Green pass, la normativa, la privacy nei luoghi di lavoro - Riskmanagement

Normativa

Green pass, cosa dice la normativa, quali relazioni con la privacy nei luoghi di lavoro

Con il passaggio al Senato, dal 17 novembre il decreto è diventato legge. Il datore di lavoro pubblico e privato è autorizzato ad attuare i controlli sulla certificazione verde di coloro che hanno accesso ai luoghi di lavoro, attraverso un’apposita delega da rilasciare al personale incaricato del controllo.

22 Nov 2021

Andrea Citterio

Privacy Officer

Come è noto, la certificazione verde (c.d. Green pass) è nata su proposta dell’Unione Europea per agevolare la libera circolazione dei cittadini all’interno della stessa Unione. Tale certificazione che deriva dall’avvenuta vaccinazione anti-covid19, dal risultato di un tampone rapido o molecolare o da una guarigione dal Covid-19 negli ultimi sei mesi, può essere cartacea o digitale e verificabile anche attraverso un QR Code. Al fine di incentivare i c.d. indecisi a effettuare la vaccinazione, è stato introdotto l’utilizzo del Green pass anche nei luoghi di lavoro pubblici e privati.

La normativa

A livello europeo si fa riferimento al Regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio del 14 giugno 2021 su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione al Covid-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di Covid-19 (Testo rilevante ai fini del SEE) e al Regolamento (UE) 2021/954 del Parlamento europeo e del Consiglio del 14 giugno 2021 su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione al Covid-19 (certificato Covid digitale dell’UE) per i cittadini di paesi terzi regolarmente soggiornanti o residenti nel territorio degli Stati membri durante la pandemia di Covid-19 (Testo rilevante ai fini del SEE).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

A livello nazionale si fa riferimento alle seguenti Leggi e Decreti:

Decreto-legge 22 aprile 2021 n. 52

Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19.

Decreto-legge 23 luglio 2021 n. 105

Misure urgenti per fronteggiare l’emergenza epidemiologica da Covid-19 e per l’esercizio in sicurezza di attività sociali ed economiche.

Decreto del presidente del consiglio dei ministri 17 giugno 2021: apre una nuova finestra

Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante «misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19».

Legge 16 settembre 2021, n. 126

Conversione in legge, con modificazioni, del decreto-legge 23 luglio 2021, n. 105, recante misure urgenti per fronteggiare l’emergenza epidemiologica da Covid-19 e per l’esercizio in sicurezza di attività sociali ed economiche.

Decreto-legge 21 settembre 2021, n. 127

Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde covid-19 e il rafforzamento del sistema di screening.

Decreto del presidente del consiglio dei ministri 12 ottobre 2021

Modifiche al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021, recante «Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19″».

Green pass e privacy

L’introduzione della certificazione verde ha sollevato diverse perplessità in materia di privacy. Il decreto legge del 22 aprile 2021, n. 52, convertito, con modificazioni, dalla legge 17 giugno 2021, n. 87 come, da ultimo, modificato dagli artt. 1 e 3 del decreto legge 21 settembre 2021, n. 127, ha introdotto agli artt. 9-quinquies (“Impiego delle certificazioni verdi COVID-19 nel settore pubblico”) e 9-septies (“Impiego delle certificazioni verdi Covid-19 nel settore privato”) l’obbligo di possedere e di esibire, su richiesta, la certificazione verde Covid-19 di cui all’articolo 9, comma 2. Il datore di lavoro pubblico e privato viene quindi autorizzato ad attuare i controlli sulla certificazione verde di coloro che hanno accesso ai luoghi di lavoro, attraverso un’apposita delega da rilasciare al personale incaricato del controllo.

Stando agli oppositori del provvedimento si ritiene leso il diritto alla riservatezza con conseguente rischio di essere discriminati durante lo svolgimento della propria attività lavorativa per una violazione da parte del decreto della normativa comunitaria e della Costituzione italiana in merito alla protezione dei dati personali. Stando ad alcuni, inoltre, solo il medico competente potrebbe verificare se un lavoratore è idoneo o meno alla mansione e pertanto il datore di lavoro, che non può per definizione trattare dati sanitari, non potrebbe controllare e impedire al lavoratore di accedere ai locali aziendali. Su questo punto si espresso anche il Garante della Privacy con il Provvedimento n.363 dell’11 ottobre 2021. Questi, ai sensi dell’art. 58, par. 3, lett. c), del Regolamento, ha infatti espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri, sulla base delle seguenti considerazioni:

  1. Lo schema del decreto si compone di un articolo che introduce nuove modalità per assicurare un efficace ed efficiente processo di verifica, anche automatizzato, del possesso delle certificazioni verdi prevedendo l’introduzione di “specifiche modalità automatizzate di verifica delle certificazioni verdi Covid-19 in ambito lavorativo”, descritte in un nuovo allegato H (comma 1, lett. h) e m), dello schema) e l’individuazione dei soggetti che sono deputati alle attività di verifica del possesso delle certificazioni verdi Covid-19 da parte del personale incaricato con un atto formale, recante le necessarie istruzioni sull’esercizio dell’attività di verifica (comma 1, lett. n) e o), dello schema);
  2. La messa a disposizione da parte del Ministero della Salute in favore dei datori di lavoro, pubblici e privati, di specifiche funzionalità che consentono una “verifica quotidiana e automatizzata del possesso delle certificazioni verdi in corso di validità del personale effettivamente in servizio” stabilendo che la stessa sia effettuata, “senza rivelare le ulteriori informazioni conservate, o comunque trattate, nell’ambito della Piattaforma nazionale-DGC”;
  3. I datori di lavoro devono limitarsi a verificare il mero possesso della certificazione verde da parte del solo “personale effettivamente in servizio”, senza acquisire dati che possano, anche indirettamente, rivelare condizioni di salute o convinzioni personali, assicurando così la tutela dei diritti e delle libertà delle persone fisiche sin dalla fase “di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni” (cfr. cons. 78 del Regolamento). Ciò nel rispetto dei principi di responsabilizzazione e della protezione dei dati fin dalla progettazione e per impostazione predefinita e con riguardo ai principi di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati (disattivando le funzioni che non sono compatibili con le finalità del trattamento – cfr. cons. 54 del Regolamento), nonché di integrità e riservatezza (adottando le opportune misure tecniche e organizzative ed impartendo le necessarie istruzioni).

Dal punto di vista operativo è stata lasciata al datore di lavoro l’incombenza di mettere in campo le misure tecniche e organizzative per effettuare i controlli: ciò ha spinto a credere che il datore di lavoro avesse una certa libertà d’azione. Tuttavia, il datore di lavoro, abbiamo imparato, deve attenersi a una serie di principi al fine di non violare la privacy e la riservatezza degli interessati. Proviamo a riassumerli qui sotto:

  1. divieto di istituire appositi registri o verbali in cui annotare le verifiche effettuate (anche a campione lungo la giornata) contenenti ad esempio i dati identificativi degli interessati, la data e l’ora del controllo sino alle firme dell’interessato e dell’incaricato al controllo. Viene fatta salva la notifica obbligatoria al datore di lavoro di quei lavoratori che andranno considerati assenti ingiustificati poiché trovati sprovvisti di certificazione verde (il semplice visitatore, difatti, andrà allontanato dall’azienda);
  2. divieto del datore di lavoro di raccogliere anticipatamente le certificazioni verdi o di raccogliere autocertificazione da parte degli interessati. Questo al fine di impedire al datore di identificare coloro che non sono vaccinati e quindi evitare che verso questi siano posti in essere comportamenti discriminatori;
  3. divieto di verifica dei soggetti che, per comprovati motivi di salute, non possono effettuare il vaccino. Questi soggetti potranno utilizzare fino al 30 novembre 2021 (termine prorogato con  Circolare del Ministero della Salute del 25 settembre 2021) una Certificazione di esenzione dalla vaccinazione, rilasciata dai medici vaccinatori dei Servizi vaccinali delle Aziende ed Enti dei Servizi sanitari regionali o dai Medici di medicina generale o Pediatri di libera scelta dell’assistito che operano nell’ambito della campagna di vaccinazione anti-SARS-CoV-2 nazionale che dovrà essere trasmetta preventivamente al medico competente che potrà informare, ove autorizzato dal lavoratore, il datore di lavoro;
  4. predisposizione di un’Informativa che dovrà essere preventivamente comunicata agli interessati ed esposta all’accesso dei luoghi di lavoro in modo che l’interessato possa prenderne visione;
  5. aggiornamento del Registro dei Trattamenti;
  6. nomina a Responsabile del trattamento ai soggetti esterni che effettuano i controlli per conto del Titolare del trattamento (ad es. quelle aziende che hanno servizi di vigilanza).

Ultime novità in materia di Green pass

Il 17 novembre 2021 c’è stato il “sì” alla Camera sulla questione di fiducia posta dal Governo sul Dl Green Pass con voti 453 favorevoli e 42 contrari. Con questo provvedimento viene introdotto l’obbligo dell’esibizione della certificazione verde per poter accedere ai luoghi di lavoro sia pubblici che privati, fino alla data del 31 Dicembre 2021. Una delle novità più eclatanti, auspicata in effetti da diverse aziende, sarà quella di consentire al lavoratore di dare il proprio green pass al datore di lavoro. La modifica approvata stabilisce infatti che “i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde Covid-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro”. Tra le altre novità si è stabilito che il turno di lavoro iniziato con un green pass valido potrà concludersi regolarmente anche se la certificazione verde scade durante lo svolgimento del servizio, e pertanto la permanenza del lavoratore sul luogo di lavoro sarà consentita per il tempo necessario a portare a termine il turno.

Tornando al primo aspetto dobbiamo però ricordare che il Garante per la privacy ha preso posizione con una “Segnalazione al Parlamento e al Governo sul Disegno di legge di conversione del Decreto Legge n.127/2021”. In questa segnalazione l’Autorità ha espresso le seguenti criticità:

  1. L’esenzione dai controlli rischia di determinare l’elusione delle finalità di sanità pubblica sottese alla certificazione verde in quanto rischia di far diventare la certificazione un documento statico e quindi non soggetto agli eventuali aggiornamenti rispetto alle risultanze diagnostiche eventualmente sopravvenute;
  2. Impossibilità di rilevare l’eventuale positività sopravvenuta in capo all’intestatario del certificato che va in contrasto con il principio di esattezza (art.5, par.1, lett. D) Reg. UE 2016/679);
  3. Trattamento sproporzionato dei dati rispetto alle finalità perseguite;
  4. Contrasto con il Considerando 48 del Regolamento UE il quale prevede che “laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati”.

Rispetto alle precedenti linee guida sopra descritte verrebbe quindi meno la riservatezza sia rispetto le condizioni cliniche del lavoratore sia rispetto la scelta di non sottoporsi a vaccinazione, in quanto sarebbe di facile determinazione, rispetto al periodo di validità della certificazione verde, la provenienza della stessa, identificando così coloro che hanno scelto di non vaccinarsi. Tale situazione se da un lato agevolerebbe le aziende soprattutto di grosse dimensioni o quelle realtà con più unità sul territorio, può portare a generare dei pregiudizi nei confronti di coloro che non hanno scelto di vaccinarsi. Si ritiene infatti che il semplice fatto di rendere questa modalità “volontaria”, non possa essere sufficiente a tutelare il lavoratore (sarà infatti probabile che tutti i vaccinati aderiscano a tale possibilità andando così quasi per esclusione).

Dal punto di vista degli adempimenti va invece ricordato che la raccolta e quindi il trattamento di dati personali derivanti dalle certificazioni verdi, prevederà l’aggiornamento del Registro dei trattamenti e l’aggiornamento dell’Informativa sul trattamento dei dati.

Tale possibilità potrà essere estesa tra diversi datori di lavoro laddove, ad esempio, un’azienda fornisca un proprio lavoratore ad un’altra azienda per un determinato periodo di tempo? Sicuramente il controllo spetterà al Committente e il Fornitore dovrà informare il proprio lavoratore sulla sussistenza dell’obbligo di possedere ed esibire il green pass. Più delicato, a mio avviso, l’aspetto secondo il quale il Fornitore chieda di ricevere copia della certificazione. In tal caso intravedo la necessità di una nomina a Responsabile del trattamento del Fornitore e probabilmente il consenso del lavoratore affinché il suo Green pass sia trasferito a terzi.

Conclusioni

Il tema del Green pass sta portando fermento non solo a livello politico ma anche all’interno del mondo del lavoro. Si sta già paventando l’ipotesi di ridurre ad esempio la validità dei tamponi a sole 24 ore o di ridurre i tempi di validità del Green pass portandolo a nove mesi, ovvero di seguire l’esempio tedesco con la regola del 2G (solo per vaccinati (geimpft) o guariti (genesen)) almeno nell’ipotesi di un ritorno alla zona arancione o rossa. Il fatto che tale provvedimento sia divenuto legge mi lascia pensare a una estensione della certificazione verde nei luoghi di lavoro, e non solo, al di là del periodo attualmente indicato del 31 Dicembre 2021. Sarà da monitorare la situazione nelle prossime settimane per capire se il legislatore si esprimerà in merito alla possibilità di inasprire sempre più l’utilizzo della certificazione, mettendo sul piatto la necessità di bilanciare il diritto alla riservatezza del soggetto sui suoi dati sensibili con l’esigenza di conoscenza di tali dati da parte degli organismi preposti alla tutela del diritto alla salute.

E in tal senso sembra andare la Carta di Nizza, la quale, dopo avere riconosciuto all’art.8 il “diritto alla protezione dei dati che lo riguardano” e all’art. 35 il diritto alla protezione della salute, stabilisce all’art. 52 che “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA
C
Andrea Citterio
Privacy Officer
Argomenti trattati

Approfondimenti

C
coronavirus
C
covid-19
P
privacy

Articolo 1 di 5