Adempimenti e criticità privacy del controllo del GreenPass sul luogo di lavoro

Il D.L. n. 127/2021 e i conseguenti adempimenti privacy

Nell’ambito degli interventi legislativi finalizzati a contenere la diffusione del virus SARS-CoV-2 che si sono susseguiti dall’esplosione della pandemia nel nostro paese, il D.L. n. 127/2021, recante “Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde Covid-19 e il rafforzamento del sistema di screening”, ha esteso l’obbligo di possesso ed esibizione su richiesta del c.d. Green Pass a tutti i lavoratori dei settori pubblico e privato.

La norma comporta la necessità per i datori di lavoro di mettere in atto una serie di adempimenti volti a conformarsi alla disciplina vigente in materia di protezione dei dati personali, i cui fondamenti normativi vanno individuati, in primis, nel Regolamento (UE) 2016/679 (“Regolamento Generale sulla Protezione dei Dati” o “RGPD”) e nel D.Lgs. n. 196/2003 (“Codice in materia di protezione dei dati personali”), senza dimenticare l’importante attività consultiva e chiarificatrice del Comitato europeo per la Protezione dei Dati e dell’Autorità garante per la protezione dei dati personali (“Garante per la protezione dei dati personali” o “Garante Privacy”).

Nello specifico, al fine di effettuare un trattamento dei dati personali dei dipendenti adeguato rispetto alle prescrizioni normative in materia di privacy, i datori di lavoro devono:

implementare adeguate procedure di verifica del possesso del Green Pass;
fornire un’esaustiva informativa sul trattamento dei dati personali agli interessati ex art. 13 del RGPD;
redigere e trasmettere gli atti di individuazione quale persona autorizzata al trattamento ex art. 29 del RGPD ai dipendenti addetti alle verifiche;
nel caso in cui l’attività di verifica sia affidata a soggetti terzi sulla base di un contratto, predisporre e far sottoscrivere alla controparte un atto di nomina quale responsabile del trattamento ex art. 28 del RGPD;
aggiornare il registro delle attività di trattamento ex art. 30 del RGPD.

Per quanto concerne la procedura di verifica del possesso della certificazione verde, l’impianto normativo delineato dal legislatore a partire dal D.L. n. 52/2021 convertito con modificazioni dalla L. n. 87/2021 si basava sul presupposto che il datore di lavoro non dovesse venire a conoscenza dell’evento sanitario da cui è scaturito il Green Pass del lavoratore, così come ulteriori informazioni in esso presenti come la scadenza. In questo senso,l’impiego di strumenti – peraltro accolti con favore dal Garante per la protezione dei dati personali – come l’applicazione VerificaC19 e il servizio dell’INPS Greenpass50+ (sebbene limitato ai datori di lavoro con più di 50 dipendenti e afflitto da problemi di latenza in relazione all’aggiornamento delle informazioni) costituisce una modalità tecnica e organizzativa conforme alle finalità sottese dalla norma e, di conseguenza, ai suoi riflessi in materia di privacy sulla base del principio di limitazione della finalità.

Ad accompagnare la procedura di verifica, così come per qualsiasi trattamento di dati personali, la consegna al lavoratore di un’informativa, nella quale vengono esplicitate, tra le altre cose, le logiche e le modalità del trattamento in questione, oltre che la sua base giuridica, in questo caso rinvenibile nell’adempimento di un obbligo legale che ricade sul titolare del trattamento, vale a dire il datore di lavoro, e la presenza dei diritti dell’interessato.

Ulteriori misure che riguardano il titolare sotto il profilo dell’organizzazione e dei rapporti aziendali sono la predisposizione delle nomine per i soggetti deputati a compiere la verifica del possesso del Green Pass: tali atti devono contenere puntuali istruzioni operative e, nel caso in cui tale compito sia esternalizzato, il soggetto nominato quale responsabile del trattamento deve essere in grado di provare la propria capacità di rispettare le prescrizioni normative in materia di protezione dei dati personali.

Da non tralasciare, infine, l’aggiornamento del registro delle attività di trattamento, nel quale va inserita una voce relativamente alle operazioni di trattamento effettuate allo scopo di verificare il possesso della certificazione verde da parte dei membri del personale.

Il nuovo scenario dopo gli emendamenti del 17 novembre

Allo scopo di semplificare e razionalizzare le procedura di controllo del possesso del Green Pass in ambito lavorativo, la L. n. 165/2021 di conversione del D.L. n. 127/2021 ha introdotto un emendamento che offre al lavoratore la possibilità di consegnare al proprio datore di lavoro copia della propria certificazione verde con conseguente esenzione dai controlli per tutta la durata del certificato. In questo modo, però, rischia di venire meno la ratio dell’impianto normativo preesistente, ossia l’isolamento tra il dato sulla validità del Green Pass e quello sanitario all’origine dello stesso, avallato dallo stesso Garante Privacy, che aveva già avvertito Parlamento e Governo sulle non trascurabili criticità connesse a tale misura.

Nei contesti lavorativi in cui non vige l’obbligo vaccinale (nei quali la situazione sarebbe comunque risolvibile con un aggiornamento dell’app VerificaC19 o degli altri sistemi di controllo delle certificazioni), alle difficoltà operative che tale intervento legislativo ha voluto superare si potrebbe ovviare con l’impiego di strumenti che permettono una verifica automatizzata del possesso del Green Pass all’accesso alla struttura (come i totem digitali dotati di appositi software) senza trattare i dati sanitari dell’interessato tutelandone la riservatezza.

Venendo ai risvolti privacy della consegna e, di conseguenza, della conservazione delle copie dei certificati verdi dei dipendenti, il datore di lavoro deve predisporre e mettere a disposizione un modulo per richiedere la conservazione della copia del proprio Green Pass, in modo da comprovare che sia stato il lavoratore a optare per tale possibilità, nonché redigere e fornire agli interessati un’ulteriore specifica informativa sul trattamento dei dati personali. Altri adempimenti possono essere l’eventuale aggiornamento degli atti di individuazione quale persona autorizzata per i dipendenti o degli atti di nomina quale responsabile trattamento per i soggetti esterni deputati alle verifiche, così come l’integrazione del registro dei trattamenti. Soprattutto, però, le operazioni di acquisizione e conservazione delle copie dei Green Pass impongono al titolare del trattamento di eseguire un’attenta valutazione in merito alle misure tecniche che consentono di fare affidamento sulla correttezza delle informazioni in essi contenute, nonché delle misure di sicurezza dell’archivio che si andrà a creare. Ciò potrebbe anche far scaturire la necessità di effettuare una valutazione d’impatto sulla protezione dei dati ex art. 35 del RGPD.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.