Nell’articolo “Gli adempimenti privacy di cui al d.l. numero 127/2021 in ambito lavorativo privato” abbiamo visto che il recente decreto-legge numero 127/2021 impone ai datori di lavoro di verificare che tutti i lavoratori che accedano ai locali aziendali siano in possesso di green pass in corso di validità. E poiché si tratta anche di un trattamento di dati personali, il datore stesso ha una serie di adempimenti privacy cui adempiere.
Ma cosa accade se il datore di lavoro omette di adempiere a tali incombenti? Quali rischi corre? Il d.l. in oggetto prevede sanzioni amministrative specifiche per alcuni di tali inadempimenti, mentre, per gli altri, “soccorre” il GDPR. Anzi, a ben vedere, il Regolamento Europeo 679/2016 prevederebbe già sanzioni per il datore di lavoro che è Titolare di questo trattamento anche per le omissioni ora specificamente punite dal d.l. numero 127/2021. Quali sono quindi tali sanzioni? Come e quando si applicano? Il primo adempimento richiesto dal nuovo articolo 9-septies, d.l. 22 aprile 2021, numero 52 introdotto appunto dal d.l. numero 127 è la definizione, entro il 15 ottobre 2021, delle modalità operative per l'organizzazione delle verifiche, anche a campione si tratta, sostanzialmente, della redazione di una policy procedurale e organizzativa per i controlli, da realizzare prima ancora dell'inizio del trattamento. La sua omissione è punita dal comma 9 di detto nuovo articolo che rimanda a sua volta all'articolo 4, comma 1, d.l. 25 marzo 2020 numero 19 , con la sanzione amministrativa da € 400,00 ad € 1.000,00. Come anticipato, tale incombente sarebbe comunque già imposto dagli articolo 25 e 32 oltre che 24 GDPR, che prevedono l'obbligo del Titolare di mettere in atto misure anche organizzative adeguate, per garantire che il trattamento sia effettuato conformemente al GDPR stesso e un livello di sicurezza adeguato al rischio. La violazione di tale obbligo è punita dal successivo articolo 83, par. 4, con la sanzione amministrativa pecuniaria fino a € 10.000.000,00, o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. L'articolo 9 della l. numero 689/81 prevede però il principio di specialità, secondo cui “quando uno stesso fatto è punito… da una pluralità di disposizioni che prevedono sanzioni amministrative, si applica la disposizione speciale”. E poiché la norma di cui al nuovo articolo 9-septies del d.l. 22 aprile 2021, numero 52 introdotto dal citato articolo 3, d.l. 127/2021 , è speciale rispetto a quella generale del GDPR, dovrà applicarsi la sanzione prevista dalla stessa norma speciale, decisamente meno gravosa per il trasgressore. Il secondo adempimento del Titolare, sempre stabilito dal nuovo articolo 9-septies, d.l. numero 52/2021, è l'individuazione con un atto formale, contenente le necessarie istruzioni sull'esercizio dell'attività di verifica dei soggetti incaricati dell'accertamento delle violazioni degli obblighi. Poiché è legittimo ritenere pure tale adempimento una “misura organizzativa di cui al comma 5” unitamente alla redazione della suddetta policy , la sua omissione deve considerarsi punita con la sanzione amministrativa da € 400,00 ad € 1.000,00, sempre ai sensi del comma 9. Anche in questo caso si tratterebbe comunque della violazione di un obbligo GDPR stabilito dall'articolo 29 , punito con la sanzione di cui al già visto articolo 83, par. 4 ma per il principio di specialità, varranno le medesime conclusioni. Ulteriore obbligo privacy è quello di informare il lavoratore interessato sul trattamento dei suoi dati personali, che verrà effettuato tramite la verifica del Green Pass articolo 13 GDPR . L'omessa o inadeguata informativa è sanzionata “soltanto” dall'articolo 83 GDPR. Ma non dal par. 4, bensì dal par. 5, che prevede pene doppie sanzione amministrativa pecuniaria fino a € 20.000.000,00, o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore . L'ultimo adempimento richiesto dalla normativa sulla protezione dei dati personali è l'integrazione del registro dei trattamenti aziendale, con le informazioni relative alla suddetta, nuova, attività di trattamento. La sua mancanza potrebbe sottoporre il Titolare alla sanzione amministrativa prevista dall'articolo 83, par. 4, GDPR. È quindi necessario tenere ben presente che l'omissione delle misure privacy dovute per adempiere ai nuovi obblighi di controllo introdotti dal d.l. numero 127/2021 comporterebbe il rischio, per il datore di lavoro, di subire non soltanto le sanzioni previste dal comma 9, articolo 9-septies, d.l. numero 52/2021, ma anche quelle già vigenti in base al GDPR. Di seguito, una tabella riassuntiva delle omissioni e delle relative sanzioni. immagine Per un maggiore approfondimento vedi Gli adempimenti privacy di cui al d.l. numero 127/2021 in ambito lavorativo privato