Si torna a parlare di green pass e privacy in quanto è stato esteso a tutti i lavoratori impiegati nelle strutture residenziali, socio-assistenziali e socio-sanitarie l’obbligo vaccinale per la prevenzione dell’infezione da SARS-CoV-2.
Ecco, quindi, un utile vademecum su quelli che sono gli obblighi in materia di protezione dei dati personali a carico delle strutture sanitarie.
Indice degli argomenti
Il quadro attuale
Con il decreto legge sulle riaperture del 22 aprile 2021, n. 52 (convertito, con modificazioni, dalla Legge 17 giugno 2021, n. 87) si è introdotta la cosiddetta certificazione verde Covid-19, nota come green pass, volta a favorire l’esercizio in sicurezza di attività e servizi, nonché la circolazione delle persone, alla luce dell’emergenza epidemiologica da Covid-19.
Il green pass contiene informazioni fondamentali quali nome, data di nascita, data di rilascio, informazioni pertinenti su vaccino, l’avvenuta guarigione dall’infezione del virus SARS-CoV-2, nonché l’effettuazione nelle ultime 48 ore di un test molecolare o antigenico rapido.
In relazione alle modalità di verifica del green pass, il controllo dei QR code (siano essi su supporto digitale o cartaceo) dovrà avvenire utilizzando esclusivamente l’app “VerificaC19”, individuata dal Ministero della Salute.
Tale app “VerificaC19” è in grado di consentire al soggetto verificatore – espressamente designato in termini privacy – di controllare l’autenticità, la validità e l’integrità della certificazione.
Pertanto, una volta effettuata la scansione del codice, l’applicazione potrà mostrare alternativamente un esito positivo, in caso di certificazione valida, o uno negativo, in caso di certificazione non valida o scaduta, che determineranno la possibilità di accesso o meno del soggetto verificato all’attività o al servizio.
Green pass: quali sono gli adempimenti privacy
L’ attività di verifica dei green pass comportano sempre un trattamento di dati personali, pertanto è opportuno che il titolare del trattamento integri quanto necessario per la compliance della normativa privacy:
- Informativa per il trattamento dei dati personali (art. 13 GDPR). In primo luogo, occorre un modello di informativa da affiggere nel punto in cui avvenga la verifica dei green pass, ai sensi dell’art. 13 del Regolamento UE 679/2016.
- Designazione del verificatore (art. 2 quaterdecies D.lgs. 196/2003, come novellato dal D.lgs.101/2018). Inoltre, il soggetto verificatore del Green Pass dovrà essere nominato quale soggetto designato, ai sensi dell’art. 2-quaterdecies del D.lgs. 196/2003 come novellato dal D.lgs. 101/2018. La designazione dovrà contenere le istruzioni operative, come sancito dagli articoli 29 e 32, comma 4, GDPR, a norma dei quali chiunque agisca sotto l’autorità del titolare del trattamento e che abbia accesso a dati personali “non può trattare tali dati se non è istruito in tal senso”.
- Atto di nomina a responsabile del trattamento – se servizio esternalizzato (art. 28 GDPR). Nel caso in cui l’attività di verifica del green pass venga esternalizzata ad una società di vigilanza, occorrerà che questa venga qualificata come responsabile del trattamento, ai sensi dell’art. 28 GDPR.
- Registro delle attività di trattamento (art. 30 GDPR). Il titolare del trattamento deve inserire tale attività di verifica dei green pass all’interno del registro dei trattamenti (art. 30, comma 1, GDPR), specificando le misure di sicurezza “adeguate” secondo quanto richiesto dall’art. 32 del GDPR.
Inoltre, in termini di misure organizzative il titolare del trattamento potrà creare nel punto di verifica un opportuno distanziamento, al fine di garantire una distanza di cortesia tra utenti.
Obbligatorietà del green pass e bilanciamento di interessi
Ad oggi, il Regolamento UE 953/2021 del 14 giugno scorso ha sancito l’utilizzo del green pass per favorire la circolazione delle persone all’interno dell’Unione Europea.
Inoltre, con la pubblicazione in G.U. del 10 settembre 2021, n. 217 del D.L. 10 settembre 2021, n. 122 – entrato in vigore il giorno successivo alla sua pubblicazione – si è esteso il campo di applicazione dell’obbligo vaccinale, previsto dall’art. 4, comma 1, del D.L. 44/2021, per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario.
In particolare, l’art. 2 del nuovo decreto è intervenuto, infatti, a integrare il D.L. 44/2021, inserendovi l’art. 4-bis, rubricato «estensione dell’obbligo vaccinale ai lavoratori impiegati in strutture residenziali, socioassistenziali e socio-sanitarie», con il quale è stato esteso a tutti i lavoratori impiegati nelle strutture residenziali, socio-assistenziali e socio-sanitarie l’obbligo vaccinale per la prevenzione dell’infezione da SARS-CoV-2.
Tale obbligo vaccinale si applica a decorre dal 15 ottobre p.v. e fino al 31 dicembre 2021 (termine di cessazione dello stato di emergenza) – a tutti i soggetti anche esterni che svolgono, a qualsiasi titolo, la propria attività lavorativa nelle strutture di ospitalità e di lungodegenza, residenze sanitarie assistite (RSA), hospice, strutture riabilitative e strutture residenziali per anziani, anche non autosufficienti, e in tutte le strutture residenziali di cui all’art. 44 «riabilitazione e lungodegenza post-acuzie» del DPCM 12 gennaio 2017 e in quelle socio-assistenziali.
L’obbligo vaccinale di nuova introduzione, tuttavia, non si applica, precisa la norma, a tutti coloro che sono dichiarati esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con Circolare del Ministero della Salute.
La norma, inoltre, affida la verifica dell’adempimento dell’obbligo vaccinale di nuova introduzione ai responsabili delle strutture e ai datori di lavoro di coloro che, a qualunque titolo, svolgono la propria attività lavorativa presso le strutture stesse, sulla base di contratti esterni.
A tal fine, la norma precisa che tali soggetti potranno acquisire tutte le informazioni necessarie secondo le modalità che verranno definite con DPCM, adottato di concerto con i Ministri della salute, per l’innovazione tecnologica e la transizione digitale e dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali.
Le modalità operative del controllo, dunque, non potranno essere autodeterminate dalle strutture rientranti nel campo di applicazione della norma, ma sarà necessario attendere l’emanazione del predetto DPCM.
Agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, nonché ai lavoratori dipendenti delle strutture rientranti nel campo di applicazione della norma che non assolvano all’obbligo vaccinale si applicherà quale conseguenza dell’accertata inosservanza dell’obbligo la sospensione dalla prestazione lavorativa e non gli sarà dovuta la retribuzione né altro compenso o emolumento, comunque, denominato, fino all’assolvimento dell’obbligo o, in mancanza, fino al completamento del piano vaccinale e, comunque, non oltre il 31 dicembre 2021.
La norma, infine, stabilisce che l’accesso alle strutture residenziali, socio-assistenziali e sociosanitarie, da parte dei lavoratori, anche esterni, in violazione dell’obbligo vaccinale e il mancato controllo da parte dei responsabili delle strutture e dei datori di lavoro dei soggetti che, qualunque titolo, svolgano attività di lavoro all’interno delle citate strutture, sono sanzionate, ai sensi dell’art. 4, commi 1, 3, 5 e 9 del D.L. 19/2020, al pagamento di una somma da euro 400 a euro 1.000, raddoppiata in caso di reiterata violazione.
Conclusioni
Sulla base del quadro normativo descritto, l’introduzione del green pass per accedere alle strutture residenziali, socio-assistenziali e sociosanitarie pone l’esigenza di rispettare le disposizioni sulla privacy previste dal GDPR.
