Obbligo Green Pass e Gdpr

Il Governo Italiano attraverso il Decreto Legge del 21 settembre 2021 n. 127, ha posto lโ€™obbligo Green Pass a tutti i lavoratori privati, subordinati, domestici, volontari, autonomi, pubblici e statali.

Questโ€™obbligo impone al datore di lavoro di controllare che tutti i dipendenti e collaboratori presenti in azienda abbiano il Green Pass, che puรฒ essere ottenuto mediante: vaccinazione completa, somministrazione della 1ยฐ dose o dopo un tampone molecolare.

Il controllo di un dato cosรฌ importante perรฒ non puรฒ essere svolto senza pensare alla privacy del lavoratore e al suo diritto di vedere non divulgate informazioni che riguardano il suo stato di salute, come previsto proprio dal Regolamento Europeo 679/2016 ossia il GDPR.

Dal punto di vista della privacy, infatti, dobbiamo segnalare come la verifica del Green Pass costituisca a tutti gli effetti a un trattamento dei dati personali e dunque risulta necessario effettuare questโ€™operazione adempiendo a tutti gli obblighi previsti dal GDPR.

Vediamo nel dettaglio: cosa dice il decreto, come assolvere alla normativa sulla privacy in azienda e in che modo si dovrร  svolgere il controllo a partire dal 15 ottobre 2021.

Cta Gdpr

Obbligo Green Pass per lavoratori e aziende: cosa dice il decreto?

Dobbiamo partire dal principio ossia da cosa dice esattamente il decreto e cosa chiede ai datori di lavoro e ai dipendenti con lโ€™introduzione dellโ€™obbligo della Certificazione Verde.

Il Decreto 127 21/09/2021 definisce come il green pass sia obbligatorio per accedere allโ€™interno delle strutture lavorative (aziende, fabbriche, uffici eccโ€ฆ) a partire dal 15 ottobre 2021.

Questa misura รจ stata presa al fine di garantire una piรน ampia vaccinazione della popolazione e una maggiore sicurezza sui posti di lavoro.

Il Green Pass, dunque, รจ uno strumento al fine di controllare adeguatamente chi si รจ vaccinato o comunque se il soggetto รจ positivo o negativo al tampone molecolare per il Covid-19.

In tutti i casi, la certificazione verde prevede allโ€™interno un QR Code, che puรฒ essere validato tramite unโ€™apposita applicazione.

La certificazione vede al suo interno una serie di dati quali:  

  • Nome e cognome
  • Data di vaccinazione
  • Tipo di vaccino effettuato
  • Dosi di vaccino fatte
  • Risultato del tampone molecolare (nel caso non si sia vaccinati)
  • Durata effettiva della certificazione

Il Decreto, grazie allโ€™uso dellโ€™applicazione preposta, prevede che il Titolare del trattamento dati o il DPO, e chi controlla la presenza o meno del green pass, non possano visualizzare i dati sanitari nella loro interezza, e quindi verificare come il dipendente abbia ottenuto o meno il green pass e la sua durata. Ma deve esclusivamente validare il possesso di questa certificazione e la sua validitร .

Anche se non sono effettivamente visibili i dati sanitari, rimane comunque il trattamento di un dato: ossia il possesso o meno del Green Pass. Quindi come previsto dal Regolamento sulla Privacy (GDPR) รจ necessario effettuare le giuste operazioni al fine di trattare i dati dei lavoratori adeguatamente.

Per quanto riguarda la normativa in essere sullโ€™esibizione del Green Pass prima di entrare in azienda, si ricorda, infine, che il Decreto definisce anche come: i lavoratori che dichiarano di non essere in possesso del Green Pass o risultino privi di questa certificazione, sono considerati assenti ingiustificati. I giorni di assenza ingiustificata sono poi non corrisposti economicamente, dunque lโ€™azienda non deve al lavoratore alcun compenso o emolumento.

Chiarito in poche parole cosa impone il decreto alle aziende รจ necessario anche verificare come comportarsi per il controllo della certificazione Verde e come procedere alla giusta informativa e trattamento dei dati personali.

GDPR lโ€™informativa sul trattamento dati per la verifica del Green Pass in azienda

Lโ€™articolo 5 del GDPR, che sottolinea la necessitร  di garantire il rispetto del principio di trasparenza e lโ€™articolo 13 del GDPR che invece definisce la necessitร  di dare sempre ai soggetti interessati la giusta informativa sulla privacy e sul trattamento dati sono i pilastri da prendere in considerazione per la verifica del Green Pass.

Facendo riferimento a questi due articoli, il trattamento dati effettuato tramite verifica del Green Pass puรฒ avvenire dunque solo dopo che il lavoratore abbia: letto una corretta informativa che lo informa su come verranno trattati e gestiti i suoi dati personali, compresi quelli legati alla validazione e controllo della certificazione verde.

Lโ€™informativa dovrร  anche contenere tutte le informazioni relative ai dati di contatto, lโ€™identitร  del Responsabile del Trattamento Dati e ove presente del DPO. Tutte le finalitร  segnalate dovranno essere connesse necessariamente alla gestione del contagio della pandemia da Covid-19.

Nel dettaglio, la base giuridica del trattamento si deve individuare nella necessitร  di dover adempiere a un obbligo imposto dalla legge. Decreto Legge che il Titolare del Trattamento deve obbligatoriamente seguire e segnalare allโ€™interno dellโ€™informativa.

Per la creazione di unโ€™informativa completa bisogna dunque segnalare in modo corretto:

  • Il periodo di conservazione dei dati (solo accertamento di presenza di green pass o meno)
  • Indicazione del diritto dellโ€™interessato, come previsto dallโ€™articolo 15 e dallโ€™articolo 22 del GDPR
  • Il diritto di reclamo a unโ€™autoritร  di controllo
  • Lโ€™impossibilitร  di consentire lโ€™accesso al dipendente che non mostra o non รจ in possesso del Green Pass come prescritto da un obbligo di legge
  • Assenza di un processo di decisione automatizzato, compresa altresรฌ la profilazione

Il consiglio รจ di creare unโ€™informativa che sia il piรน ampia e definita possibile. Questa dovrร  essere esposta in modo leggibile e verificabile nei pressi del luogo del controllo di accesso dei lavoratori e dovrร  essere consultabile in forma cartacea e volendo anche online.

Come aggiornare i registri per il Trattamento Dati Personali

Con lโ€™introduzione di questa nuova legge, il Titolare del trattamento dati o DPO (ove presente) deve occuparsi anche dellโ€™aggiornamento del registro dei trattamenti.

Dunque, come previsto dallโ€™articolo 30 del GDPR bisogna annotare il trattamento di verifica del Green Pass sul registro apposito, in quanto questo si tratta dello strumento principale che puรฒ dimostrare lโ€™accountability da parte del Titolare.

Questo รจ lโ€™unico aggiornamento possibile, non si puรฒ invece prendere nota per ogni lavoratore del possesso del Green Pass e dellโ€™azione che lo ha portato a ottenerlo.

Infatti, lโ€™articolo 13 comma 5 del Decreto Legge stabilisce come lโ€™attivitร  di verifica della certificazione non comporti in nessun caso la raccolta dei dati dellโ€™intestatario in ogni forma.  

Il Garante della Privacy, infatti, si รจ pronunciato redarguendo lโ€™abitudine stigmatizzata da parte di alcuni operatori, di semplificare le operazioni dโ€™ingresso tenendo traccia dei nominativi giร  in possesso del Green Pass e la loro scadenza al fine di evitare il controllo dei soggetti allโ€™ingresso della struttura.

In realtร  questo comportamento, come previsto dallโ€™articolo 13 comma 5 del decreto non รจ consentito. Dunque, il Titolare del Trattamento puรฒ effettuare il controllo del Green Pass mediante la giusta normativa ma non puรฒ annotare i nomi di coloro che lo hanno, della durata, del tipo di vaccinazione o azione che ha portato a ottenere la certificazione verde.

Infatti, lโ€™unico soggetto che รจ deputato alla conservazione dei dati sanitari รจ identificato nel Ministro della Salute che in questo caso risulta essere il titolare del trattamento. Dunque, la conservazione dei dati รจ determinata dal comma 1 articolo 16 del DPCM e coincide con il periodo di validitร  delle medesime certificazioni.

Elenco dei lavoratori con Green Pass: la legge e il GDPR dicono NO

Come anticipato, ed esplicitato in modo chiaro allโ€™articolo 13 comma 5 del DPCM del 17 giugno 2021: lโ€™attivitร  di controllo e verifica del green pass Covid-19 non comporta in nessun caso la raccolta dei dati dellโ€™intestatario.

Anche il Garante della Privacy ha ribadito come: la raccolta o conservazione della certificazione verde. Anche solo la sua data di scadenza o il suo invio in modalitร  elettronica (ad esempio tramite e-mail o WhatsApp) sia una violazione della disciplina sulla protezione dei dati personali.

Non solo la legge impedisce la registrazione dei dati contenuti allโ€™interno del Green Pass dei propri lavoratori, dipendenti, collaboratori o fornitori. Infatti, sono proprio i principi del GDPR a venir violati se si decidesse di procedere con la registrazione del documento della certificazione verde.

Date le informazioni contenute allโ€™interno della certificazione si andrebbe a violare nel dettaglio il principio di liceitร , il principio di minimizzazione dei dati, il principio di esattezza.

Dunque, non รจ possibile in alcun modo per il datore di lavoro andare a creare una lista di nominativi associata ai detentori o meno del Green Pass, neanche ove si garantisse un periodo di conservazione dei dati breve.

Cosa fare per controllare il Green Pass seguendo il regolamento sulla Privacy

Per controllare il Green Pass seguendo attentamente il GDPR possiamo schematizzare quali saranno le azioni da intraprendere al fine di garantire ai dipendenti, fornitori e chiunque entri in azienda il rispetto della normativa sulla privacy.

  1. Predisporre unโ€™informativa, o piรน di una ove necessario, come previsto dallโ€™articolo 13 del GDPR. Ossia: completa, esposta nei luoghi di lavoro ove fatta la rilevazione, accessibile ai lavoratori e persone in ingresso che la vogliono consultare.
  2. Aggiornamento, come previsto dallโ€™articolo 30 del GDPR, del Registro Trattamento Dati personali, prevenendo il trattamento di visualizzazione dato sia per i lavoratori sia per i fornitori o collaboratori.
  3. Come previsto dallโ€™articolo 29 del GDPR รจ necessario incaricare e formare i collaboratori che verranno deputati alla verifica della certificazione verde.
  4. Verificare e individuare eventuali responsabili del trattamento ai sensi dellโ€™articolo 28 del GDPR, nel caso in cui ci si appoggi a ditte esterne per il controllo degli accessi
  5. Predisposizione, verifica e aggiornamento della procedura interna del controllo in azienda, come concertato da parte del titolare del trattamento o DPO se presente.

Verifica Green Pass in azienda: la procedura corretta

Come definito dal nuovo Decreto Legislativo 127/2021 la verifica della certificazione verde di chi ha accesso ai luoghi di lavoro devโ€™essere svolta obbligatoriamente e si deve effettuare nel rispetto della normativa e della protezione della privacy.

Per un controllo adeguato del Green Pass, dunque, รจ necessario che si proceda: alla verifica esclusivamente tramite lโ€™apposita applicazione Ministeriale VerificaC19.

Questa non mostra i dati sanitari privati del dipendente o di chi fa ingresso in azienda come ad esempio: data e tipologia di vaccino o tampone effettuato, e durata. Con lโ€™apposita applicazione รจ possibile vedere solo nome e cognome di chi lo mostra e la validitร  del Green pass.

Ma chi puรฒ verificare i Green Pass? La certificazione verde puรฒ essere verificata esclusivamente dal datore di lavoro e dalle persone che sono delegate con un atto formale di nomina.

Lโ€™atto formale di nomina a chi fa le veci della verifica del Green Pass da parte del datore di lavoro per essere valido deve riportare chi sono le persone delegate, le istruzioni sullโ€™esercizio delle attivitร  atte al controllo delle certificazione.

La verifica del Green Pass non puรฒ dunque essere svolte da chi, invece, non รจ stato autorizzato da parte del datore di lavoro con un atto formale di nomina. Altrimenti ciรฒ comporta una violazione della normativa.

Infine, il datore di lavoro dovrebbe definire entro e non oltre il 15 ottobre le modalitร  operative che possano garantire al meglio la verifica delle certificazioni verdi al momento dellโ€™ingresso in azienda. I controlli dovranno essere svolti anche per il personale che si reca in visita presso sedi di aziende clienti.

Solo seguendo la procedura prevista sarร  possibile effettuare la verifica delle certificazioni Covid-19 nel pieno rispetto della privacy e delle norme in materia di protezione dei dati personali.

Incaricati alla verifica: istruzioni nel rispetto della legge e del GDPR

Gli incaricati alla verifica del Green Pass, ricadono sotto lโ€™egida del Decreto Legislativo 81/09 (Sicurezza sul luogo di lavoro).

 Le istruzioni che dovranno essere date a coloro che sono incaricati della verifica del Green Pass, dovranno dunque, rispecchiare le procedure che verranno concordate con il RSPP, inoltre, bisognerร  effettuare la nomina, onde non fatto, anche come incaricati per il GDPR, al fine di fornirgli i giusti strumenti per il trattamento dati degli ingressi in azienda.

In relazione ai dati dei dipendenti, i responsabili dei controlli, tratteranno dati quali:

ยท     Nome e Cognome

ยท     Assenza o presenza

Per quanto riguarda invece lโ€™ingresso dei visitatori, gli addetti nominati avranno accesso e gestiranno lโ€™archivio delle visite, senza alcuna informazione aggiuntiva a quelle che venivano ottenute in precedenza.

Per precisione, inoltre, si consiglia di procedere allโ€™aggiornamento dellโ€™informativa per i visitatori e i dipendenti, aggiungendo anche la nuova gestione degli accessi.

Quali sono le sanzioni per chi non rispetta il DPCM e il trattamento dati personali

Il mancato rispetto di tale prescrizione da parte del datore di lavoro prevede una sanzione amministrativa che va da un minimo di 400 euro fino a 1000 euro, in caso di recidiva la sanzione viene irrogata dal Prefetto ed รจ raddoppiata.

I lavoratori che sono trovati privi di Green Pass possono vedersi fare una multa che va dai 600 ai 1500 euro con un raddoppio della somma in caso di recidiva, oltre alle relative sanzioni disciplinari previste dallโ€™azienda, ente pubblico eccโ€ฆ

Per quanto riguarda invece il mancato trattamento e la giusta informativa sui dati personali le multe รจ possibile andare incontro a una sanzione che va da un minimo di 6 mila euro e che puรฒ raggiungere i 36 mila euro.

Come possiamo denotare le sanzioni per il mancato rispetto della privacy di lavoratori, fornitori, collaboratori aziendali che accedono in azienda eccโ€ฆsono molto pesanti, per questo motivo รจ bene sempre operare nel rispetto della normativa e delle sue disposizioni.

Cta Gdpr

Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241
  • Consulente Tecnico d’Ufficio (CTU)

Contattami
30 minuti gratuiti!
Contattami
30 minuti gratuiti!

Oppure chiamami gratuitamente:

Numero Verde Max Valle