Si è già scritto in questa rivista in merito alle misure privacy da adottare a cura del datore di lavoro in relazione all’obbligo di verifica del Green Pass in azienda: qui il vademecum.
Di seguito un aggiornamento a seguito dell’adozione, da parte del Presidente del Consiglio dei Ministri, in data 12 ottobre 2021, dei seguenti due decreti:
- il DPCM recante le linee guida relative all’obbligo di possesso e di esibizione della certificazione verde COVID-19 da parte del personale delle pubbliche amministrazioni (“Linee guida in materia di condotta delle pubbliche amministrazioni per l’applicazione della disciplina in materia di obbligo di possesso e di esibizione della certificazione verde covid-19 da parte del personale”);
- il DPCM sulle modalità di verifica del possesso delle certificazioni verdi COVID-19 in ambito lavorativo (“Modifiche al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021, recante Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”). Il decreto interviene per fornire ai datori di lavoro pubblici e privati gli strumenti informatici necessari per una verifica quotidiana e automatizzata del possesso delle certificazioni verdi.
Sotto il profilo della protezione dei dati personali, in merito allo schema di DPCM del 12 ottobre recante le modifiche al decreto del Presidente del Consiglio dei ministri 17 giugno 2021 sulle modalità di verifica del possesso del Green Pass, si è espresso, con parere favorevole, il Garante per la protezione dei dati personali (Garante)[1], che ha confermato le corrette modalità di trattamento dei dati personali connesse alla verifica del certificato verde e ha ribadito i principi generali a cui attenersi nel contesto lavorativo, al fine di assicurare il rispetto della disciplina di protezione dei dati personali e della disciplina di settore, europea e nazionale, in materia di certificazioni verdi.
Alla luce delle nuove indicazioni del Governo e delle precisazioni dell’Autorità di controllo privacy, forniamo di seguito un’integrazione del richiamato vademecum, con alcuni chiarimenti pratici.
Green pass: linee guida aggiornate per PA e privati al decreto-bis, con i nuovi adempimenti privacy
Indice degli argomenti
Registro o verbale delle verifiche svolte: il corretto trattamento dati
In queste settimane diverse aziende si sono interrogate sulla possibilità di istituire e mantenere un registro o un verbale delle verifiche svolte su tutto il personale all’ingresso o nel corso della giornata lavorativa, contenente informazioni personali quali, a titolo esemplificativo, il nome e il cognome del soggetto sottoposto a verifica, la data e l’orario del controllo, nonché le firme del soggetto incaricato di svolgere le verifiche e dello stesso lavoratore “controllato”.
Sul punto, dai DPCM in commento emerge che, in osservanza della disciplina sul trattamento dei dati personali, non è consentita in alcun caso la raccolta dei dati dell’intestatario in qualunque forma, salvo quelli strettamente necessari all’applicazione delle conseguenti misure derivanti dal mancato possesso e esibizione del Green Pass, previste dalle nuove norme (quali, ad esempio, la notifica dell’assenza ingiustificata, l’applicazione di eventuali sanzioni disciplinari, la redazione del verbale di accertamento e contestazione della violazione e la trasmissione degli atti al Prefetto).
Ciò anche sulla scorta di quanto indicato dal Garante nel parere reso in via preventiva allo schema di DPCM sulle modalità di verifica del Green Pass, il quale ha sottolineato la necessità di garantire che “siano trattati in relazione alla specifica finalità del trattamento di cui agli artt. 9-quinquies e 9-septies del D.L. n. 52/2021, esclusivamente i dati necessari alla verifica del possesso della certificazione verde COVID-19 in corso di validità, consentendo di rispettare i principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, nonché della protezione dei dati fin dalla progettazione e per impostazione predefinita”.
Alla luce di tali previsioni, non può considerarsi legittima alcuna operazione di trattamento, ivi incluse la raccolta e la registrazione, compiuta indistintamente sui dati personali – anche solo nome e cognome – di tutti i lavoratori sottoposti a verifica da parte del datore di lavoro per finalità diverse e ulteriori rispetto alla mera verifica del Green Pass e all’adozione delle misure conseguenti ad una verifica con esito negativo, a causa della mancata esibizione o del mancato possesso di una valida certificazione verde.
Sarebbe dunque consentito verbalizzare le attività di verifica svolte con esito negativo con conseguente annotazione dei nominativi dei soggetti privi del Green Pass, ma non documentare nel verbale/registro le attività di verifica con esito positivo (i.e. il soggetto verificato è in possesso di Green Pass valido).
In tal caso, come peraltro suggerito anche da Confindustria nella sua recente Nota del 15 ottobre 2021, occorrerebbe riportare i dati in forma aggregata, in modo da non consentire l’individuazione della persona fisica in possesso del Green Pass. A titolo d’esempio, si potrebbe riportare in termini percentuali l’esito delle verifiche positive sul totale di quelle effettuate a campione.
Certificato cartaceo di esenzione alla vaccinazione: no al trattamento dati
Come precisato nel DPCM recante le linee guida per la pubblica amministrazione e nelle relative FAQ pubblicate sul sito istituzionale del Governo, non possono essere sottoposti a verifica da parte del datore di lavoro – nelle more del rilascio dell’applicativo che conterrà un apposito QR Code per la verifica del relativo certificato di esenzione – i soggetti che, per comprovati motivi di salute, non possono effettuare il vaccino contro la Covid-19.
A tal fine, la documentazione sanitaria relativa all’esenzione potrà essere preventivamente trasmessa al medico competente, il quale, ove autorizzato dal dipendente, potrà informare il personale deputato ai controlli sulla circostanza che tali soggetti debbano essere esonerati dalle verifiche.
Ne consegue che il certificato di esenzione alla vaccinazione non potrà essere oggetto di trattamento da parte del soggetto incaricato delle verifiche per conto del datore di lavoro.
Anche il Garante, nel parere sullo schema di DPCM 12 ottobre 2021, aveva sottolineato i maggiori rischi per gli interessati legati al trattamento del certificato cartaceo di esenzione, alla luce del fatto che “la presentazione di un documento cartaceo di esenzione alla vaccinazione anti-SARS-CoV-2, come attualmente previsto dalle circolari del Ministero della salute del 4 agosto e del 25 settembre 2021, rivela, infatti, inevitabilmente a terzi la sussistenza di una condizione di salute dell’interessato”.
L’Autorità ha inoltre raccomandato che il futuro DPCM, volto ad individuare le specifiche tecniche per trattare in modalità digitale le certificazioni di esenzione alla vaccinazione, individui misure tecniche e organizzative idonee ad assicurare che i soggetti esenti dalla vaccinazione per motivi di salute possano presentare un documento digitale dotato di QR Code che riveli le medesime informazioni delle certificazioni verdi, senza rendere visibili in alcun modo le informazioni che ne hanno determinato l’emissione.
L’informativa ai soggetti sottoposti a verifica Green Pass
Si era già posta in evidenza nel vademecum l’esigenza di rendere idonea informativa agli interessati coinvolti nelle verifiche del Green Pass. Il Decreto recante le modifiche al DPCM 17 giugno 2021, sulla scorta delle indicazioni del Garante, ha ulteriormente precisato l’obbligo di fornire una informativa specifica al personale sottoposto alla verifica del Green Pass sul trattamento dei loro dati ai sensi degli artt. 13 e 14 del GDPR, anche mediante comunicazione resa alla generalità del personale.
È confermata dunque la possibilità di rendere l’informativa in modo generalizzato, tramite apposizione in prossimità del luogo ove verranno svolte le verifiche da parte dei soggetti incaricati o tramite pubblicazione nella intranet aziendale, ove esistente, in ogni caso con modalità tali da poter essere facilmente visibile a tutto il personale che accede in azienda.
Si sottolinea, tuttavia, che non solo il personale della società è coinvolto nelle verifiche delle certificazioni ma anche soggetti terzi (es. consulenti, clienti, fornitori ecc.) ed è quindi necessario rendere anche a tali persone fisiche le informazioni richieste dal GDPR in relazione al trattamento dei loro dati personali.
NOTE
Cfr. Provvedimento n. 363 dell’11 ottobre 2021 “Parere sullo schema di decreto concernente “Modifiche al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021, recante «Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19″» – 11 ottobre 2021”, doc. web n. 9707431. ↑
