Obbligo Green Pass e Gdpr

Il Governo Italiano attraverso il Decreto Legge del 21 settembre 2021 n. 127, ha posto l’obbligo Green Pass a tutti i lavoratori privati, subordinati, domestici, volontari, autonomi, pubblici e statali.

Quest’obbligo impone al datore di lavoro di controllare che tutti i dipendenti e collaboratori presenti in azienda abbiano il Green Pass, che può essere ottenuto mediante: vaccinazione completa, somministrazione della 1° dose o dopo un tampone molecolare.

Il controllo di un dato così importante però non può essere svolto senza pensare alla privacy del lavoratore e al suo diritto di vedere non divulgate informazioni che riguardano il suo stato di salute, come previsto proprio dal Regolamento Europeo 679/2016 ossia il GDPR.

Dal punto di vista della privacy, infatti, dobbiamo segnalare come la verifica del Green Pass costituisca a tutti gli effetti a un trattamento dei dati personali e dunque risulta necessario effettuare quest’operazione adempiendo a tutti gli obblighi previsti dal GDPR.

Vediamo nel dettaglio: cosa dice il decreto, come assolvere alla normativa sulla privacy in azienda e in che modo si dovrà svolgere il controllo a partire dal 15 ottobre 2021.

Cta Gdpr

Obbligo Green Pass per lavoratori e aziende: cosa dice il decreto?

Dobbiamo partire dal principio ossia da cosa dice esattamente il decreto e cosa chiede ai datori di lavoro e ai dipendenti con l’introduzione dell’obbligo della Certificazione Verde.

Il Decreto 127 21/09/2021 definisce come il green pass sia obbligatorio per accedere all’interno delle strutture lavorative (aziende, fabbriche, uffici ecc…) a partire dal 15 ottobre 2021.

Questa misura è stata presa al fine di garantire una più ampia vaccinazione della popolazione e una maggiore sicurezza sui posti di lavoro.

Il Green Pass, dunque, è uno strumento al fine di controllare adeguatamente chi si è vaccinato o comunque se il soggetto è positivo o negativo al tampone molecolare per il Covid-19.

In tutti i casi, la certificazione verde prevede all’interno un QR Code, che può essere validato tramite un’apposita applicazione.

La certificazione vede al suo interno una serie di dati quali:  

  • Nome e cognome
  • Data di vaccinazione
  • Tipo di vaccino effettuato
  • Dosi di vaccino fatte
  • Risultato del tampone molecolare (nel caso non si sia vaccinati)
  • Durata effettiva della certificazione

Il Decreto, grazie all’uso dell’applicazione preposta, prevede che il Titolare del trattamento dati o il DPO, e chi controlla la presenza o meno del green pass, non possano visualizzare i dati sanitari nella loro interezza, e quindi verificare come il dipendente abbia ottenuto o meno il green pass e la sua durata. Ma deve esclusivamente validare il possesso di questa certificazione e la sua validità.

Anche se non sono effettivamente visibili i dati sanitari, rimane comunque il trattamento di un dato: ossia il possesso o meno del Green Pass. Quindi come previsto dal Regolamento sulla Privacy (GDPR) è necessario effettuare le giuste operazioni al fine di trattare i dati dei lavoratori adeguatamente.

Per quanto riguarda la normativa in essere sull’esibizione del Green Pass prima di entrare in azienda, si ricorda, infine, che il Decreto definisce anche come: i lavoratori che dichiarano di non essere in possesso del Green Pass o risultino privi di questa certificazione, sono considerati assenti ingiustificati. I giorni di assenza ingiustificata sono poi non corrisposti economicamente, dunque l’azienda non deve al lavoratore alcun compenso o emolumento.

Chiarito in poche parole cosa impone il decreto alle aziende è necessario anche verificare come comportarsi per il controllo della certificazione Verde e come procedere alla giusta informativa e trattamento dei dati personali.

GDPR l’informativa sul trattamento dati per la verifica del Green Pass in azienda

L’articolo 5 del GDPR, che sottolinea la necessità di garantire il rispetto del principio di trasparenza e l’articolo 13 del GDPR che invece definisce la necessità di dare sempre ai soggetti interessati la giusta informativa sulla privacy e sul trattamento dati sono i pilastri da prendere in considerazione per la verifica del Green Pass.

Facendo riferimento a questi due articoli, il trattamento dati effettuato tramite verifica del Green Pass può avvenire dunque solo dopo che il lavoratore abbia: letto una corretta informativa che lo informa su come verranno trattati e gestiti i suoi dati personali, compresi quelli legati alla validazione e controllo della certificazione verde.

L’informativa dovrà anche contenere tutte le informazioni relative ai dati di contatto, l’identità del Responsabile del Trattamento Dati e ove presente del DPO. Tutte le finalità segnalate dovranno essere connesse necessariamente alla gestione del contagio della pandemia da Covid-19.

Nel dettaglio, la base giuridica del trattamento si deve individuare nella necessità di dover adempiere a un obbligo imposto dalla legge. Decreto Legge che il Titolare del Trattamento deve obbligatoriamente seguire e segnalare all’interno dell’informativa.

Per la creazione di un’informativa completa bisogna dunque segnalare in modo corretto:

  • Il periodo di conservazione dei dati (solo accertamento di presenza di green pass o meno)
  • Indicazione del diritto dell’interessato, come previsto dall’articolo 15 e dall’articolo 22 del GDPR
  • Il diritto di reclamo a un’autorità di controllo
  • L’impossibilità di consentire l’accesso al dipendente che non mostra o non è in possesso del Green Pass come prescritto da un obbligo di legge
  • Assenza di un processo di decisione automatizzato, compresa altresì la profilazione

Il consiglio è di creare un’informativa che sia il più ampia e definita possibile. Questa dovrà essere esposta in modo leggibile e verificabile nei pressi del luogo del controllo di accesso dei lavoratori e dovrà essere consultabile in forma cartacea e volendo anche online.

Come aggiornare i registri per il Trattamento Dati Personali

Con l’introduzione di questa nuova legge, il Titolare del trattamento dati o DPO (ove presente) deve occuparsi anche dell’aggiornamento del registro dei trattamenti.

Dunque, come previsto dall’articolo 30 del GDPR bisogna annotare il trattamento di verifica del Green Pass sul registro apposito, in quanto questo si tratta dello strumento principale che può dimostrare l’accountability da parte del Titolare.

Questo è l’unico aggiornamento possibile, non si può invece prendere nota per ogni lavoratore del possesso del Green Pass e dell’azione che lo ha portato a ottenerlo.

Infatti, l’articolo 13 comma 5 del Decreto Legge stabilisce come l’attività di verifica della certificazione non comporti in nessun caso la raccolta dei dati dell’intestatario in ogni forma.  

Il Garante della Privacy, infatti, si è pronunciato redarguendo l’abitudine stigmatizzata da parte di alcuni operatori, di semplificare le operazioni d’ingresso tenendo traccia dei nominativi già in possesso del Green Pass e la loro scadenza al fine di evitare il controllo dei soggetti all’ingresso della struttura.

In realtà questo comportamento, come previsto dall’articolo 13 comma 5 del decreto non è consentito. Dunque, il Titolare del Trattamento può effettuare il controllo del Green Pass mediante la giusta normativa ma non può annotare i nomi di coloro che lo hanno, della durata, del tipo di vaccinazione o azione che ha portato a ottenere la certificazione verde.

Infatti, l’unico soggetto che è deputato alla conservazione dei dati sanitari è identificato nel Ministro della Salute che in questo caso risulta essere il titolare del trattamento. Dunque, la conservazione dei dati è determinata dal comma 1 articolo 16 del DPCM e coincide con il periodo di validità delle medesime certificazioni.

Elenco dei lavoratori con Green Pass: la legge e il GDPR dicono NO

Come anticipato, ed esplicitato in modo chiaro all’articolo 13 comma 5 del DPCM del 17 giugno 2021: l’attività di controllo e verifica del green pass Covid-19 non comporta in nessun caso la raccolta dei dati dell’intestatario.

Anche il Garante della Privacy ha ribadito come: la raccolta o conservazione della certificazione verde. Anche solo la sua data di scadenza o il suo invio in modalità elettronica (ad esempio tramite e-mail o WhatsApp) sia una violazione della disciplina sulla protezione dei dati personali.

Non solo la legge impedisce la registrazione dei dati contenuti all’interno del Green Pass dei propri lavoratori, dipendenti, collaboratori o fornitori. Infatti, sono proprio i principi del GDPR a venir violati se si decidesse di procedere con la registrazione del documento della certificazione verde.

Date le informazioni contenute all’interno della certificazione si andrebbe a violare nel dettaglio il principio di liceità, il principio di minimizzazione dei dati, il principio di esattezza.

Dunque, non è possibile in alcun modo per il datore di lavoro andare a creare una lista di nominativi associata ai detentori o meno del Green Pass, neanche ove si garantisse un periodo di conservazione dei dati breve.

Cosa fare per controllare il Green Pass seguendo il regolamento sulla Privacy

Per controllare il Green Pass seguendo attentamente il GDPR possiamo schematizzare quali saranno le azioni da intraprendere al fine di garantire ai dipendenti, fornitori e chiunque entri in azienda il rispetto della normativa sulla privacy.

  1. Predisporre un’informativa, o più di una ove necessario, come previsto dall’articolo 13 del GDPR. Ossia: completa, esposta nei luoghi di lavoro ove fatta la rilevazione, accessibile ai lavoratori e persone in ingresso che la vogliono consultare.
  2. Aggiornamento, come previsto dall’articolo 30 del GDPR, del Registro Trattamento Dati personali, prevenendo il trattamento di visualizzazione dato sia per i lavoratori sia per i fornitori o collaboratori.
  3. Come previsto dall’articolo 29 del GDPR è necessario incaricare e formare i collaboratori che verranno deputati alla verifica della certificazione verde.
  4. Verificare e individuare eventuali responsabili del trattamento ai sensi dell’articolo 28 del GDPR, nel caso in cui ci si appoggi a ditte esterne per il controllo degli accessi
  5. Predisposizione, verifica e aggiornamento della procedura interna del controllo in azienda, come concertato da parte del titolare del trattamento o DPO se presente.

Verifica Green Pass in azienda: la procedura corretta

Come definito dal nuovo Decreto Legislativo 127/2021 la verifica della certificazione verde di chi ha accesso ai luoghi di lavoro dev’essere svolta obbligatoriamente e si deve effettuare nel rispetto della normativa e della protezione della privacy.

Per un controllo adeguato del Green Pass, dunque, è necessario che si proceda: alla verifica esclusivamente tramite l’apposita applicazione Ministeriale VerificaC19.

Questa non mostra i dati sanitari privati del dipendente o di chi fa ingresso in azienda come ad esempio: data e tipologia di vaccino o tampone effettuato, e durata. Con l’apposita applicazione è possibile vedere solo nome e cognome di chi lo mostra e la validità del Green pass.

Ma chi può verificare i Green Pass? La certificazione verde può essere verificata esclusivamente dal datore di lavoro e dalle persone che sono delegate con un atto formale di nomina.

L’atto formale di nomina a chi fa le veci della verifica del Green Pass da parte del datore di lavoro per essere valido deve riportare chi sono le persone delegate, le istruzioni sull’esercizio delle attività atte al controllo delle certificazione.

La verifica del Green Pass non può dunque essere svolte da chi, invece, non è stato autorizzato da parte del datore di lavoro con un atto formale di nomina. Altrimenti ciò comporta una violazione della normativa.

Infine, il datore di lavoro dovrebbe definire entro e non oltre il 15 ottobre le modalità operative che possano garantire al meglio la verifica delle certificazioni verdi al momento dell’ingresso in azienda. I controlli dovranno essere svolti anche per il personale che si reca in visita presso sedi di aziende clienti.

Solo seguendo la procedura prevista sarà possibile effettuare la verifica delle certificazioni Covid-19 nel pieno rispetto della privacy e delle norme in materia di protezione dei dati personali.

Incaricati alla verifica: istruzioni nel rispetto della legge e del GDPR

Gli incaricati alla verifica del Green Pass, ricadono sotto l’egida del Decreto Legislativo 81/09 (Sicurezza sul luogo di lavoro).

 Le istruzioni che dovranno essere date a coloro che sono incaricati della verifica del Green Pass, dovranno dunque, rispecchiare le procedure che verranno concordate con il RSPP, inoltre, bisognerà effettuare la nomina, onde non fatto, anche come incaricati per il GDPR, al fine di fornirgli i giusti strumenti per il trattamento dati degli ingressi in azienda.

In relazione ai dati dei dipendenti, i responsabili dei controlli, tratteranno dati quali:

·     Nome e Cognome

·     Assenza o presenza

Per quanto riguarda invece l’ingresso dei visitatori, gli addetti nominati avranno accesso e gestiranno l’archivio delle visite, senza alcuna informazione aggiuntiva a quelle che venivano ottenute in precedenza.

Per precisione, inoltre, si consiglia di procedere all’aggiornamento dell’informativa per i visitatori e i dipendenti, aggiungendo anche la nuova gestione degli accessi.

Quali sono le sanzioni per chi non rispetta il DPCM e il trattamento dati personali

Il mancato rispetto di tale prescrizione da parte del datore di lavoro prevede una sanzione amministrativa che va da un minimo di 400 euro fino a 1000 euro, in caso di recidiva la sanzione viene irrogata dal Prefetto ed è raddoppiata.

I lavoratori che sono trovati privi di Green Pass possono vedersi fare una multa che va dai 600 ai 1500 euro con un raddoppio della somma in caso di recidiva, oltre alle relative sanzioni disciplinari previste dall’azienda, ente pubblico ecc…

Per quanto riguarda invece il mancato trattamento e la giusta informativa sui dati personali le multe è possibile andare incontro a una sanzione che va da un minimo di 6 mila euro e che può raggiungere i 36 mila euro.

Come possiamo denotare le sanzioni per il mancato rispetto della privacy di lavoratori, fornitori, collaboratori aziendali che accedono in azienda ecc…sono molto pesanti, per questo motivo è bene sempre operare nel rispetto della normativa e delle sue disposizioni.

Cta Gdpr