A partire dal 15 ottobre 2021 scatta la verifica del Green pass obbligatorio per accedere ai luoghi di lavoro pubblici e privati. Ecco gli aspetti a cui prestare attenzione per la tutela dei dati dei lavoratori.
Sin da subito si sono diffusi usi fuori norma della Certificazione Verde COVID-19 che hanno portato il Garante per la protezione dei dati personali a pubblicare una serie di indicazioni valide per i settori pubblico e privato, a cui si sono aggiunte le misure del Governo. Il nodo principale era rappresentato dalla difficile gestione dei dati sanitari, vista la necessità di dover bilanciare diverse esigenze: il diritto alla protezione dei dati personali, quello alla Salute e quello al Lavoro.
Ricostruiamo con ordine cosa prevede il Decreto Legge 21 settembre 2021, n. 127 recante “Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening” per comprendere gli impatti sugli adempimenti privacy che il provvedimento avrà sui datori di lavoro pubblici e privati.
Se per le pubbliche amministrazioni si attende che il Presidente del Consiglio dei Ministri – su proposta dei Ministri per la Pubblica Amministrazione e della Salute – adotti linee guida per la omogenea definizione delle modalità organizzative, per il settore privato l’iter è già stato definito.
Quali i soggetti destinatari dell’obbligo di Green Pass?
A partire dal 15 ottobre e fino alla cessazione dello stato di emergenza (attualmente fissato al 31 dicembre 2021),
- tutti i lavoratori del settore privato e/o
- i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato nei luoghi di lavoro afferenti al settore privato, anche sulla base di contratti esterni, ivi compresi i lavoratori autonomi ed i collaboratori non dipendenti,
saranno obbligati, per accedere al luogo nel quale svolgono l’attività lavorativa, ad essere in possesso e mostrare su richiesta la Certificazione Verde COVID-19 (c.d. “Green Pass”) o, se esenti, un’idonea certificazione rilasciata secondo i criteri definiti con circolare del Ministero della Salute. Se lo stato emergenziale venisse prolungato, l’obbligo di possesso ed esibizione del Green Pass seguirebbe presumibilmente la stessa sorte. Devono esibire la Certificazione Verde anche lavoratori impiegati con contratti differenti da quello di lavoro subordinato, poiché introducono il medesimo rischio e ne sono assoggettati al pari dei lavoratori dipendenti.
È un onere del somministratore assicurarsi che il lavoratore sia sempre in possesso dei requisiti per l’esecuzione della prestazione lavorativa. Permane in capo all’utilizzatore l’onere di verificare il possesso del Green Pass e di richiederne l’esibizione.
Restano esclusi dall’obbligo d’esibizione del Green Pass i lavoratori in smartworking.
A chi sono rivolti gli obblighi di verifica del green pass?
Spetta al datore di lavoro organizzare l’attività e controllare che siano rispettate tutte le misure idonee ad assicurare lo svolgimento, in sicurezza, del lavoro. La verifica del Green Pass deve essere effettuata secondo le modalità indicate dal DPCM del 17 giugno 2021, in particolare mediante scansione del QR Code tramite l’App ministeriale “Verifica C19”. Il controllo deve limitarsi alla rilevazione delle generalità (nome, cognome e data di nascita) nonché alla verifica di autenticità, validità e integrità della certificazione. Non è possibile accedere alle informazioni in merito ai presupposti – vaccino, guarigione dal COVID-19 o tampone – che hanno determinato il rilascio del Green Pass, né alla relativa scadenza.
I succitati dati personali visibili non saranno in alcun modo memorizzati sul dispositivo. Come suggerito dalle indicazioni di Governo, nel caso in cui si abbia a disposizione solo il Green Pass cartaceo sarà necessario piegare il foglio in modo da mostrare il codice e nascondere i dati personali che non si voglia mostrare. Qualora si manifestino dubbi sull’identità dell’intestatario, diventa legittima l’eventuale richiesta di esibire un documento di riconoscimento valido per verificare la corrispondenza dei dati anagrafici. Resta fermo il divieto di richiedere copia della certificazione: in nessun caso è consentita la raccolta dei dati dell’intestatario.
Anche se la consegna o l’invio del Green Pass (già segnalato in alcuni casi) permetterebbe di ottimizzare le procedure d’accesso ai luoghi di lavoro, non bisogna cedere alla comodità sacrificando quei diritti che si intende tutelare.
Come viene effettuato il controllo?
Il datore di lavoro può scegliere le modalità operative che meglio si adattano all’ambiente di lavoro nel quale opera. A tale proposito, l’art. 3 del decreto prevede che “ove possibile i controlli siano effettuati al momento dell’accesso ai luoghi di lavoro”.
Le modalità prescelte per verificare il possesso del green pass da parte dei lavoratori potranno variare. La tecnica operativa di screening terrà inevitabilmente conto dell’organizzazione aziendale e del numero dei dipendenti.
I controlli potranno essere eseguiti anche a campione ma è consigliabile che i datori di lavoro valutino attentamente la scelta di questa modalità di controllo: ad ora non sembra pienamente coerente né con l’obbligo (sanzionato, se disatteso) di possesso del Green Pass, né con la ratio della norma, che è quella di impedire di entrare in Azienda a chiunque sia privo della certificazione.
Sono contemplati anche controlli successivi all’ingresso e nel corso dell’attività lavorativa, ma si evidenzia come una verifica “random” durante l’attività
- non consente di assicurare né che in azienda non siano presenti lavoratori senza green pass
- non impedisce efficacemente la diffusione del virus.
Un controllo a campione potrebbe peraltro portare il rischio di discriminazioni. È dunque preferibile un controllo generalizzato che preceda l’ingresso in azienda.
Chi effettua il controllo?
Il decreto prevede espressamente un atto di nomina formale con cui il datore di lavoro individui il soggetto incaricato dell’accertamento e della contestazione per le eventuali violazioni. Il datore di lavoro non potrà semplicemente considerarsi in regola facendo firmare un atto formale ad un soggetto ed incaricarlo dei controlli. Il controllore incaricato dal datore di lavoro, da considerarsi a tutti gli effetti persona autorizzata al trattamento (art. 29 del GDPR) dei dati personali, dovrà ricevere precise istruzioni contenenti le indicazioni sulle modalità attraverso le quali devono materialmente svolgersi le operazioni di verifica.
L’addetto alla verifica saprà soltanto se il certificato è valido ed accederà ad informazioni quali nome, cognome e data di nascita della persona cui appartiene il green pass per verificare che corrisponda all’identità di chi mostra il documento di riconoscimento. Non vedrà invece alcuna informazione sulla sua durata. Come già premesso, in questo modo non potrà sapere se il certificato è generato da un vaccino, una guarigione o un tampone, che hanno scadenze diverse.
- La prima cosa da fare, a livello operativo, sarà quindi quella di formalizzare un atto di designazione ad autorizzato al trattamento dei dati nei confronti dell’incaricato ai controlli. L’atto potrà essere (e presumibilmente sarà) un unico documento, contenente l’incarico formale previsto dal decreto ed indicherà le modalità attuative con cui il controllore dovrà effettuare le verifiche nonché le procedure stabilite nel caso in cui l’interessato, tenuto ad esibire il documento, si rifiuti di farlo ovvero contesti l’esito della verifica.
- La seconda sarà senz’altro quella di definire la procedura da applicarsi in caso di esito di verifica negativa del green pass o di mancanza dello stesso, che garantisca il diritto alla riservatezza con cui viene raggiunto l’equilibrio fra la necessità di verifica del green pass e la tutela della privacy del soggetto sottoposto al trattamento dei dati. Ovviamente essa dipenderà da ogni organizzazione e dovrà essere tarata su dimensioni e caratteristiche della struttura aziendale. Occorre dunque effettuare un controllo concreto delle modalità con le quali viene effettuata la suddetta verifica e stabilire se i luoghi in cui viene effettuata sono tali da preservare la riservatezza.
I controlli sono a prova di Privacy?
L’Autorità Garante assicura di sì, fermo restando l’obbligo di fornire ai soggetti interessati un’informativa privacy per assicurare il rispetto dei principi di liceità, correttezza e trasparenza, garantiti dall’art. 5 del GDPR in merito al trattamento dei dati che viene effettuato attraverso la verifica della certificazione. L’affissione di un’idonea informativa (ai sensi dell’art. 13 del GDPR) in prossimità del luogo in cui il controllore effettua la verifica e/o la sua pubblicazione in azienda, rientra decisamente tra gli obblighi spettanti al Titolare del trattamento.
L’obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio al trattamento. L’informativa, con decorrenza dalla data del 15 ottobre p.v., è infatti dovuta ogni qual volta vi sia un trattamento di dati. Deve essere redatta ad hoc, per essere a disposizione di tutti coloro che ne facciano richiesta, e contenere una serie di informazioni relative all’identità e ai dati di contatto del Titolare e, se è stato nominato, del suo DPO; alle categorie dei dati trattati ed alle finalità del trattamento; alla base giuridica del trattamento (quale obbligo di legge al quale il Titolare è sottoposto); alle modalità di trattamento; ai diritti dell’interessato indicati dagli artt. 15-22 del GDPR nonché al diritto di reclamo ad un’autorità di controllo.
È da precisare, alla luce di quanto già visto, come qualunque controllo preventivo risulti precluso dalla circostanza che esso comporterebbe comunque una raccolta e registrazione di dati che le disposizioni non consentono. E non sarebbe corretto neppure limitare la raccolta delle informazioni agli interessati muniti del solo certificato “test”, già essendo questa una informazione sul lavoratore che il datore non deve trattare neppure per mero accesso o consultazione. E ancora: non potrebbe darsi un siffatto trattamento quand’anche fosse autorizzato dagli interessati, perché sappiamo che il consenso è base giuridica raramente ed eccezionalmente invocabile nei rapporti di lavoro e, in tal caso, è del tutto improponibile.
Il trattamento specifico relativo alla verifica del green pass (cartaceo o elettronico) tramite l’applicazione mobile “Verifica C19” deve essere infine inserito all’interno del registro dei trattamenti (art. 30 del GDPR) mentre la valutazione d’impatto (DPIA) non può gravare sul Titolare del trattamento. Sebbene il trattamento avvenga nel contesto lavorativo ed incida sul diritto fondamentale al lavoro dell’interessato, riferendosi ad una categoria vulnerabile come quella dei dipendenti, sarebbe difficile pensare ad una DPIA avente ad oggetto un trattamento di dati effettuato per il tramite di una App ufficiale validata dalle Autorità.
Clicca sul logo e consulta i nostri servizi per Aziende e PA in ambito GDPR e Cybersecurity
