Consegna Green Pass al datore di lavoro, cosa dice il Garante della Privacy
Il D.L. n. 127/2021 ha introdotto in capo ai lavoratori dei settori pubblico e privato l’obbligo di dotarsi del certificato verde (Green Pass) dal 15 ottobre fino al 31 dicembre 2021 (salvo proroghe), obbligo esteso anche a chi compie attività formative e di volontariato; tutti tali soggetti sono tenuti a presentare dunque il green pass al datore di lavoro prima di entrare nei luoghi di lavoro.
Lo stesso decreto impone al datore di lavoro di mettere in atto le procedure e le operazioni necessarie ai fini del controllo del Green Pass; tra gli obblighi posti in carico al datore di lavoro rientra anche quello di designare i soggetti incaricati ad effettuare le verifiche.
Nel quadro delle operazioni di verifica del Green Pass imposte dal decreto n. 127, si sono aperte importanti questioni legate alla riservatezza, con particolare riferimento alle modalità attraverso le quali il datore di lavoro nell’ambito delle verifiche da effettuare, debba rispettare la disciplina in materia di trattamento dei dati personali.
Tali questioni che pareva fossero state risolte, si stanno ripresentando in maniera più significativa a causa degli emendamenti al Decreto n. 127/2021 che sono stati apportati nell’iter di conversione di legge del decreto dal Senato e che dovrebbero modificare la norma prevedendo regole più semplici per il controllo del Green Pass.
Tra gli emendamenti approvati anche dalla Camera, uno in particolare prevede la possibilità per il lavoratore di consegnare spontaneamente il green pass al datore di lavoro un’unica volta per tutta la durata della validità del certificato; in questo modo, il datore di lavoro verrebbe esentato dall’effettuare quotidianamente il controllo dei Green Pass.
Qualora tale emendamento venisse definitivamente approvato, allora nell’informativa privacy connessa al trattamento dei dati per le finalità di controllo del Green Pass dovrebbe essere aggiunta la consegna dello stesso al datore di lavoro e si renderebbe necessario individuare i soggetti autorizzati [se dipendenti] ad effettuare tale tipo di trattamento dei dati personali istruendoli adeguatamente nel rispetto del GDPR e del D.Lgs. n. 196/2003 art. 2 – quaterdecies; nel caso in cui tale incarico sia affidato a soggetti esterni all’azienda, allora sarà doveroso provvedere a stipulare un contratto ex art. 28 con cui tali soggetti siano nominati Responsabili del trattamento.
Anche il Registro dei trattamenti dovrà essere aggiornato aggiungendo la conservazione del Green Pass.
Il Garante della privacy, tuttavia, in una lettera inviata al Parlamento, ha espresso parere negativo rispetto all’emendamento suddescritto, in quanto, secondo l’Autorità tale modalità di effettuazione delle verifiche del Green Pass mediante consegna una tantum della certificazione verde al datore di lavoro, priva di fatto la funzione stessa del certificato verde.
Il Green Pass scrive, infatti, il Garante, è efficace a fini epidemiologici nella misura in cui il certificato sia soggetto a verifiche periodiche sulla sua persistente validità, pertanto l’assenza di verifiche durante il periodo di validità del certificato non consentirebbe, di contro, di rilevare l’eventuale condizione di positività sopravvenuta in capo all’intestatario del certificato, in contrasto, peraltro, con il principio di esattezza cui deve informarsi il trattamento dei dati personali (art. 5, par.1, lett. d) Reg. Ue 2016/679). La dinamicità e potenziale variabilità della condizione sanitaria del soggetto è, dunque, difficilmente “cristallizzabile” in una presunzione di validità della certificazione, insensibile a ogni eventuale circostanza sopravvenuta ed esige, di contro, un costante aggiornamento con corrispondenti verifiche.
Già nel suo precedente provvedimento dell’11 ottobre, il Garante aveva sottolineato che il controllo dei green pass non deve condurre alla raccolta di dati dell'interessato, salvo quelli strettamente necessari a consentire l’applicazione delle misure sanzionatorie, se necessarie. L’Autorità, dunque, aveva escluso categoricamente la possibilità per i datori di lavoro di trattenere copie della certificazione verde mediante stampa, verbalizzazioni o fotografie di sorta del Green Pass.
Su tale questione il Garante ritorna nuovamente in previsione dell’approvazione dell’emendamento in esame rispetto alla conservazione (di copia) delle certificazioni verdi, precisando che tale conservazione contrasta con il Considerando 48 del Regolamento (UE) 2021/953, secondo cui “Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l'accesso durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente regolamento”.
E difatti, tale divieto è funzionale, essenzialmente, a garantire la riservatezza non solo dei dati sulla condizione clinica del soggetto (in relazione alle certificazioni da avvenuta guarigione), ma anche delle scelte da ciascuno compiute in ordine alla profilassi vaccinale.
Dal dato relativo alla scadenza della certificazione può, infatti, agevolmente evincersi anche il presupposto di rilascio della stessa, ciascuno dei quali (tampone, guarigione, vaccinazione) determina un diverso periodo di validità del green pass. In tal modo, dunque, una scelta quale quella sulla vaccinazione -così fortemente legata alle intime convinzioni della persona- verrebbe privata delle necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all’autodeterminazione individuale (in ordine all’esigenza di evitare possibili discriminazioni in ragione della scelta vaccinale, cfr. anche risoluzione 2361 (2021) del Consiglio d’Europa).
Tra l’altro, come puntualizzato dal Garante, occorre considerare il contesto lavorativo in cui ci si trova, laddove in virtù della disciplina giuslavoristica, dunque, non solo di quella connessa al trattamento dei dati personali, il datore di lavoro non dovrebbe venire a conoscenza delle condizioni soggettive peculiari del lavoratore come la situazione clinica e convinzioni personali, pare infatti poco compatibile con le garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003), obbligo che verrebbe meno con la consegna della certificazione verde al datore di lavoro.
Il Garante fa notare, peraltro, che tale modalità di conservazione dei certificati verdi, oltre ad essere contrario al Considerando 48 del Regolamento (UE) 2021/953, renderebbe il trattamento dei relativi dati non del tutto proporzionato alle finalità perseguite. Dal dato relativo alla scadenza della certificazione può, infatti, agevolmente evincersi anche il presupposto di rilascio della stessa, ciascuno dei quali (tampone, guarigione, vaccinazione) determina un diverso periodo di validità del green pass. In tal modo, dunque, una scelta quale quella sulla vaccinazione - così fortemente legata alle intime convinzioni della persona - verrebbe privata delle necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all'autodeterminazione individuale.
E nemmeno può farsi leva sul consenso del lavoratore per legittimare la conservazione del green pass. Rammenta, infatti, l’Autorità che dal punto di vista della protezione dei dati personali (e, dunque, ai fini della legittimità del relativo trattamento), il consenso in ambito lavorativo non può ritenersi un idoneo presupposto di liceità, in ragione dell’asimmetria che caratterizza il rapporto lavorativo stesso (C 43 Reg. UE 2016/679).
Senza contare che la conservazione dei certificati chiamerebbe il datore di lavoro ad adottare misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, con un rilevante allargamento degli oneri (anche per la finanza pubblica, relativamente al settore pubblico).
Vedremo se e in quale misura le osservazioni del Garante per la protezione dei dati personali verranno accolte dal Governo e dal Parlamento.