TRATTAMENTO DATI PERSONALI

Consegna del Green Pass al datore di lavoro: soluzioni innovative, nel rispetto della privacy

La conversione in legge del decreto Green Pass ha apportato significative modifiche alle modalità di impiego della certificazione verde nel settore privato. Non mancano le criticità, evidenziate dal Garante Privacy, affrontabili con l’adizione di soluzioni innovative che garantiscano un corretto trattamento dati. Facciamo il punto

03 Dic 2021
A
Massimiliano Arlati

ArlatiGhislandi e AG Studi e Ricerche

B
Luca Barbieri

ArlatiGhislandi e AG Studi e Ricerche

Non c’è dubbio che la gestione del dato relativo al Green pass abbia lasciato un po’ tutti i tecnici quantomeno perplessi. Questo perché date le fonti multiple del documento (vaccino e tampone), non è risultato sinora semplice definire un trattamento lineare che da un lato soddisfi la coerenza dei criteri su cui si fonda la dottrina di riservatezza dell’informazione e che dall’altro consenta una gestione del processo di analisi segregato, semplice e immediato.

Non solo, a ciò si è aggiunto un indubbio imbarazzo nella realizzazione, evidentemente complessa, di applicativi per il trattamento del dato in ottemperanza alle previsioni di legge che, se adeguati per completezza e usabilità dei risultato, comportano costi diretti elevati specie se considerati nel loro, auspicabilmente, breve tempo di utilizzo. Un caso interessante è quello del Green pass sul luogo di lavoro, su cui è intervenuto anche il Garante privacy.

Green pass sul posto di lavoro, cosa dice la norma

Come noto, in data 17 novembre 2021 la Camera dei Deputati ha approvato definitivamente – e quindi convertito in Legge – il D.L. 21 settembre 2021, n. 127, recante “misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde Covid-19 e il rafforzamento del sistema di screening”.

WHITEPAPER
Efficienza, sostenibilità e sicurezza con la gestione e tenuta dei libri sociali digitali
Dematerializzazione
Digital Transformation

In tale processo legislativo sono state apportate modifiche molto significative alla precedente redazione all’art. 9-septies del D.L. 22 aprile 2021, n. 52, che regolamenta l’impiego della certificazione verde nel settore privato.

Il Green Pass per lavorare diventa legge, ecco cosa cambia

Consegna del Green Pass al datore di lavoro: il quadro

Per semplificare e razionalizzare l’attività di verifica dell’effettivo possesso della certificazione verde in corso di validità ai fini dell’accesso ai luoghi di lavoro, l’art. 9-septies, c. 5 attribuisce al lavoratore la facoltà di chiedere al datore di lavoro di consegnare copia della propria certificazione.

Quando il datore di lavoro accolga tale richiesta, il lavoratore è esonerato dall’attività di verifica effettuata dal datore di lavoro sino al termine di validità del certificato ovvero sino a quando detta certificazione sia revocata e, comunque, non oltre il 31 dicembre 2021.

Al riguardo, si consideri che il lavoratore che abbia consegnato al datore di lavoro copia della propria certificazione verde è tenuto a dare tempestiva notizia dell’eventuale sopravvenuta invalidità della stessa (ad esempio, quando sia stata accertata la sua positività al virus).

Le criticità evidenziate dal Garante Privacy

Pressoché immediata la reazione del Garante Privacy, che con segnalazione dell’11 novembre 2021 ha posto in evidenza talune criticità – di seguito illustrate – con riguardo alla disposizione che contempla la possibilità che il lavoratore consegni al datore di lavoro (sia del settore privato che pubblico) copia della propria certificazione verde.

Secondo il Garante tale previsione si porrebbe in contrasto con:

  1. il considerandum 48 del Regolamento UE 14 giugno 2021, n. 2021/953 che, delineando un quadro di garanzie omogenee per l’utilizzo della certificazione verde in ambito europeo, stabilisce che “laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati (…)”;
  2. l’art. 13, c. 5 del D.P.C.M. 17 giugno 2021, ai sensi del quale è espressamente previsto che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”. Come noto, la finalità di detti divieti risiede nella tutela della riservatezza dei dati inerenti alla condizione clinica del soggetto e, in particolar modo, alle scelte personali effettuate con riguardo alla vaccinazione. La conservazione di tali dati è peraltro ancor più critica quando realizzata nel contesto lavorativo; infatti, al datore di lavoro “dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari del lavoratori come la situazione clinica”.

Peraltro, ai fini della legittimità del trattamento dei dati personali, l’eventuale consenso del soggetto tenuto a sottoporsi all’attività di verifica non si configura come lecito, in ragione dello squilibrio intrinseco che caratterizza il rapporto di lavoro (al proposito, si rinvia a quanto precisato dal considerandum 43 del Regolamento UE 27 aprile 2016, n. 2016/679).

La conservazione della certificazione verde imporrebbe altresì l’adozione da parte del datore di lavoro di specifiche misure i) tecniche e ii) organizzative adeguate al grado di rischio connesso al trattamento;

  1. in contrasto con il principio di esattezza del trattamento dei dati personali, l’esenzione dall’attività di verifica della certificazione verde non consentirebbe di rilevare l’eventuale condizione di positività sopravvenuta del lavoratore;
  2. “nella misura in cui rischia di precludere la piena realizzazione delle esigenze sanitarie sottese al sistema del green pass”, la disposizione in esame rende “anche il trattamento dei relativi dati non del tutto proporzionato (perché non pienamente funzionale rispetto) alle finalità perseguite”.

Alla luce delle osservazioni formalizzate dal Garante, e per il momento non recepite dagli organi legislativi, non è pertanto remota l’ipotesi che la norma debba essere modificata o abrogata mediante una successiva disposizione di legge.

Consegna del Green Pass al datore di lavoro: difficoltà operative

Ma prescindendo dalla differente visione del Garante sulla natura del dato contenuto nel Green Pass, può un sistema di controllo basato sulla consegna della certificazione davvero rappresentare una soluzione efficace per contenere e ridurre le difficoltà di natura organizzativa che l’obbligo di verifica comporta?

La prima nota distonica viene ovviamente dalla necessità di gestirne la decadenza: non pare infatti che la responsabilità della notizia della scadenza della certificazione possa essere lasciata al lavoratore come invece indicato dalla norma di conversione. La responsabilità del controllo attivo è comunque lasciata al Datore di Lavoro e pertanto lo stesso non può semplicemente attendere le ulteriori informazioni da parte del dipendente relativamente alla validità della sua certificazione.

Sotto diverso profilo non possono essere neppure taciute le difficoltà di utilizzo della procedura GreenPasso50+ che si è contraddistinta, oltre che da un’ingegnerizzazione scarsamente maneggevole, da una profonda limitazione nel novero dei soggetti trattati (solo lavoratori subordinati e parasubordinati con presso aziende di oltre 50 rapporti di lavoro) e nelle latenze (anche oltre 60 giorni) di gestione dei dati.

Super Green Pass: come averlo, come funziona e la privacy

Soluzioni innnovative nel rispetto della privacy

Sembra quindi che ad oggi l‘unica soluzione alternativa alla lettura del Green Pass che consenta un’auspicata snellezza nel controllo sia quella di replicare informaticamente la fisicità dell’esibizione: sono infatti già disponibili sul mercato software che, con l’utilizzo di tecnologia cloud e di app per smartphone, già inclusivi dell’applicativo C-19, possano consentire al dipendente l’invio al datore di lavoro della sola informazione di validità del certificato per il giorno stesso e quindi nel pieno rispetto dei criteri di segregazione dei dati relativi alla condizione di salute così come interpretati dal Garante.

Non v’è dubbio che la gestione del dato relativo al Green Pass abbia lasciato un po’ tutti i tecnici quantomeno perplessi in quanto, data la polifattorialità della fonte (vaccino e tampone), non è risultato sinora semplice definire in un trattamento lineare:

  • che da un lato soddisfi la coerenza dei criteri su cui si fonda la dottrina di riservatezza dell’informazione;
  • che dall’altro consenta una gestione del processo di analisi i) segregato, ii) semplice e iii) immediato.

Non solo, alle ragioni che precedono si è aggiunto un indubbio imbarazzo nella realizzazione (evidentemente complessa) di applicativi per il trattamento del dato in ottemperanza alle previsioni di Legge che, se adeguati per completezza e usabilità dei risultato, comportano costi diretti elevati specie se considerati nel loro, auspicabilmente, breve tempo di utilizzo.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 2