti in elenchi o registri detenuti dalle pubbliche amministrazioni e istituiti con legge dello Stato. I domicili digitali inseriti in tale Indice costituiscono mezzo esclusivo di comunicazione e notifica con i soggetti di cui all’articolo 2, comma 2.

2-bis. L’INI-PEC acquisisce dagli ordini e dai collegi professionali gli attributi qualificati dell’identità digitale ai fini di quanto previsto dal decreto di cui all’articolo 64, comma 2-sexies.

4. Il Ministero per lo sviluppo economico, al fine del contenimento dei costi e dell’utilizzo razionale delle risorse, sentita l’Agenzia per l’Italia digitale, si avvale per la realizzazione e gestione operativa dell’Indice nazionale di cui al comma 1 delle strutture informatiche delle Camere di commercio deputate alla gestione del registro imprese e ne definisce con proprio decreto, da emanare entro 60 giorni dalla data di entrata in vigore della presente disposizione, le modalità di accesso e di aggiornamento.

5.  Nel decreto di cui al comma 4 sono anche definite le modalità e le forme con cui gli ordini e i collegi professionali nonché le pubbliche amministrazioni comunicano all’Indice nazionale di cui al comma 1 tutti gli indirizzi PEC relativi ai professionisti di propria competenza e sono previsti gli strumenti telematici resi disponibili dalle Camere di commercio per il tramite delle proprie strutture informatiche al fine di ottimizzare la raccolta e aggiornamento dei medesimi indirizzi.

6. Dall’attuazione delle disposizioni di cui al presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

Art. 6-quater. Indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato, non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese

1. E’ istituito il pubblico elenco dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione nell’indice di cui all’articolo 6-bis, nel quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis, comma 1-bis. La realizzazione e la gestione del presente Indice sono affidate all’AgID, che vi provvede avvalendosi delle strutture informatiche delle Camere di commercio già deputate alla gestione dell’elenco di cui all’articolo 6-bis. E’ fatta salva la facoltà del professionista, non iscritto in albi, registri o elenchi professionali di cui all’articolo 6-bis, di eleggere presso il presente Indice un domicilio digitale professionale e un domicilio digitale personale diverso dal primo.

2. Per i professionisti iscritti in albi ed elenchi il domicilio digitale è l’indirizzo inserito nell’elenco di cui all’articolo 6-bis, fermo restando il diritto di eleggerne uno diverso ai sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento dei domicili dei professionisti nel predetto elenco il Ministero dello sviluppo economico rende disponibili all’AgID, tramite servizi informatici individuati nelle Linee guida, i relativi indirizzi già contenuti nell’elenco di cui all’articolo 6-bis.

3. Al completamento dell’ANPR di cui all’articolo 62, AgID provvede al trasferimento dei domicili digitali delle persone fisiche contenuti nell’elenco di cui al presente articolo nell’ANPR.

Art. 6-quinquies. Consultazione e accesso

1. La consultazione on-line degli elenchi di cui agli articoli 6-bis, 6-ter e 6-quater è consentita a chiunque senza necessità di autenticazione. Gli elenchi sono realizzati in formato aperto.

2.  L’estrazione dei domicili digitali dagli elenchi, di cui agli articoli 6-bis, 6-ter e 6-quater, è effettuata secondo le modalità fissate da AgID nelle Linee guida.

3. In assenza di preventiva autorizzazione del titolare dell’indirizzo, è vietato l’utilizzo dei domicili digitali di cui al presente articolo per l’invio di comunicazioni commerciali, come definite dall’articolo 2, comma 1, lettera f), del decreto legislativo 9 aprile 2003, n. 70.

4. Gli elenchi di cui agli articoli 6-bis, 6-ter e 6-quater contengono le informazioni relative alla elezione, modifica o cessazione del domicilio digitale.

OBBLIGO DI UTILIZZO DELLA PIATTAFORMA PAGO PA

Decreto Legislativo 13 dicembre 2017 n. 217. Disposizioni integrative e correttive al decreto legislativo 26 agosto 2016, n. 179, concernente modifiche ed integrazioni al Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell’articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche.

Art. 65. Disposizioni transitorie

1.  Il diritto di cui all’articolo 3-bis, comma 01, è riconosciuto a decorrere dal 1° gennaio 2018.

2. L’obbligo per i prestatori di servizi di pagamento abilitati di utilizzare esclusivamente la piattaforma di cui all’articolo 5, comma 2, del decreto legislativo n. 82 del 2005 per i pagamenti verso le pubbliche amministrazioni decorre dal 28 febbraio 2021. Anche al fine di consentire i pagamenti digitali da parte dei cittadini, i soggetti di cui all’articolo 2, comma 2, del decreto legislativo 7 marzo 2005, n. 82, sono tenuti, entro il 28 febbraio 2021, a integrare i loro sistemi di incasso con la piattaforma di cui all’articolo 5, comma 2, del decreto legislativo 7 marzo 2005, n. 82, ovvero ad avvalersi, a tal fine, di servizi forniti da altri soggetti di cui allo stesso articolo 2, comma 2, o da fornitori di servizi di incasso già abilitati ad operare sulla piattaforma. Il mancato adempimento dell’obbligo di cui al precedente periodo rileva ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comporta responsabilità dirigenziale e disciplinare ai sensi degli articoli 21 e 55 del decreto legislativo 30 marzo 2001, n. 165.

Art. 64.Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni

2-bis. Per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia digitale, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID).

2-ter. Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano gli utenti per consentire loro il compimento di attività e l’accesso ai servizi in rete.

2-quater. L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID, nonché tramite la carta di identità elettronica. Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies. Resta fermo quanto previsto dall’articolo 3-bis, comma 01.

2-quinquies.  Ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta ai soggetti privati, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti, nonché la facoltà di avvalersi della carta di identità elettronica. L’adesione al sistema SPID ovvero l’utilizzo della carta di identità elettronica per la verifica dell’accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell’utente esonera i predetti soggetti da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.

2-sexies.  Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delegato per l’innovazione tecnologica e del Ministro per la pubblica amministrazione e la semplificazione, di concerto con il Ministro dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali, sono definite le caratteristiche del sistema SPID, anche con riferimento:

a)  al modello architetturale e organizzativo del sistema;

b)  alle modalità e ai requisiti necessari per l’accreditamento dei gestori dell’identità digitale;

c)  agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l’interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell’identità digitale nei riguardi di cittadini e imprese;

d)  alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete;

e)  ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete;

f)  alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete.

2-nonies.  L’accesso di cui al comma 2-quater può avvenire anche con la carta nazionale dei servizi. 

2-decies.  Le pubbliche amministrazioni, in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati.

2-undecies.  I gestori dell’identità digitale accreditati sono iscritti in un apposito elenco pubblico, tenuto da AgID, consultabile anche in via telematica. )

2-duodecies.  La verifica dell’identità digitale con livello di garanzia almeno significativo, ai sensi dell’articolo 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio europeo del 23 luglio 2014, produce, nelle transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente, di cui all’articolo 35 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. L’identità digitale, verificata ai sensi del presente articolo e con livello di sicurezza almeno significativo, attesta gli attributi qualificati dell’utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, secondo le modalità stabilite da AgID con Linee guida. 

3-bis. Con decreto del Presidente del Consiglio dei ministri o del Ministro per la semplificazione e la pubblica amministrazione, è stabilità la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettere b) e c) utilizzano esclusivamente le identità digitali ai fini dell’identificazione degli utenti dei propri servizi on-line. Fatto salvo quanto previsto dal comma 2-nonies, a decorrere dal 28 febbraio 2021, i soggetti di cui all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le identità digitali e la carta di identità elettronica ai fini dell’identificazione dei cittadini che accedono ai propri servizi in rete. Con decreto del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione è stabilita la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettera a), utilizzano esclusivamente le identità digitali per consentire l’accesso delle imprese e dei professionisti ai propri servizi in rete.

Art. 64-bis.  Accesso telematico ai servizi della Pubblica Amministrazione

1.  I soggetti di cui all’articolo 2, comma 2, rendono fruibili i propri servizi in rete, in conformità alle Linee guida, tramite il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri, senza nuovi o maggiori oneri per la finanza pubblica.

1-bis. Al fine di rendere effettivo il diritto di cui all’articolo 7, comma 01, i soggetti di cui all’articolo 2, comma 2, i fornitori di identità digitali e i prestatori dei servizi fiduciari qualificati, in sede di evoluzione, progettano e sviluppano i propri sistemi e servizi in modo da garantire l’integrazione e l’interoperabilità tra i diversi sistemi e servizi e con i servizi di cui ai commi 1 e 1-ter, espongono per ogni servizio le relative interfacce applicative e, al fine di consentire la verifica del rispetto degli standard e livelli di qualità di cui all’articolo 7, comma 1, adottano gli strumenti di analisi individuati dall’AgID con le Linee guida.

1-ter.  I soggetti di cui all’articolo 2, comma 2, lettera a), rendono fruibili i propri servizi in rete tramite applicazione su dispositivi mobili anche attraverso il punto di accesso telematico di cui al presente articolo, salvo impedimenti di natura tecnologica attestati dalla società di cui all’articolo 8, comma 2 del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12.

1-quater.  I soggetti di cui all’articolo 2, comma 2, lettera a), rendono fruibili tutti i loro servizi anche in modalità digitale e, al fine di attuare il presente articolo, avviano i relativi progetti di trasformazione digitale entro il 28 febbraio 2021.

1-quinquies.  La violazione dell’articolo 64, comma 3-bis e delle disposizioni di cui al presente articolo, costituisce mancato raggiungimento di uno specifico risultato e di un rilevante obiettivo da parte dei dirigenti responsabili delle strutture competenti e comporta la riduzione, non inferiore al 30 per cento della retribuzione di risultato e del trattamento accessorio collegato alla performance individuale dei dirigenti competenti, oltre al divieto di attribuire premi o incentivi nell’ambito delle medesime strutture

Decreto Legislativo 13 dicembre 2017 n. 217. Disposizioni integrative e correttive al decreto legislativo 26 agosto 2016, n. 179, concernente modifiche ed integrazioni al Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell’articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche.

Art. 65. Disposizioni transitorie

1.  Il diritto di cui all’articolo 3-bis, comma 01, è riconosciuto a decorrere dal 1° gennaio 2018.

2. L’obbligo per i prestatori di servizi di pagamento abilitati di utilizzare esclusivamente la piattaforma di cui all’articolo 5, comma 2, del decreto legislativo n. 82 del 2005 per i pagamenti verso le pubbliche amministrazioni decorre dal 28 febbraio 2021. Anche al fine di consentire i pagamenti digitali da parte dei cittadini, i soggetti di cui all’articolo 2, comma 2, del decreto legislativo 7 marzo 2005, n. 82, sono tenuti, entro il 28 febbraio 2021, a integrare i loro sistemi di incasso con la piattaforma di cui all’articolo 5, comma 2, del decreto legislativo 7 marzo 2005, n. 82, ovvero ad avvalersi, a tal fine, di servizi forniti da altri soggetti di cui allo stesso articolo 2, comma 2, o da fornitori di servizi di incasso già abilitati ad operare sulla piattaforma. Il mancato adempimento dell’obbligo di cui al precedente periodo rileva ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comporta responsabilità dirigenziale e disciplinare ai sensi degli articoli 21 e 55 del decreto legislativo 30 marzo 2001, n. 165.

RINNOVO DELLE CARTE DI INDENTITA’

3. L’articolo 36, comma 7, del Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e’ sostituito dal seguente:

«7. La carta di identità può essere rinnovata a decorrere dal centottantesimo giorno precedente la scadenza. Le carte di identità rilasciate su supporto cartaceo e le carte di identità elettroniche rilasciate in conformità al decreto del Ministro dell’Interno del 8 novembre 2007, recante “regole tecniche della Carta d’identità elettronica”, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 261  del 9  novembre  2007,  possono essere  rinnovate, ancorché in corso di validità, prima del centottantesimo  giorno precedente la scadenza.».

4. Ai fini dell’attuazione dell’articolo 64, comma 3-bis,  secondo periodo, del decreto legislativo 7 marzo 2005, n. 82, come modificato dal comma 1, lettera e), numero 6), dal 28 febbraio  2021, è fatto

divieto ai soggetti di cui all’articolo 2, comma 2,  lettera  a)  del predetto decreto legislativo n. 82 del 2005 di rilasciare o rinnovare credenziali per l’identificazione e l’accesso dei cittadini ai propri servizi  in  rete,  diverse  da  SPID,  CIE  o  CNS,  fermo  restando l’utilizzo di quelle gia’ rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021.

SONO STATE INTRODOTTE NORME DI SEMPLIFICAZIONE IN MATERIA DI CONSERVAZIONE DI DOCUMENTI INFORMATICI E GESTIONE DELL’IDENTITA’ DIGITALE

VIENE DISCIPLINATA LA PIATTAFORMA PER LA NOTIFICAZIONE DIGITALE DEGLI ATTI DELLA PUBBLICA AMMINISTRAZIONE

                                                                                                                                     Avv. Andrea Camata