Sino al 31 marzo 2022, tutti i datori di lavoro sono obbligati a predisporre specifiche procedure per verificare il possesso del green pass nel rispetto della normativa sulla tutela della privacy.
Infatti, ai sensi del d.l. n. 127/2021, convertito in legge n. 165/2021,dal 15 ottobre 2021, tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa, di formazione o di volontariato, nel mondo del lavoro pubblico o privato, sono obbligati ad esibire la certificazione verde (green pass) per accedere ai luoghi di lavoro.
Al fine di verificare il rispetto della normativa, i datori di lavoro hanno il dovere di predisporre apposite procedure da osservare per lo svolgimento dei necessari controlli sul possesso del green pass, i quali dovranno essere effettuati mediante verifiche in sede di ingresso e/o a campione.
Tale obbligo, inizialmente previsto fino al 31 dicembre 2021, è stato posticipato al 31 marzo 2022 dal d.l. 221/2021, il quale prevede la proroga dello stato di emergenza nazionale e delle misure per il contenimento dell’epidemia da Covid-19.
Appare necessario sottolineare come la verifica del green pass comporti necessariamente il trattamento dei dati personali, talvolta sensibili, dei soggetti interessati.
In particolare, i dati personali trattati sono le generalità del lavoratore, la validità, l’integrità e l’autenticità del green pass, ovvero le informazioni in merito allo stato di soggetto esente da vaccinazione anti Covid -19, riportate nella certificazione di esenzione dalla vaccinazione stessa.
La finalità del trattamento dei dati personali consiste nella prevenzione del contagio da Covid-19, in base all’art. 9 septies del d.l. n. 52/2021, nonché nel controllo dell’autenticità, della validità e dell’integrità della certificazione verde Covid-19, compresa quella di esenzione dalla vaccinazione anti Covid-19. Inoltre, ai sensi dell’art. 6, par. 1, lett. c) del Regolamento 2016/679/UE, la base giuridica del trattamento è data dalla necessità di adempiere ad un obbligo di legge che l’ordinamento pone a carico del titolare del trattamento.
Il datore di lavoro, nell’espletamento delle attività di verifica del green pass, è, perciò, obbligato a prevedere specifiche misure di compliance, al fine di garantire l’osservanza dei principi in materia di protezione dei dati personali dei soggetti interessati.
In primo luogo, il datore di lavoro dovrà predisporre l’informativa sul trattamento dei dati, ai sensi dell’art. 13 del Regolamento 2016/679/UE. L’informativa dovrà essere preventivamente comunicata agli interessati, ovvero esposta in sede di accesso ai luoghi di lavoro, affinché l’interessato possa prenderne visione.
Inoltre, il datore di lavoro dovrà provvedere alla nomina di soggetti deputati alle verifiche dei green pass, i quali assumeranno la veste di incaricati al trattamento dei dati personali connessi all’esercizio del compito assegnato, in base all’art. 2 quaterdecies del d.lgs. n. 196/2003 e all’art. 29 del GDPR. Qualora la verifica del green pass sia effettuata da un soggetto esterno (si pensi all’ipotesi in cui il controllo sia effettuato da una società esterna cui sia appaltato il servizio di custodia e di vigilanza), quest’ultimo dovrà assumere il ruolo di responsabile esterno del trattamento dei dati personali, ai sensi dell’art. 28 del GDPR.
Il datore di lavoro dovrà altresì provvedere all’aggiornamento del registro dei trattamenti dei dati personali, ai sensi dell’art. 30 del GDPR.
Particolarmente problematico sul piano della tutela dei dati personali degli interessati è stato un emendamento al suddetto d.l. n. 127/2021, approvato in sede di conversione, il quale prevede la possibilità, per il dipendente, di consegnare una copia del green pass al proprio datore di lavoro, andando, così, esente dai successivi controlli. Tale previsione sembrava, in particolare, porsi in contrasto con le indicazioni precedentemente espresse dal Garante Privacy. Quest’ultimo, nello specifico, con Provvedimento n. 363 dell’11 ottobre 2021, aveva affermato che il controllo dei green pass non avrebbe dovuto comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari all’applicazione delle conseguenti misure. Inoltre, il Garante, nel medesimo provvedimento, aveva dichiarato l’illiceità della pratica consistente nel conservare il QR code delle certificazioni verdi, nell’estrarre lo stesso in qualsiasi altro modo, ovvero nel trattenere copie cartacee dei green pass, screen-shot o fotografie dei medesimi.
In relazione alla problematica suesposta, il Garante, con Provvedimento n. 430 del 13 dicembre 2021, ha affermato la liceità della consegna al datore di lavoro della copia del proprio green pass, purché ricorrano determinate condizioni. In primo luogo, è necessario, a detta del Garante, che il datore di lavoro proceda comunque, a tutela della salute e della sicurezza dei luoghi di lavoro, ad effettuare il regolare controllo sulla perdurante validità della certificazione del lavoratore effettivamente in servizio con le modalità previste dalla disciplina di settore (mediante lettura del QR code della copia in possesso del datore di lavoro attraverso l’app VerificaC19, ovvero mediante le previste modalità automatizzate). In secondo luogo, osserva l’Autorità, il trattamento dei dati personali da parte del datore di lavoro, in caso di acquisizione e conservazione della certificazione verde, deve in ogni caso essere limitato alla sola finalità di verifica della perdurante validità della certificazione, nel rispetto del principio di limitazione della finalità del trattamento (art. 5, par. 1, lett. b) del Regolamento GDPR). Il trattamento dovrebbe, infine, essere effettuato mediante l’adozione di misure tecniche ed organizzative idonee ad assicurare l’integrità e la riservatezza dei dati, tenuto conto dei rischi e delle possibili conseguenze per gli interessati nel contesto lavorativo e professionale (art. 5, par. 1, lett. f) del Regolamento GDPR).
Volendo ora assumere una prospettiva più ampia, è possibile affermare che il tema suesposto rappresenta soltanto una delle molteplici problematiche che la procedura green pass ora prevista per i datori di lavoro, pubblici e privati, pone con riguardo ai profili di tutela della privacy. Occorre, pertanto, effettuare un duplice ordine di valutazioni: è necessario verificare, da un lato, il rispetto, da parte dei datori di lavoro, delle normative attualmente in vigore in materia di tutela dei dati personali nell’ambito della procedura suddetta e, dall’altro, verificare la conformità delle stesse misure imposte dal legislatore rispetto agli standard di protezione dei dati personali imposti a livello costituzionale ed eurounitario.
Sul primo versante, le conseguenze previste per i datori di lavoro, in caso di violazione della normativa sulla protezione dei dati personali nelle verifiche del green pass, sono molto elevate, alla luce di quanto previsto dal Regolamento GDPR, integrato dal Codice della Privacy (d.lgs. 196/2003), come aggiornato e modificato dal d.lgs. n. 101/2018.
In particolare, l’art. 83 del GDPR individua due livelli di sanzioni amministrative pecuniarie: nel primo rientrano le violazioni “di minore gravità”, per le quali sono previste le sanzioni pecuniarie di importo fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente, se superiore. Il secondo livello, invece, riguarda le violazioni più significative, punite mediante sanzioni pecuniarie il cui valore ammonta fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente, se superiore.
L’organo competente ad irrogare le suddette sanzioni è il Garante per la protezione dei dati personali. Queste ultime dovranno essere sempre effettive, proporzionate e dissuasive (art. 83 del GDPR), tenuto conto delle dimensioni dell’azienda, della natura, della gravità, della durata della violazione, del suo carattere doloso o colposo, delle categorie di dati personali interessate dalla violazione e via discorrendo.
In alternativa o in aggiunta alle sanzioni di cui si è detto, il Garante potrà comminarne altre (art. 58, par. 2 del GDPR): si tratta di avvertimenti, ammonimenti ed ingiunzioni.
Inoltre, le violazioni della privacy possono anche determinare un danno a carico dell’interessato i cui dati siano stati illecitamente trattati. Quest’ultimo potrà perciò esercitare un’azione risarcitoria nei confronti del titolare e/o del responsabile del trattamento, ai sensi dell’art. 82 GDPR, purché il danno non sia in re ipsa, ma sia provata la gravità della lesione e la serietà del danno (Cass. civ., Sez. I, ord., 13.12.2021, n. 39763; Cass. civ., Sez. I, Sent., 25.11.2017, n. 1931).
L’ordinamento italiano – conformemente al disposto dell’art. 84 GDPR – ha altresì previsto apposite figure di reato, a tutela di un bene giuridico fondamentale, quale è la protezione dei dati personali. La fattispecie delittuosa che viene in rilievo in relazione alla procedura green pass consiste nel trattamento illecito dei dati personali, sanzionato dall’art. 167 del codice della privacy (d.lgs. n. 196/2003).
Sul fronte, invece, della conformità delle misure previste dal legislatore rispetto agli standard di tutela della privacy previsti a livello costituzionale ed eurounitario, il Garante, con il summenzionato Provvedimento n. 430 del 13 dicembre 2021, ha espresso, in via d’urgenza, parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che aggiorna le disposizioni relative alle Certificazioni verdi e agli obblighi vaccinali per determinate categorie di lavoratori. Nel medesimo provvedimento, il Garante sostiene che, in considerazione dell’attuale stato della situazione pandemica, le misure finora adottate siano conformi al principio di liceità del trattamento e, più in generale, alla disciplina sulla protezione dei dati personali.
Tuttavia, in ragione degli specifici rischi connessi al trattamento di dati personali in esame e prestando particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo, l’Autorità ha prescritto al Ministero della salute l’adozione di determinate misure precauzionali, nonché di effettuare un ulteriore aggiornamento della valutazione di impatto sulla protezione dei dati, relativamente ai trattamenti effettuati nell’ambito delle procedure green pass.
Categorie
