TRATTAMENTO DATI

Green Pass, evoluzione degli adempimenti privacy per l’accesso ai luoghi di lavoro: esempi pratici

Gli adempimenti privacy per il Green Pass relativi alla gestione dei controlli dei lavoratori per consentire loro l’accesso ai luoghi di lavoro devono adeguarsi alle continue modifiche introdotte dal legislatore. Vediamo alcuni esempi

13 Gen 2022
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Da quando, per consentire l’accesso ai luoghi di lavoro, è stato introdotto l’uso del Green Pass, sono state apportate diverse modifiche normative.

Il datore di lavoro/titolare di trattamento avrebbe dovuto verificare se tali modifiche impattavano o meno sugli adempimenti privacy messi in atto durante la sua prima adozione.

Ricordo che tali adempimenti comprendevano almeno:

  • la predisposizione di un’adeguata informativa agli interessati;
  • l’integrazione del registro delle attività di trattamento;
  • l’autorizzazione ai soggetti preposti al trattamento;
  • l’esecuzione delle analisi dei rischi previste dagli artt. 24, 25 e 32;
  • la formalizzazione dei rapporti con eventuali soggetti esterni coinvolti nel trattamento.

Le modifiche che il legislatore ha successivamente introdotto in merito al Green Pass e ai relativi controlli riguardano, ad esempio:

  1. la possibilità da parte dei lavoratori di consegnare al datore di lavoro “copia della propria certificazione verde COVID-19”, come previsto dalla legge 19 novembre 2021, n. 165: «Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde COVID-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro»;
  2. la revoca del certificato, come previsto dal Decreto del Presidente del consiglio dei ministri 17 dicembre 2021, “Modifiche al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021 in ordine alle disposizioni attuative del decreto-legge 26 novembre 2021, n. 172”;
  3. l’obbligo di Green Pass rafforzato relativamente a determinate categorie di soggetti, regolamentato da varie normative.

Green Pass al lavoro, dopo l’OK del Garante Privacy ecco il decreto con le nuove modalità di revoca

Come gestire la revoca del Green Pass

Il quesito che il titolare del trattamento deve porsi è se tali variazioni comportano una revisione degli adempimenti privacy prima citati.

Consideriamo quindi le variazioni introdotte dagli esempi citati.

Per quanto attiene il punto b) l’introduzione della revoca introduce il trattamento di un nuovo dato, la revoca appunto (anche se in realtà tale informazione ha effetti sulla validità del Green Pass, che è un dato che già veniva trattato).

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Se il titolare del trattamento vuole essere rigoroso aggiungerà questa informazione all’informativa e agli altri adempimenti privacy.

Sicuramente quello che dovrà fare è modificare il processo di controllo sugli eventuali Green Pass che sono stati consegnati dai lavoratori.

Non esiste più per tali Green Pass una scadenza predefinita, ma sarà necessario controllarne la validità tutti i giorni.

Questo consentirà non solo di gestire correttamente gli accessi dei lavoratori, ma anche di trattare dati aggiornati, un requisito questo indispensabile per il rispetto della normativa privacy.

Quindi oltre agli adempimenti prima citati dovrà anche modificare i processi di controllo.

Modalità di controllo del super Green Pass

Per quanto attiene il punto c), l’introduzione del super Green Pass in realtà non modifica molto i dati che vengono trattati, in quanto si limita a ridurre il numero di situazioni che consentono l’accesso all’azienda.

Il Green Pass normale viene infatti rilasciato in seguito a:

  • vaccinazione
  • tampone
  • guarigione

Il super Green Pass viene rilasciato in seguito a:

  • vaccinazione
  • guarigione

Il controllo del Green Pass non indica quali di queste condizioni sussiste.

Il problema, come già evidenziato in un precedente articolo al quale si rimanda per ulteriori dettagli, è costituito dalla gestione degli esenti dalla campagna vaccinale, che è l’altra condizione che permette l’accesso al lavoro.

Il documento che attesta l’esenzione è tutt’oggi cartaceo (e quindi facilmente falsificabile) e, ovviamente, rileva una situazione sanitaria del soggetto esentato.

In altre parole, il titolare del trattamento, nella gestione degli accessi mediante Green Pass, tratta necessariamente dati sanitari e tale informazione deve essere adeguatamente rappresentata sia nelle informative da rilasciare ai lavoratori, sia nei registri delle attività di trattamento.

Gli esenti alla campagna vaccinale sono esentati dai controlli per l’accesso, ma ovviamente per evitare di effettuare un controllo, il titolare del trattamento deve sapere quali siano tali soggetti.

Si crea così un circolo virtuoso che coinvolge necessariamente chi effettua i controlli e diventa particolarmente complesso nelle organizzazioni con un rilevante numero di addetti dove il controllo sia affidato a personale che non conosca personalmente l’identità di ogni singolo lavoratore.

La consegna del Green Pass al datore di lavoro

Consideriamo per ultimo il punto a), il più invasivo.

La consegna di una copia del Green Pass comporta, direttamente o indirettamente, il potenziale trattamento di un maggior numero di informazioni da parte del datore di lavoro.

Come evidenziato dall’Autorità Garante, la conoscenza da parte del datore di lavoro della originale scadenza del Green Pass può consentirgli di desumere quale sia la motivazione che ha portato alla sua emissione.

In realtà, l’attuale formulazione della normativa estende di molto tale rischio.

Com’è noto, il Green Pass è composto da un QR Code, scaricabile anche separatamente come immagine, e da una parte di testo che riporta le informazioni relative all’anagrafica del soggetto a cui il Green Pass stesso è abbinato, oltre alle motivazioni della sua emissione.

Il datore di lavoro ha accesso e controlla solo il QR Code.

Tuttavia, il testo di legge non specifica che è sufficiente consegnare al datore di lavoro il QR Code, ma parla genericamente della consegna di una copia del Green Pass.

È evidente che se il lavoratore consegna l’intero Green Pass rende disponibili al datore di lavoro anche tutte le informazioni attinenti alla motivazione che ha portato alla sua emissione.

Al di là del fatto che il titolare del trattamento in linea teorica non sia autorizzato ad accedere a tali informazioni, nondimeno se riceve un Green Pass completo ne effettua la conservazione (analogamente a quanto avviene per le schede sanitarie dei dipendenti, che custodisce, ma alle quali non può accedere).

Al di là di tutte le possibili conseguenze in termini di adempimenti privacy e di aumento del rischio che deriva da tale attività di conservazione, ai fini della gestione dell’accesso dei lavoratori al luogo di lavoro la disponibilità del Green Pass completo è inutile.

Quindi, in luogo di adeguare i propri adempimenti a tale circostanza, sarebbe molto più semplice chiedere ai propri dipendenti la consegna del solo QR Code.

Conclusioni

Oltre a interventi normativi come quelli qui rappresentati, possono esserci altre situazioni che comportano modifiche ai propri adempimenti privacy. Ad esempio, il titolare del trattamento potrebbe cambiare lo strumento con cui effettua i controlli e quindi questo comporterà una valutazione dei sottostanti rischi.

Quello che è certo è che la dinamicità e frequenza con cui vengono emessi i vari provvedimenti per contrastare la pandemia costringono i titolari di trattamento ad un monitoraggio continuo del proprio modello privacy e la loro capacità di reazione e adeguamento può costituire un ottimo test.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4