Obbligo di Green Pass in azienda: le misure privacy da adottare a cura del datore di lavoro - Cyber Security 360

IL VADEMECUM

Obbligo di Green Pass in azienda: le misure privacy da adottare a cura del datore di lavoro

L’introduzione dell’obbligo di Green Pass in azienda prevede che il datore di lavoro adotti alcune misure privacy necessarie affinché le procedure di verifica della Certificazione Verde avvengano nel rispetto della normativa vigente in tema di protezione dei dati personali. Ecco un utile vademecum

4 giorni fa
B
Pietro Boccaccini

Avvocato, Director Deloitte Legal

L
Martina Liverani

Senior Consultant Deloitte Legal

Il Decreto Legge n. 127 del 21 settembre 2021 ha introdotto l’obbligo della Certificazione Verde, il cosiddetto “Green Pass”, per accedere ai luoghi di lavoro, pubblici e privati, dal 15 ottobre 2021 sino al termine dello stato di emergenza (ad oggi, il 31 dicembre 2021), ponendo in capo ai datori di lavoro l’onere di verificare il possesso di un Green Pass valido da parte di coloro che accedono all’azienda (dipendenti in primis ma anche lavoratori autonomi, in formazione, volontari, fornitori ecc.) e di accertare eventuali violazioni.

Tali disposizioni comportano il trattamento di dati personali dei destinatari delle suddette verifiche, quali soggetti “interessati” ai sensi della vigente normativa in materia di protezione dei dati personali (i.e. il General Data Protection Regulation, “GDPR”, e il Codice in materia di protezione dei dati personali, “Codice Privacy”). Rispetto a tali persone fisiche il datore di lavoro, in qualità di titolare del trattamento, deve adottare misure appropriate a tutela dei dati personali e dei diritti degli interessati.

Obbligo di Green Pass in azienda: il vademecum

All’avvicinarsi della data sopra ricordata stabilita dal Legislatore per l’avvio delle verifiche del Green Pass e nelle more di eventuali indicazioni da parte del Garante per la protezione dei dati personali, quali sono le necessarie misure organizzative che le aziende sono tenute a porre in essere per conformarsi alla disciplina vigente in materia di protezione dei dati personali e agli orientamenti espressi dall’Autorità di controllo privacy nel corso del periodo emergenziale? Quali le attività da evitare?

Di seguito un breve vademecum dei principali adempimenti e accorgimenti in ambito privacy, a supporto delle aziende interessate dalla nuova normativa.

Richiedere solo informazioni strettamente necessarie

Non richiedere agli interessati informazioni che non siano strettamente necessarie alla finalità di verifica del Green Pass. I dipendenti non devono essere invitati dal datore di lavoro a comunicare, né prima né dopo la data stabilita dalla legge per l’avvio delle verifiche, se siano o meno vaccinati.

Agli interessati non deve neanche essere chiesto di fornire copia del Green Pass o dell’eventuale certificato di esenzione alla vaccinazione. Un’altra informazione che non deve essere raccolta è la data di scadenza del certificato verde.

Questi trattamenti configurano una violazione della normativa privacy, in quanto il titolare del trattamento non ha alcun titolo per acquisire tali informazioni e documenti, né per conservare gli altri dati personali contenuti negli stessi.

Individuare, nominare e autorizzare gli incaricati alla verifica

È altresì importante individuare, nominare con atto formale e autorizzare gli incaricati preposti alla verifica dei Green Pass e all’accertamento delle violazioni, ai sensi degli articoli 29 e 32 del GDPR e dell’art. 2-quaterdecies del Codice Privacy, fornendo apposite istruzioni sul trattamento dei dati personali degli interessati.

Tra le diverse istruzioni da fornire all’autorizzato, sarebbe opportuno includere anche le seguenti: il divieto di raccogliere, conservare o acquisire copia del Green Pass; il divieto di trattare dati diversi e ulteriori rispetto ai dati anagrafici dell’interessato; il divieto di richiedere all’interessato dati relativi alla salute, ivi incluse informazioni circa l’evento sanitario che ha generato il Green Pass o la motivazione clinica della eventuale esenzione alla vaccinazione.

Formare gli incaricati preposti alla verifica dei Green Pass

Dopo aver individuato, nominato e autorizzato gli incaricati preposti alla verifica del Green Pass e all’accertamento delle violazioni sulle modalità di trattamento dei dati, è importante formarli affinché le attività di trattamento si svolgano nel rispetto della normativa in materia di protezione dei dati personali.

Un principio cardine a cui attenersi dovrà essere senz’altro quello di riservatezza.

Controllo effettuato da personali di una società terza

Nel caso in cui, per lo svolgimento dei controlli e per l’accertamento delle violazioni, il datore di lavoro si avvalga di personale di una società terza, dovrà provvedere alla nomina di questa a responsabile del trattamento con atto/contratto ai sensi dell’art. 28 del GDPR (sarà poi tale società terza a provvedere alla nomina ad autorizzato dei soggetti incaricati delle verifiche).

Verificare l’idoneità dal punto di vista organizzativo del fornitore prima di concludere il contratto di nomina a responsabile sarebbe certamente consigliabile.

Obbligo di Green Pass in azienda: l’informativa privacy

Predisporre un’informativa relativa al trattamento dei dati personali ai sensi dell’art. 13 GDPR da rendere agli interessati in relazione ai trattamenti derivanti dalla verifica del Green Pass.

L’informativa potrà essere consegnata e/o apposta in prossimità del luogo ove verranno svolte le verifiche da parte dei soggetti incaricati. Potrebbe eventualmente essere resa disponibile anche nella intranet aziendale, ove disponibile.

Non occorrerà raccogliere alcun consenso da parte dei dipendenti e degli altri interessati poiché la base giuridica del trattamento, in questo caso, è rappresentata dall’adempimento di un obbligo di legge a cui è soggetto il titolare.

Obbligo di Green Pass in azienda: il registro dei trattamenti

Aggiornare opportunamente il registro dei trattamenti, prevedendo la specifica finalità in questione, ossia la verifica del possesso e della validità del Green Pass.

Quanto alle categorie di dati occorrerà precisare che il trattamento riguarda solo dati personali “comuni” e non particolari (o “sensibili”).

A mente dell’art. 30 del GDPR, non bisognerà dimenticare di menzionare nella stringa del registro anche gli eventuali responsabili (come, ad esempio, la società incaricata dei controlli tramite il proprio personale, ove non provveda direttamente il datore di lavoro) ed anche le misure organizzative e tecniche implementate (riguardo a queste ultime si potrebbero eventualmente richiamare quelle adottate in relazione all’app Verifica C19 di cui al DPCM 17 giugno 2021, quale componente della Piattaforma nazionale-DGC di titolarità del Ministero della salute).

Obbligo di Green Pass in azienda: il ruolo del DPO

È importante coinvolgere tempestivamente e adeguatamente il DPO (ove nominato) per tutte le questioni riguardanti il trattamento di dati personali degli interessati, sia in fase di strutturazione delle misure organizzative sia per tutta la durata di applicazione delle previsioni normative in oggetto.

Le procedure da seguire per il trattamento dati

In ottica di accountability, il titolare potrà anche aggiornare i protocolli in ambito sicurezza sui luoghi di lavoro nelle sezioni relative al trattamento di dati personali o definire una procedura ad hoc in materia di trattamento dei dati personali volta a disciplinare e documentare, in conformità alla normativa vigente, le misure per il corretto trattamento nell’ambito delle verifiche del Green Pass.

Le possibili sanzioni

Da ultimo, si evidenzia che la mancata adozione da parte del datore di lavoro di idonee misure organizzative (entro il 15 ottobre) comporta la possibile irrogazione, da parte dell’Autorità, di sanzioni amministrative, che potrebbero trovare applicazione anche nel caso in cui (a partire dal 15 ottobre) non vengano effettuati da parte dell’azienda i necessari controlli.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5