Decreto green pass lavoro: cosa cambia per le aziende con la conversione in legge - Cyber Security 360

LE NUOVE REGOLE

Decreto green pass lavoro: cosa cambia per le aziende con la conversione in legge

Con il via libera definitivo della Camera diventa legge il provvedimento che ha introdotto l’obbligo di green pass in ambito lavorativo. Analizziamo le novità per il settore privato introdotte in sede di conversione e i profili di criticità legati alla raccolta dei green pass

18 Nov 2021
G
Lorenzo Giannini

Consulente legale e DPO

Con 300 voti favorevoli e 33 contrari la Camera ha dato il via libera definitivo alla conversione in legge del decreto n. 127 del 21 settembre scorso, il cosiddetto decreto green pass lavoro, dopo averne votato la questione di fiducia posta dal governo, con 453 voti favorevoli e 42 contrari. Del provvedimento, che aveva già incassato il via libera da Palazzo Madama nei giorni scorsi, si attende ora la pubblicazione definitiva in Gazzetta Ufficiale.

Lavoro e Green Pass: tutti i modi per verificarlo

Conversione decreto green pass lavoro: le novità

In particolare, la misura varata dall’esecutivo lo scorso settembre ha introdotto, come noto, l’estensione dell’obbligo delle “Certificazioni verdi Covid-19” (c.d. green pass) per l’accesso ai luoghi di lavoro[1] pubblici, privati, nonché agli uffici giudiziari, nel periodo compreso tra lo scorso 15 ottobre e il prossimo 31 dicembre, attuale termine dello stato di emergenza.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Il testo approdato a Montecitorio non ha subito sostanziali modifiche rispetto a quello già licenziato dal Senato e introduce alcune novità di rilievo sotto il profilo operativo, soprattutto con riferimento alle modalità di verifica delle certificazioni verdi.

Nello specifico – focalizzando il nostro intervento sul settore privato – le modifiche all’art. 9-septies D.L. 52/2021 (convertito, con modificazioni, nella legge 87/2021), previsto dall’art. 3 D.L. 127/2021, introducono ora l’applicazione dell’obbligo di green pass anche nei confronti di soggetti esterni che svolgono attività di formazione in qualità di discenti e non solo in qualità di docenti, come finora previsto.

Inoltre, per le imprese con meno di quindici dipendenti, viene modificata la possibilità di sospensione dal lavoro (prevista dopo il quinto giorno di assenza ingiustificata per mancato possesso ed esibizione del green pass) per una durata corrispondente a quella del contratto di sostituzione: i dieci giorni sono ora da considerare “lavorativi” e il contratto di sostituzione non è più rinnovabile soltanto una volta, bensì senza limiti fino al termine del 31 dicembre prossimo, “senza conseguenze disciplinari e con diritto alla conservazione del posto di lavoro per il lavoratore sospeso”.

Per quanto concerne i controlli dei lavoratori che arrivano da società di somministrazione, a differenza di quanto finora previsto dalle FAQ del Governo sul green pass[2], che stabilivano un controllo duplice in capo sia alla società di somministrazione, sia all’azienda presso la quale il lavoratore svolge la propria attività (cfr. FAQ n. 5), adesso è previsto che la verifica competa all’utilizzatore. Al somministratore resta invece l’onere di “informare i lavoratori circa la sussistenza delle predette prescrizioni”.

Rilevante appare invece la previsione contenuta nell’art. 9-novies D.L. 52/2021 (inserito ex art. 3-bis del decreto convertito) con cui viene disciplinata la scadenza del green pass durante lo svolgimento della prestazione lavorativa. A ben vedere, tale eventualità era già stata contemplata all’interno delle FAQ sopra richiamate (cfr. FAQ n. 12), seppur con un livello di dettaglio minore e con una rilevante differenza: mentre i chiarimenti dell’esecutivo parlavano, più in generale, del “lavoratore” al quale può scadere la certificazione durante l’orario di lavoro, l’art. 9-novies fa riferimento a “lavoratori dipendenti pubblici e privati”, ai quali viene consentita la permanenza nel luogo di lavoro esclusivamente per il tempo necessario a portare a termine il proprio turno di lavoro, senza dar luogo ad alcuna sanzione.

Ora, al di là dell’opinabile valore delle FAQ – orfane di collocamento all’interno della gerarchia delle fonti del diritto – strumento usato (e abusato) nel periodo emergenziale, la formulazione più generica di “lavoratore” ivi prevista avrebbe senz’altro scongiurato la differenziazione che si viene a creare attenendosi al dato letterale della norma, rivolta ai soli “lavoratori dipendenti” e non anche, ad esempio, al lavoratore autonomo consulente esterno dell’azienda.

Una circostanza paradossale tanto più in considerazione delle finalità sanitarie perseguite dalla norma e, più in generale, dallo strumento del green pass.

Infine, con l’obiettivo di “garantire il più elevato livello di copertura vaccinale e al fine di proteggere, in modo specifico, i soggetti a rischio, fino alla data di cessazione dello stato di emergenza”, ai datori di lavoro privati (così come anche a quelli pubblici) viene data la possibilità di promuovere, per tramite del proprio medico competente, campagne di informazione sensibilizzazione sulla necessità e sull’importanza della vaccinazione anti Covid-19.

Esenzione per i controlli: criticità sollevate dal Garante privacy

La novità di maggior rilievo (prevista anche con riferimento al settore pubblico) è senz’altro costituita dalla possibilità per i lavoratori di “richiedere di consegnare al proprio datore di lavoro copia della certificazione verde COVID-19”, al fine di semplificare e razionalizzare le verifiche dei green pass. “I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro”.

Si tratta, invero, di una questione non esente da criticità, che avrebbe meritato un maggior approfondimento soprattutto alla luce dell’inascoltato appello del Garante privacy, sollevato da quest’ultimo a seguito della votazione favorevole da parte del Senato e in vista dell’esame del provvedimento in seconda lettura.

Nello specifico, i rilievi dell’Autorità Garante per la protezione dei dati personali – condivisibili, ad avviso di chi scrive – evidenziano in primo luogo come “la prevista esenzione dai controlli – in costanza di validità della certificazione verde – rischia di determinare la sostanziale elusione delle finalità di sanità pubblica complessivamente sottese al sistema del “green pass”. Esso è, infatti, efficace a fini epidemiologici nella misura in cui il certificato sia soggetto a verifiche periodiche sulla sua persistente validità”. Quest’ultimo rilievo, peraltro, appare suffragato dalla possibilità dei controlli “anche a campione” già sanciti ex comma 5 dell’art. 9-quinquies (settore pubblico) e art. 9-septies (settore privato) del D.L. 127/2021.

Il rischio di precludere la piena realizzazione delle esigenze sanitarie sottese all’utilizzo del green pass porta con sé un altro problema, rendendo il trattamento dei dati “non del tutto proporzionato” perché non pienamente funzionale rispetto alle finalità perseguite (cfr. Considerando 4 GDPR).

Inoltre, prosegue il Garante, l’assenza di verifiche in questo caso non consentirebbe di “rilevare l’eventuale condizione di positività sopravvenuta in capo all’intestatario del certificato, in contrasto, peraltro, con il principio di esattezza cui deve informarsi il trattamento dei dati personali (art. 5, par.1, lett. d) Reg. Ue 2016/679)” (GDPR).

Sotto diverso e ulteriore profilo, espliciti divieti di conservazione dei green pass sono previsti sia ex art. 13, comma 5 DPCM 17 giugno 2021, così come modificato dal DPCM 12 ottobre 2021, nonché dal Considerando 48 del Regolamento (UE) 2021/953 “laddove il certificato venga utilizzato per scopi non medici”.

Tali divieti, sottolinea il Garante, risultano funzionali non solo nell’ottica di garantire la riservatezza dei “dati sulla condizione clinica del soggetto (in relazione alle certificazioni da avvenuta guarigione), ma anche delle scelte da ciascuno compiute in ordine alla profilassi vaccinale”. Una scelta legata a intime convinzioni del singolo che, se privata delle necessarie garanzie di riservatezza, avrebbe “effetti potenzialmente pregiudizievoli in ordine all’autodeterminazione individuale” (sul punto, cfr. risoluzione 2361 (2021) del Consiglio d’Europa). Dal dato relativo alla scadenza della certificazione, infatti, sarebbe facilmente desumibile il presupposto (vaccinazione, guarigione o effettuazione del tampone) alla base del suo rilascio.

Infine, l’Autorità sottolinea due ulteriori aspetti. Il primo relativo al contesto nel quale si inserisce la possibilità di raccolta dei green pass, ossia quello lavorativo. La volontarietà sulla quale si basa la consegna del green pass al datore di lavoro appare insufficiente e non può essere considerata quale idoneo presupposto di liceità, in ragione dello squilibrio tra datore e lavoratore che connota il rapporto lavorativo (cfr. Considerando 43 GDPR).

In secondo luogo, alla raccolta delle certificazioni e alla conoscenza del relativo periodo di validità (che, come detto, conduce di riflesso alla condizione alla base del loro rilascio) deve poi necessariamente seguire l’implementazione di adeguate misure tecniche e organizzative sotto il profilo della sicurezza, con buona pace del budget aziendale da destinarvi (o della finanza pubblica, con riferimento al settore pubblico).

Greenpass50+: cos’è e come funziona il servizio INPS per la verifica Green Pass nei luoghi di lavoro

Conclusioni

Risulta evidente, in conclusione, come la possibilità di conservazione delle certificazioni introdotta in sede di conversione del provvedimento sia in palese contraddizione con il generale divieto di raccolta introdotto dal DPCM 17 giugno 2021 e ribadito poco più di un mese fa attraverso il DPCM 12 ottobre 2021 (art. 13, comma 5).

La vexata quaestio della raccolta delle certificazioni da parte del datore di lavoro che ha incassato, come visto, il giudizio negativo dell’Authority si scontra, peraltro, con quanto già da essa rilevato nella medesima prospettiva con il Provvedimento n. 363 dell’11 ottobre scorso[3].

Sotto diverso profilo, anche con riferimento alle considerazioni di ordine pratico circa il fine “di semplificare e razionalizzare le verifiche dei green pass”, non si può non notare come il ventaglio di modalità alternative rispetto all’app “VerificaC19” introdotte dal recente DPCM 12 ottobre 2021[4] potessero già di per sé assolvere a una funzione di semplificazione pur rimanendo fedeli alle indicazioni del Garante privacy (si veda provvedimento n. 363 sopra richiamato) e, soprattutto, al pieno rispetto del bilanciamento di diritti e libertà da cui non può prescindere ogni valutazione che abbia ad oggetto il tema della protezione dei dati personali.

 

NOTE

  1. Sul punto, cfr. Obbligo di Green Pass in azienda: aggiornamenti sulle misure privacy da adottare a cura del datore di lavoro.

  2. Green Pass, FAQ sui dpcm firmati dal Presidente Draghi | www.governo.it.

  3. Parere sullo schema di decreto “Modifiche al decreto del Presidente del… – Garante Privacy

  4. Cfr. Lavoro e Green Pass: tutti i modi per verificarlo – Cyber Security 360; cfr. anche Greenpass50+: cos’è e come funziona il servizio INPS per la verifica Green Pass nei luoghi di lavoro – Cyber Security 360

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5