Come anticipato nella news del 17 Settembre 2021, dal 15 ottobre 2021, il personale delle pubbliche amministrazioni e i dipendenti delle aziende private, dovranno munirsi di Green Pass per accedere alle strutture di lavoro, e sarà cura del datore di lavoro controllare il rispetto delle relative disposizioni. Il personale che non è in possesso della certificazione quando accede alle strutture lavorative, verrà considerato assente ingiustificato; cosi come stabilito nel Decreto Legge del 21 settembre 2021, n. 127, pubblicato nella Gazzetta Ufficiale n. 226/2021 , contenente le ‘’misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening’’.
Il Decreto Legge rende dunque chiara la necessità di munirsi di Green Pass per esercitare il diritto al lavoro.
La giurisprudenza ha recentemente affrontato la questione relativa alla legittimità della certificazione e alla eventuale possibilità di una lesione del diritto alla riservatezza dei dipendenti.
Il caso riguarda l’appello proposto contro il provvedimento cautelare emesso dal Tar Lazio, rigettato dal Consiglio di Stato con l’ordinanza 17 settembre 2021 n. 5130 con cui si è rafforzata la validità del Green Pass ed è stata dichiarata l’assenza dei rischi per la riservatezza dei dati personali.
Chiarita la legittimità di tale aspetto, si pone la questione su come espletare le modalità di verifica delle Certificazioni Verdi da parte del responsabile, sulla tipologia di dati da trattare e sulla tutela fornita al possessore del Green Pass.
Per ciò che concerne le modalità di verifica, esse sono esplicitate all’art. 13 comma 1 del D.p.c.m 17 Giugno 2021, ove si specifica che: “la verifica delle certificazioni verdi COVID-19 è effettuata mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile VerificaC19’’. Quest’applicazione permette unicamente di verificare l’autenticità, la validità e l’integrità del Green Pass e di conoscere le generalità del soggetto al quale è riferito.
Pertanto, i dati riportati nel codice, come stabilito dall’art. 3 del citato D.p.c.m., sono: cognome e nome, data di nascita, malattia o agente bersaglio, soggetto che ha rilasciato la certificazione verde COVID 19 (Ministero della Salute), identificativo univoco della certificazione; a queste si aggiungono informazioni specifiche nel caso in cui si parla di certificazione relativa ad avvenuta vaccinazione o guarigione o test antigenico rapido o molecolare con esito negativo.
Il comma 3 dell’articolo 13 specifica che i soggetti delegati di cui alle lettere c), d), e) ed f) del comma 2 sono incaricati con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica. Questo atto risulta redatto tenendo in considerazione l’articolo 29 del GDPR e l’articolo 2 quaterdecies del Codice Privacy e stabilisce le modalità affinché si possa tutelare adeguatamente la riservatezza dell’individuo nei confronti dei terzi durante il controllo della certificazione e, nel caso, del documento di riconoscimento. Dunque, occorre effettuare un controllo concreto delle modalità con le quali viene effettuata questa verifica e stabilire se i luoghi in cui viene effettuata questa verifica sono tali da preservare la riservatezza.
Occorre inoltre fornire ai soggetti interessati un’informativa privacy per assicurare il rispetto del principio di trasparenza garantito dall’articolo 5 GDPR in merito al trattamento dei dati che viene effettuato mediante la verifica della certificazione.
Questa informativa può contenere una serie di informazioni relative a:
- l’identità e i dati di contatto del Titolare del trattamento e, se è stato nominato, del suo Dpo;
- le finalità strumentali e connesse alla gestione del contagio;
- la base giuridica del trattamento cioè il bisogno di adempiere a un obbligo legale al quale il Titolare è sottoposto (art. 6 lett. c. GDPR) e nel caso specifico del DPCM in analisi;
- l’indicazione dei diritti dell’interessato indicati dagli artt. 15-22 GDPR;
- il diritto al reclamo ad un’autorità di controllo;
- l’indicazione del bisogno di sottoporsi a verifica per poter accedere a determinati luoghi o beneficiare di determinati servizi;
- l’assenza di decisione automatizzata compresa la profilazione.
Importante sottolineare che tale informativa va diffusa il più possibile e deve essere riportata oltre che sul sito internet, se presente, nei luoghi dove si effettua la verifica della certificazione affinché possa essere consultata.
Fatte queste precisazioni, il punto che a nostro avviso rimane ancora di indubbia interpretazione e per il quale il Dott. Marco Marinò, in qualità di presidente dell’Associazione Nazionale dei Datori di Lavoro FENIMPRESE, ha posto preciso quesito all’autorità Garante della Privacy, è relativo alla gestione dei dati trattati nell’attività di verifica; in particolare il suddetto D.p.c.m. all’articolo 13 comma 5, stabilisce che: “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.
Con tale formula, il Garante, ha sentito il bisogno di pronunciarsi a fronte di un comportamento scorretto tenuto in particolare dai proprietari delle palestre e dei centri sportivi; cosi come già deducibile dalla risposta fornita alla Regione Piemonte con nota del 10 Agosto 2021.
Tali Centri, infatti, registravano i nominativi dei possessori di Green Pass con la relativa scadenza al fine di evitare la verifica della certificazione ad ogni ingresso nei locali. Tale comportamento è severamente vietato in quanto non è permesso ai Titolari del trattamento di conservare i dati dei soggetti interessati; l’unico soggetto abilitato alla conservazione è il Ministro della Salute in quanto titolare del trattamento.
Ad oggi, sembra prevalere tale linea interpretativa anche per ciò che concerne le aziende pubbliche e private, equiparando la fattispecie su delineata a quella della verifica quotidiana dell’ingresso dei dipendenti sul posto di lavoro.
A nostro avviso restano alcune questioni da chiarire relative alle modalità di verifica, e per le quali, come detto, si è posto quesito all’Autorità Garante.
In particolare, nel caso non fosse possibile alcuna raccolta e trattamento dei dati; come si potrebbe risolvere la problematica del controllo quotidiano dei certificati in aziende di grandi dimensioni o con più sedi e cantieri? e nelle scuole? Ci chiediamo se esista una tecnologia che possa rendere efficiente questo processo, e, se esistesse, come si relazionerebbe con le tecnologie che l’azienda ha sui badge? Come potrebbe essere economicamente sostenibile effettuare questi controlli quotidiani senza l’aiuto di una tecnologia idonea che potrebbe, ad esempio, controllare le scadenze e con ulteriore capitale umano addetto a queste funzioni? Restiamo in attesa di un riscontro da parte del Garante della Privacy, al fine di poter ottemperare in maniera puntuale alle prescrizioni del decreto.
