Dal 15 ottobre e fino al 31 dicembre 2021 (salvo proroghe), tutti i lavoratori, pubblici e privati, e coloro che svolgono attività di formazione o di volontariato, hanno l’obbligo di esibire il green pass per accedere al luogo di lavoro. Il datore di lavoro, a sua volta, deve stabilire e attuare le procedure da osservare per garantire il controllo dei certificati verdi, premurandosi, altresì, di nominare i soggetti incaricati ad effettuare le verifiche, da attuarsi in sede di ingresso e/o a campione.
L’obbligo di munirsi di green pass sul luogo di lavoro è stato introdotto dal Dl 127/2021.
L’obbligatorietà del green pass nel luogo di lavoro pone importanti quesiti sulla riservatezza dei dati dei dipendenti. Come possono essere trattati lecitamente i dati ottenuti in seguito alla verifica del possesso del green pass? Come tutelare la privacy dei lavoratori e dei collaboratori esterni che accedono ai luoghi di lavoro?
In primo luogo, il datore di lavoro dovrà predisporre l'informativa sul trattamento dei dati in base all’articolo 13 del Gdpr (regolamento Ue 679/2016). Tale informativa dovrà essere preventivamente comunicata agli interessati ovvero esposta in sede di accesso di modo che l’interessato possa prenderne visione.
I dati personali trattati, oltre alle generalità del lavoratore, sono relativi alla validità, l'integrità e l'autenticità del green pass o di una certificazione equivalente ovvero le informazioni in merito allo stato di soggetto esente da vaccinazione anti Covid-19 riportate nella certificazione di esenzione dalla vaccinazione.
La finalità del trattamento è la prevenzione dal contagio da Covid-19 in base all’articolo 9-septies del Dl 52/2021, nonché di controllo dell'autenticità, validità e integrità della certificazione verde Covid-19 o della certificazione equivalente, compresa quella di esenzione dalla vaccinazione anti Covid.
La base giuridica del trattamento è nell'adempimento di un obbligo legge.
Il Dl 127/2021 è in fase di conversione. Il Parlamento, infatti, dovrà intervenire, in chiave di semplificazione, sulle regole del controllo già previste dal decreto legge. Tra gli emendamenti approvati al Senato, particolare importanza, ai fini privacy, riveste la possibilità per il lavoratore di consegnare volontariamente il green pass al datore di lavoro, il quale, quindi, potrebbe essere esentato dal controllo quotidiano fino alla scadenza della certificazione verde.
Con l’approvazione dell’emendamento sopra richiamato l'informativa dovrà prevedere anche il trattamento dati dovuto alla consegna del green pass al datore di lavoro. Il datore di lavoro, inoltre, dovrà provvedere alla nomina degli incaricati alle verifiche del green pass quali soggetti incaricati allo svolgimento dei trattamenti dei dati personali connessi all'esercizio del predetto incarico (articolo 2-quaterdecies del Dlgs 196/2003) e fornendo loro le seguenti istruzioni operative per l’esecuzione dei controlli.
Qualora la verifica del green pass sia effettuata da un soggetto esterno (ad esempio quando il controllo sia effettuato da una società esterna cui sia appaltato il servizio di custodia e vigilanza), costui dovrà essere nominato responsabile esterno del trattamento in base all’articolo 28 del Gdpr.
Ancora, il datore di lavoro dovrà provvedere all'aggiornamento del Registro dei trattamenti in base all’articolo 30 Gdpr prevedendo i trattamenti di visualizzazione dati dei dipendenti e per tutti gli altri (ad esempio fornitori) che accedono ai luoghi di lavoro.
L’approvazione dell'emendamento obbligherà, altresì, il datore di lavoro ad aggiornare il Registro dei Trattamenti con riferimento alla conservazione del green pass e dei dati in esso contenuti.
L’emendamento proposto, tuttavia, dovrà fare i conti con quanto, sin ora, espresso dal Garante della Privacy in tema di conservazione del green pass. Il Garante, infatti, già con il Provvedimento 363 dell'11 ottobre 2021, ha affermato che il controllo dei green pass non dovrà comportare la raccolta di dati dell'interessato in qualunque forma, ad eccezione di quelli strettamente necessari all'applicazione delle conseguenti misure.
Pertanto, già dopo il primo orientamento espresso dal Garante, era legittimo chiedersi se la pratica di stilare elenchi sui quali indicare i soggetti sottoposti a verifica fosse o meno legittima. Sempre nello stesso provvedimento, poi, il Garante ha escluso la liceità della conservazione del QR code delle certificazioni verdi, vietando, altresì, di trattenere copie cartacee dei green pass, di screen-shot e/o di fotografie del certificato verde.
Tale orientamento è stato confermato dalla segnalazione che il Garante della Privacy ha inviato al Parlamento, nella quale l'Autorità ha evidenziato che la prevista esenzione dai controlli - in costanza di validità della certificazione verde - rischia di eludere le finalità di sanità pubblica complessivamente sottese al sistema del “green pass”, la cui efficacia è connessa alla validità della certificazione verde.
L'assenza di verifiche durante il periodo di validità del certificato non consentirebbe di rilevare l'eventuale condizione di positività sopravvenuta in capo all'intestatario del certificato, in contrasto, peraltro, con il principio di esattezza cui deve informarsi il trattamento dei dati personali.
Tale modalità di conservazione dei certificati verdi, quindi, oltre ad essere contrario al Considerando 48 del Regolamento (UE) 2021/953, renderebbe il trattamento dei relativi dati non del tutto proporzionato alle finalità perseguite. Dal dato relativo alla scadenza della certificazione può, infatti, agevolmente evincersi anche il presupposto di rilascio della stessa, ciascuno dei quali (tampone, guarigione, vaccinazione) determina un diverso periodo di validità del green pass. In tal modo, dunque, una scelta quale quella sulla vaccinazione - così fortemente legata alle intime convinzioni della persona - verrebbe privata delle necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all'autodeterminazione individuale.
Di fatto, ha specificato il Garante, con la consegna del green pass al datore di lavoro, quest'ultimo verrebbe a conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e convinzioni personali, in contrasto con le garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica.
Tale criticità non verrebbe meno neanche laddove si ritenesse che la consegna del green pass determina un consenso implicito del lavoratore. Dal punto di vista della protezione dei dati personali (e, dunque, ai fini della legittimità del relativo trattamento), il consenso in ambito lavorativo non può, infatti, ritenersi un idoneo presupposto di liceità, in ragione dell'asimmetria che caratterizza il rapporto lavorativo stesso (C 43 Regolamento Ue 2016/679).
Daniele Colombo - 16 novembre 2021 – tratto da sole24ore.com