Green pass obbligatorio nei luoghi di lavoro privati: obblighi e responsabilità privacy

6 ottobre 2021

Green pass obbligatorio anche nei luoghi di lavoro privati: quali obblighi e responsabilità lato privacy per i datori di lavoro?

Come noto, il 21 settembre 2021 è stato adottato il decreto legge 127 recante Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening(1) con il quale è stato esteso ai datori di lavoro privati l’obbligo di verificare, ai fini dell’accesso ai luoghi in cui si svolge l’attività lavorativa, il possesso e la validità del Green Pass dei lavoratori.

Tale disposizione impone ai datori di lavoro di definire, entro il 15 ottobre 2021, le modalità operative per l’organizzazione delle verifiche.

Tenuto conto delle attività per lo svolgimento delle verifiche i datori di lavoro saranno altresì tenuti al rispetto della normativa applicabile ed in particolare della disciplina in materia di protezione dei dati personali.

Vediamo in particolare quali di questi adempimenti determinano delle valutazioni e dei conseguenti adempimenti in materia di protezione dei dati personali.

Verifica del Green Pass (ma non solo!)

Anzitutto vale la pena di ricordare che la normativa impone di verificare alternativamente:

il green pass (o “certificato verde”);

la certificazione di esenzione;

documentazione equipollente rilasciata da stati terzi.

Minori problemi si riscontrano rispetto alla verifica del Green Pass poiché, grazie a quanto previsto dal decreto Del Consiglio dei Ministri del 17 giugno 2021 e del parere del Garante per la protezione dei dati personali (reso con provvedimento del 9 giugno 2021, n. 229), è possibile concludere che la verifica possa essere effettuata solo ed esclusivamente attraverso l’applicazione VerificaC19 sviluppata dal Ministero della Salute per il tramite di SOGEI, che dovrà essere installata su un dispositivo aziendale. Appare lecito immaginare che tale controllo venga effettuato manualmente attraverso personale debitamente formato allo svolgimento delle predette attività (c.d. “soggetti incaricati dell’accertamento e della contestazione delle violazioni”).

Sul punto vale la pena segnalare che alcuni datori di lavoro stanno valutando l’utilizzo di soluzioni tecnologiche avanzate per fare in modo che i controlli non vengano effettuati da persone fisiche ma da sistemi informatici (c.d. “Totem”). Tuttavia, occorre ricordare che allo stato tali dispositivi non sembrano poter essere utilizzati, posto che il Decreto-Legge 22 aprile 2021, n. 52 così come modificato dal Decreto-Legge 21 settembre 2021, n. 127, richiama espressamente il Decreto del consiglio del ministri del 17 giugno 2021 (che appunto prevede l’uso dello strumento che verrà sviluppato dal Ministero della Salute).

A ciò si aggiunga che tali strumenti (Totem) per poter quantomeno poter essere considerati dal Governo come possibili alternative all’App VerificaC19 dovranno garantire la mera lettura del Green Pass, senza ulteriori trattamenti. Non potranno essere utilizzati strumenti già in uso per altre ragioni, come ad esempio registrazione ingressi, misurazione della temperatura o verifica del corretto uso della mascherina, ciò per l’evidente ragione di evitare che le varie informazioni vengano combinate e registrate per le diverse finalità.

Da ultimo, sembra ovvio escludere la possibilità di chiedere ai dipendenti di inviare per mail il Green Pass e di conservarlo su strumenti e supporti informatici.

Rispetto all’applicazione VerificaC19 meritano di essere lette le note legali pubblicate sul sito del Ministero della Salute(2) attraverso le quali sono parzialmente chiariti alcuni aspetti sul funzionamento dell’applicazione.

Nelle stesse note, in particolare, si legge che “L’App VerificaC19 può essere utilizzata solo dai soggetti «verificatori», ovvero soggetti deputati al controllo delle Certificazioni verdi COVID-19 … In particolare, l’App consente di leggere il QR code della Certificazioni verdi COVID-19 e mostra graficamente al verificatore l’effettiva autenticità e validità della Certificazione” – tenendo ovviamente in considerazione le regole previste per la verifica della scadenza della Certificazione in relazione alla tipologia di certificazione (Vaccinazione, Tampone Molecolare e/o Antigenico e guarigione) e alla sua data di emissione – inoltre mostra al verificatore “il nome, il cognome e la data di nascita dell’intestatario, secondo le regole di cui all’Allegato B del suddetto DPCM”. Nel documento si aggiunge che la l’app, una volta installata sul dispositivo mobile “consente di effettuare le verifiche delle certificazioni anche in assenza di connessione internet (modalità offline), e non registrare nel dispositivo del verificatore i dati delle Certificazione sottoposte a controllo.. quindi, in caso di smarrimento o furto non ci sono rischi associati per la privacy degli interessati le cui Certificazioni sono state sottoposte a verifica”.

Merita però anche ricordare che il datore di lavoro non è tenuto solo alla verifica del Certificato Verde.

Infatti, la normativa applicabile prevede altresì che il soggetto che chiede di accedere ai luoghi di lavoro possa essere in possesso anche di un certificato di esenzione oppure di un documento equipollente al certificato verde emesso da stati terzi.

Nel primo caso (possesso di certificato di esenzione), nelle more che questo venga rilasciato in formato digitale la verifica andrà effettuata sul certificato cartaceo. Sul punto è importante richiamare la circolare del Ministero della Salute che ha esteso la validità dei certificati in formato cartaceo sino al 30 novembre 2021(3).

Il controllo del certificato cartaceo dovrà avere ad oggetto:

a) i dati identificativi del soggetto interessato (nome, cognome, data di nascita);

b) la dicitura: “soggetto esente alla vaccinazione anti SARS-CoV-2. Certificazione valida per consentire l’accesso ai servizi e attività di cui al comma 1, art. 3 del decreto-legge 23 luglio 2021, n 105”;

c) la data di fine di validità della certificazione;

d) i dati relativi al Servizio vaccinale della Aziende ed Enti del Servizio Sanitario Regionale;

e) il timbro e la firma del medico certificatore (anche digitale);

f) il numero di iscrizione all’ordine o il codice fiscale del medico certificatore.

Nel secondo caso (possesso di documento equipollente al certificato verde, rilasciato da uno stato terzo), si dovranno verificare:

se questo è stato rilasciato a seguito di vaccino:

a) dati identificativi del titolare (nome, cognome, data di nascita);

b) dati relativi al vaccino (denominazione e lotto);

– data/e di somministrazione del vaccino (avendo cura di verificare che si tratti di uno dei vaccini riconosciuti con provvedimento del Ministero della Salute)

– dati identificativi di chi ha rilasciato il certificato (Stato, Autorità sanitaria)

– essere redatto almeno in una delle seguenti lingue: italiano; inglese; francese; spagnolo o altra lingua accompagnata da traduzione giurata.

Oppure, se questo è stato rilasciato in seguito a guarigione:

a) dati identificativi del titolare (nome, cognome, data di nascita);

b) informazioni sulla precedente infezione da SARS-CoV-2 del titolare, successivamente a un test positivo (data del primo tampone positivo);

c) dati identificativi di chi ha rilasciato il certificato (Stato, Autorità sanitaria);

d) accompagnato sempre da traduzione giurata.

Per queste due tipologie di documenti allo stato e per ragioni diverse, non potrà essere utilizzata l’App. VerificaC19 e la verifica andrà effettuata manualmente sulla documentazione.

Nonostante ad una prima lettura delle disposizioni normative non risulti possibile la conservazione di queste informazioni questa conclusione non pare poter essere accettabile nel caso in cui il datore di lavoro riscontri la mancanza, la carenza di uno degli elementi costitutivi di questi documenti o che i documenti suddetti si riferiscono a soggetto diverso (si pensi ai casi in cui con la verifica dell’identità del soggetto risulti evidente che esso ha presentato un certificato verde altrui). In questi casi le informazioni sulla verifica dovranno essere raccolte e conservate al fine di:

(i) procedere all’adozione delle opportune decisioni disciplinari;

(ii) segnalare l’accaduto alle autorità volte ad irrogare le conseguenti sanzioni (Prefetto) oppure ad accertare se le suddette violazioni sono idonee o meno a costituire reato (Procura della Repubblica).

In ogni caso, prima di iniziare le predette attività di verifica e di controllo, il datore di lavoro dovrà effettuare i seguenti adempimenti privacy:

Aggiornamento del Registro dei Trattamenti, includendo tra le attività anche quella del controllo della predetta documentazione e di conservazione e comunicazione a terzi in caso di mancanza, carenza, riferibilità a terzi dei documenti verificati;
Esecuzione di una valutazione dei rischi relativa al nuovo trattamento, nella quale sicuramente andranno distinti i controlli effettuati tramite l’App VerificaC19 e quelli effettuati manualmente sui certificati di esenzione o sui documenti equipollenti rilasciati da stati terzi;
Esecuzione di una valutazione d’impatto soprattutto per quanto riguarda l’utilizzo dell’App. VerificaC19. Infatti si tratta evidentemente di una nuova tecnologia che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. A tal proposito occorre segnalare che il trattamento effettuato attraverso l’applicazione è già stato sottoposto a Valutazione d’impatto da parte del Ministero della Salute (DPIA trasmessa anche al Garante con nota del 7 giugno 2021 -prot. n. 7112). Tale documento, se messo a disposizione, potrebbe essere utilissimo al fine di condurre una valutazione completa. Allo stato, non essendo tale documento pubblicamente fruibile, il Datore di lavoro potrà quantomeno contare sulle note legali all’Applicazione VerificaC19 già citate nel corpo del presente articolo.
Predisporre di una Standard Operating Procedure che disciplini le modalità e conseguenze delle verifiche, tenendo in considerazione i principi di privacy by design e privacy by default, nonché il principio di minimizzazione dei dati per mitigare i rischi di una violazione della riservatezza dei prestatori di lavoro.
Nominare i soggetti incaricati dell’accertamento e della contestazione delle violazioni. Questa nomina può essere anche un documento diverso e separato rispetto alla nomina di persona delegata o incaricata ai sensi dell’art. 29 del GDPR. Il datore di lavoro titolare del trattamento potrà decidere se integrare tale ultimo documento, inserendo specifiche istruzioni su come effettuare il controllo con la modalità meno invasiva possibile per la riservatezza dell’interessato, oppure se fornire un documento ulteriore e più specifico, che si aggiungerà alla nomina ex art. 29 GDPR.
Nominare responsabile del trattamento il fornitore eventualmente incaricato dell’esecuzione dei controlli. Si pensi ad esempio al caso in cui c’è una società esterna che effettua il controllo degli accessi cui venga demandata anche questa attività. Anche in questo caso andranno fornite le opportune istruzioni al fornitore, affinché vi si attenga.
Predisporre opportuna informativa che dovrà contenere gli elementi di cui all’art. 13 del GDPR, ivi inclusa la determinazione della base giuridica (che non potrà che essere l’adempimento dell’obbligo di legge imposto dal Decreto – Legge 21 settembre 127). Particolare attenzione dovrà essere posto al tema della conservazione dei dati (esclusivamente per la finalità di effettuare le segnalazioni alle autorità o per prendere provvedimenti disciplinari nei confronti del lavoratore, se dipendente).