Green pass e luoghi di lavoro, Adusbef mette in guardia sul trattamento dei dati personali

Ecco cosa cambia con l'introduzione del Decreto Legge 21 settembre 2021 n. 127

Cosa cambia con l'introduzione del Decreto Legge 21 settembre 2021 n. 127, i datori di lavoro sono tenuti a verificare, ai fini dell’accesso ai luoghi in cui si svolge l’attività lavorativa, il possesso e la validità del Green Pass da parte del prestatore di lavoro.

Quali le implicazioni sul trattamento dei dati? Queste le questioni sollevate dall’Adusbef, associazione di consumatori a tutela dei diritti dei cittadini, per voce della responsabile regionale Calabria, avvocato Elena Mancuso.

Il Green Pass è una certificazione digitale e stampabile (cartacea), che contiene un codice a barre bidimensionale (QR Code) e un sigillo elettronico qualificato, emesso attraverso la piattaforma nazionale del Ministero della Salute.

La verifica del Green Pass può avvenire solo mediante l’utilizzo dell’applicazione ufficiale “Verifica C19”, che ha lo scopo di verificare, tramite la lettura dei codici contenuti nel Qrcode, la validità della certificazione verde degli interessati.

Il Decreto Legge 21 settembre 2021 n. 127 ha ampliato i soggetti tenuti alla verifica e incluso, tra gli altri, i datori di lavoro privati.

Il controllo diventerà obbligatorio a partire dal prossimo 15 ottobre e comporterà, per i datori di lavoro, la necessaria predisposizione di misure tese a rispettare la privacy dei dipendenti allo scopo di mitigare i rischi di una violazione della riservatezza dei prestatori di lavoro.

Lo strumento utilizzato per la verifica e sul quale viene installata l’applicazione “C19” deve essere aziendale.

Nell’opera di organizzazione dei controlli, deve essere cura del datore di lavoro evitare che il controllo avvenga in assenza di specifiche istruzioni anche per quanto attiene l’uso dell’app e del device aziendale.

Particolare attenzione deve essere posta per quelle modalità di verifica che sfruttano soluzioni tecnologiche con la funzione di automatizzare le verifiche, come ad esempio i “Totem” che non prevedono il ricorso ad una persona ma sfruttano l’efficacia di un sistema informatico allo scopo di velocizzare il processo.

In tal caso, il datore di lavoro ha l’onore di svolgere una preventiva valutazione ex art. 25 GDPR allo scopo di individuare i possibili rischi che potrebbero ledere in maniera significativa i diritti dei lavoratori.

L’analisi dovrà concentrarsi sulle modalità di verifica dello strumento e sul ciclo vita del dato, garantendo la mera lettura dello stesso, senza ulteriori trattamenti. In tali casi, stante il divieto di registrazione del Green Pass, sarà necessario valutare che il sistema non combini le informazioni acquisite dallo strumento ed evitare un uso illegittimo dei dati raccolti per le diverse finalità.

Si evidenzia un particolare aspetto , cosi come sottolineato dall'Adusbef  quello che è  onore del datore di lavoro informare il lavoratore del trattamento di verifica, anche tramite l’apposizione di informative brevi in prossimità dei luoghi d’accesso. L’informativa dovrà contenere gli elementi di cui all’art. 13 del Reg. Eu 679/2016. La base giuridica si rinviene nell’obbligo di legge sancito dall’art. 3 del D. legge 127/2021 che manterrà la sua validità fino al 31 dicembre, data in cui sarà cessato lo stato di emergenza.

Altro aspetto rilevante Il comma 5 dell’art. 13 del DPCM del 17 giugno 2021 dispone che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”. Il divieto di conservazione è stato, altresì, ribadito dalla nostra Autorità Garante la quale con nota dello scorso 6 settembre ha dichiarato che le operazioni di trattamento relative alla verifica del Green Pass restano valide solo nell’ambito strettamente circoscritto agli obblighi di legge.

Resta, pertanto, fermo il divieto di richiedere copia o prelevare copia digitale del Green Pass e di annotazione (cartacea o digitale) della validità della certificazione.

L’unico soggetto deputato alla conservazione resta il Ministero della salute in qualità di Titolare del trattamento. Il divieto di conservare copia è stato, inoltre, ribadito anche dal Ministero degli interni con la Circolare interpretativa in merito alle verifiche dell’identità del possessore del Green Pass. Resta da comprendere come il datore di lavoro possa dimostrare di aver espletato il controllo, anche in riferimento all’obbligo di comunicazione al Prefetto in caso di false attestazioni.

Tali esigenze dovranno essere specificatamente descritte nel protocollo di organizzazione demandato dall’ultimo decreto legge al datore di lavoro. Tutto, per come evidenzia l'Adusbef, al fine di evitare un contenzioso sul punto.

L’altro aspetto importante è quello della nomina dei delegati al trattamento dei dati -L’art. 3 del Decreto in parola in linea di continuità con il DPCM del 17 giugno del 2021, sancisce che i soggetti deputati al controllo dovranno essere formalmente delegati. Si tratta della nomina dell’autorizzato o designato al trattamento prevista dal combinato disposto di cui art. 2 quaterdecies del Codice privacy e art. 29 del GDPR. La stessa ha lo scopo di istruire nel dettaglio le operazioni da compiere nell’atto di verifica e dimostrare l’accountability del soggetto tenuto al controllo. La nomina dell’autorizzato si pone, in tale logica, come misura organizzativa di cui all’art. 32 del GDPR e implica che il soggetto autorizzato o designato segua nel dettaglio le istruzioni impartite. Tra queste istruzioni rientra sicuramente le modalità di lettura del QRCode che deve essere predisposta nella modalità meno invasiva possibile per la riservatezza dell’interessato. In tale contesto, sin inserisce l’importanza di una formazione specifica ai soggetti delegati al controllo. Come noto, la formazione degli autorizzati del trattamento rientra nell’insieme di misure organizzative di cui all’art. 32 del GDPR.

Tutti questi aspetti, se non vengono adeguatamente e in modo dettagliata disciplinati, porteranno a catena la violazione di norme di rango costituzionale.

CLICCA QUI