Il Parlamento ha convertito in legge il decreto n. 127 che introduce l’obbligo della verifica del green pass in tutti gli ambienti di lavoro (in un precedente articolo sono state fornite le indicazioni necessarie per effettuare correttamente le verifiche), ma nel farlo sono state introdotte, com’è normale che sia, delle modifiche. Una di esse è particolarmente significativa, poiché rappresenta, nelle intenzioni degli autori, una semplificazione per tutte le aziende e le pubbliche amministrazioni: prevede infatti che il lavoratore possa volontariamente fornire copia della Certificazione Verde al datore di lavoro, venendo così esentato dalla verifica fino alla data di validità del certificato stesso.

Tuttavia, tra i passaggi al Senato (dov’è stato presentato l’emendamento) e alla Camera, il Garante ha inviato al Governo e al Parlamento una segnalazione volta a ribadire le criticità della norma in questione rispetto alle norme comunitarie (cioè i Regolamenti sulla protezione di dati personali e di istituzione del Green Pass).

Dal punto di vista giuridico, la segnalazione del Garante non è vincolante ed il Parlamento ha esercitato il suo sovrano potere legislativo; ma è anche vero che i Regolamenti UE hanno priorità rispetto alle norme nazionali, secondo la c.d. “gerarchia delle fonti”. In ogni caso, nel prosieguo dell’articolo si cercherà di analizzare le conseguenze della semplificazione rispetto alla gestione dei dati personali.

Cosa non si deve fare

La norma introdotta dichiara esplicitamente che la consegna della copia della certificazione verde al datore di lavoro avviene per scelta ed iniziativa del lavoratore (il che corrisponde, dal punto di vista formale, alla base giuridica del consenso), questo significa che il datore di lavoro non può in nessun modo richiedere le copie né fare pressioni in proposito.

Le copie contengono dati appartenenti alle categorie particolari, il che vuol dire che non possono essere in nessun modo diffusi, divulgati e soprattutto utilizzati per altri scopi che non siano quello previsto dalla norma, cioè l’esenzione dal controllo giornaliero.

Cosa si deve fare

Al momento della consegna, è certamente indispensabile controllare l’intestazione del certificato (cioè che i dati anagrafici corrispondano) e la sua validità (con l’app VerificaC19 o uno degli altri metodi equivalenti). È evidente che al lavoratore rimane comunque la responsabilità di informare il datore di lavoro in caso di sopraggiunta positività al coronavirus.

L’avere in mano le copie delle certificazioni corrisponde, dal punto di vista del datore di lavoro, alla creazione di un archivio di esse. Tale archivio deve essere protetto da sguardi indiscreti o accessi generalizzati, il che vuol dire:

  • se le copie sono cartacee, vanno conservate sotto chiave, dove l’accesso sia riservato a pochissime persone (si suppone nell’ambito dell’ufficio del personale), e che siano distrutte attraverso una macchina distruggi-documenti;
  • se le copie sono digitali, vanno conservate sotto crittografia, preferibilmente separatamente da ogni altro dato, e cancellati in modo sicuro, cioè con un programma che effettui la sovrascrittura.

La conoscenza della data di fine validità delle certificazione va opportunamente gestita, poiché essa corrisponde alla conoscenza della scelta vaccinale o dell’avvenuta guarigione dal contagio: tale conoscenza andrebbe limitata solo al personale strettamente indispensabile, e tra esso non si dovrebbe includere anche i delegati ad effettuare le verifiche, che vanno informati esclusivamente delle esenzioni applicabili giorno per giorno. Tutto ciò deve riflettersi in una procedura interna che sia il più dettagliata possibile.

Dal punto di vista formale, sono inevitabili l’aggiornamento del Registro dei Trattamenti (incluse l’analisi dei rischi e le misure di sicurezza), dell’informativa riguardante il controllo del green pass, delle nomine degli addetti coinvolti (o in alternativa del responsabile del trattamento), mentre si potrebbe rendere necessaria la stesura di una valutazione di impatto dedicata.

Conclusioni

La raccolta delle copie dei green pass, come detto precedentemente, presenta delle criticità giuridiche non facilmente decifrabili, a fronte di una semplificazione operativa che va bilanciata con la complicazione tecnica e burocratica. Non è nemmeno chiaro se il datore di lavoro sia obbligato ad accettare la consegna (poiché la norma recita “i lavoratori possono richiedere di consegnare”, invece di un inequivocabile “possono consegnare”); in questo senso, fino a interpretazione certa, la scelta ricade sotto la responsabilità (principio di accountability) dell’ente, la cui corretta applicazione deve essere verificata con l’aiuto del DPO (nel caso sia stato nominato, e di conseguenza il coinvolgimento è obbligatorio) o di un consulente/esperto (il cui coinvolgimento non è obbligatorio, ma quanto mai opportuno).

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.