Obbligo di Green Pass in azienda: aggiornamenti sulle misure privacy da adottare a cura del datore di lavoro - Cyber Security 360

IL VADEMECUM

Obbligo di Green Pass in azienda: aggiornamenti sulle misure privacy da adottare a cura del datore di lavoro

L’introduzione dell’obbligo di Green Pass in azienda prevede che il datore di lavoro adotti alcune misure privacy necessarie affinché le procedure di verifica della Certificazione Verde avvengano nel rispetto della normativa vigente in tema di protezione dei dati personali. Ecco un utile vademecum, aggiornato alla luce dei DPCM del 12 ottobre 2021 e del nuovo servizio di verifica tramite portale INPS

02 Nov 2021
B
Pietro Boccaccini

Avvocato, Director Deloitte Legal

L
Martina Liverani

Avvocato, Senior Consultant Deloitte Legal

Il Decreto Legge n. 127 del 21 settembre 2021 ha introdotto l’obbligo della Certificazione Verde, il cosiddetto “Green Pass”, per accedere ai luoghi di lavoro, pubblici e privati, dal 15 ottobre 2021 sino al termine dello stato di emergenza (ad oggi, il 31 dicembre 2021), ponendo in capo ai datori di lavoro l’onere di verificare il possesso di un Green Pass valido da parte di coloro che accedono all’azienda (dipendenti in primis ma anche lavoratori autonomi, in formazione, volontari, fornitori ecc.) e di accertare eventuali violazioni.

A seguire, in data 12 ottobre 2021, il Presidente del Consiglio dei Ministri ha adottato i seguenti due decreti, volti a chiarire l’applicazione della normativa sopra richiamata:

  • il DPCM recante le linee guida relative all’obbligo di possesso e di esibizione della certificazione verde COVID-19 da parte del personale delle pubbliche amministrazioni (“Linee guida in materia di condotta delle pubbliche amministrazioni per l’applicazione della disciplina in materia di obbligo di possesso e di esibizione della certificazione verde covid-19 da parte del personale”);
  • il DPCM sulle modalità di verifica del possesso delle certificazioni verdi COVID-19 in ambito lavorativo (“Modifiche al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021, recante Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”). Il decreto interviene per fornire ai datori di lavoro pubblici e privati gli strumenti informatici necessari per una verifica quotidiana e automatizzata del possesso delle certificazioni verdi.

In attuazione del DPCM sulle modalità di verifica del Green Pass, in data 21 ottobre 2021 è stato attivato sul portale istituzionale INPS il nuovo servizio online “Greeenpass50+”, rivolto a tutti i datori di lavoro con più di 50 dipendenti, sia privati che pubblici non aderenti a NoiPA, che consente la verifica asincrona della validità del Green Pass grazie all’interazione tra la Piattaforma nazionale per l’emissione e validazione delle certificazioni verdi COVID-19 e le informazioni riferite ai dipendenti dell’azienda note all’INPS al momento della richiesta.

Nella pratica, accedendo al portale Greenpass50+, i datori di lavoro accreditano l’azienda al servizio online di verifica del Green Pass e individuano i soggetti “verificatori” i quali, una volta autenticati al servizio, potranno visualizzare l’elenco dei codici fiscali dei dipendenti dell’azienda di propria competenza e, dopo aver selezionato quelli da verificare perché presenti in servizio, visualizzeranno l’indicazione sulla validità del Green Pass.

Alla luce delle disposizioni normative sopra richiamate, la verifica del Green Pass comporta il trattamento di dati personali dei destinatari delle suddette verifiche, quali soggetti “interessati” ai sensi della vigente normativa in materia di protezione dei dati personali (i.e. il General Data Protection Regulation, “GDPR”, e il Codice in materia di protezione dei dati personali, “Codice Privacy”). Rispetto a tali persone fisiche il datore di lavoro, in qualità di titolare del trattamento, deve adottare misure appropriate a tutela dei dati personali e dei diritti degli interessati.

Greenpass50+: cos’è e come funziona il servizio INPS per la verifica Green Pass nei luoghi di lavoro

Obbligo di Green Pass in azienda: il vademecum

Sotto il profilo della protezione dei dati personali, in merito allo schema di DPCM del 12 ottobre recante le modifiche al decreto del Presidente del Consiglio dei ministri 17 giugno 2021 sulle modalità di verifica del possesso del Green Pass, si è espresso, con parere favorevole, il Garante per la protezione dei dati personali (Garante) , che ha confermato le corrette modalità di trattamento dei dati personali connesse alla verifica del certificato verde e ha ribadito i principi generali a cui attenersi nel contesto lavorativo, al fine di assicurare il rispetto della disciplina di protezione dei dati personali e della disciplina di settore, europea e nazionale, in materia di certificazioni verdi.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity

Alla luce delle nuove indicazioni del Governo e delle precisazioni dell’Autorità di controllo privacy, quali sono le necessarie misure organizzative che le aziende sono tenute a porre in essere per conformarsi alla disciplina vigente in materia di protezione dei dati personali e agli orientamenti espressi dall’Autorità di controllo privacy nel corso del periodo emergenziale? Quali le attività da evitare?

Di seguito un breve vademecum dei principali adempimenti e accorgimenti in ambito privacy, a supporto delle aziende interessate dalla nuova normativa.

Richiedere solo informazioni strettamente necessarie

Non richiedere agli interessati informazioni che non siano strettamente necessarie alla finalità di verifica del Green Pass. I dipendenti non devono essere invitati dal datore di lavoro a comunicare, né prima né dopo la data stabilita dalla legge per l’avvio delle verifiche, se siano o meno vaccinati.

Agli interessati non deve neanche essere chiesto di fornire copia del Green Pass o dell’eventuale certificato di esenzione alla vaccinazione. Un’altra informazione che non deve essere raccolta è la data di scadenza del certificato verde.

Questi trattamenti configurano una violazione della normativa privacy, in quanto il titolare del trattamento non ha alcun titolo per acquisire tali informazioni e documenti, né per conservare gli altri dati personali contenuti negli stessi.

Tenere un registro o verbale delle verifiche svolte con i soli dati personali necessari

In queste settimane diverse aziende si sono interrogate sulla possibilità di istituire e mantenere un registro o un verbale delle verifiche svolte su tutto il personale all’ingresso o nel corso della giornata lavorativa, contenente informazioni personali quali, a titolo esemplificativo, il nome e il cognome del soggetto sottoposto a verifica, la data e l’orario del controllo, nonché le firme del soggetto incaricato di svolgere le verifiche e dello stesso lavoratore “controllato”.     

Sul punto, dai DPCM in commento emerge che, in osservanza della disciplina sul trattamento dei dati personali, non è consentita in alcun caso la raccolta dei dati dell’intestatario in qualunque forma, salvo quelli strettamente necessari all’applicazione delle conseguenti misure derivanti dal mancato possesso e esibizione del Green Pass, previste dalle nuove norme (quali, ad esempio, la notifica dell’assenza ingiustificata, l’applicazione di eventuali sanzioni disciplinari, la redazione del verbale di accertamento e contestazione della violazione e la trasmissione degli atti al Prefetto).

Ciò anche sulla scorta di quanto indicato dal Garante nel parere reso in via preventiva allo schema di DPCM sulle modalità di verifica del Green Pass, il quale ha sottolineato la necessità di garantire che “siano trattati in relazione alla specifica finalità del trattamento di cui agli artt. 9-quinquies e 9-septies del D.L. n. 52/2021, esclusivamente i dati necessari alla verifica del possesso della certificazione verde COVID-19 in corso di validità, consentendo di rispettare i principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, nonché della protezione dei dati fin dalla progettazione e per impostazione predefinita”.

Alla luce di tali previsioni, non può considerarsi legittima alcuna operazione di trattamento, ivi incluse la raccolta e la registrazione, compiuta indistintamente sui dati personali – anche solo nome e cognome – di tutti i lavoratori sottoposti a verifica da parte del datore di lavoro per finalità diverse e ulteriori rispetto alla mera verifica del Green Pass e all’adozione delle misure conseguenti ad una verifica con esito negativo, a causa della mancata esibizione o del mancato possesso di una valida certificazione verde.

Sarebbe dunque consentito verbalizzare le attività di verifica svolte con esito negativo con conseguente annotazione dei nominativi dei soggetti privi del Green Pass, ma non documentare nel verbale/registro le attività di verifica con esito positivo (i.e. il soggetto verificato è in possesso di Green Pass valido). In tal caso, come peraltro suggerito anche da Confindustria nella sua recente Nota del 15 ottobre 2021, occorrerebbe riportare i dati in forma aggregata, in modo da non consentire l’individuazione della persona fisica in possesso del Green Pass. A titolo d’esempio, si potrebbe riportare in termini percentuali l’esito delle verifiche positive sul totale di quelle effettuate a campione.

Individuare, nominare e autorizzare gli incaricati alla verifica

È altresì importante individuare, nominare con atto formale e autorizzare gli incaricati preposti alla verifica dei Green Pass e all’accertamento delle violazioni, ai sensi degli articoli 29 e 32 del GDPR e dell’art. 2-quaterdecies del Codice Privacy, fornendo apposite istruzioni sul trattamento dei dati personali degli interessati.

Tra le diverse istruzioni da fornire all’autorizzato, sarebbe opportuno includere anche le seguenti: il divieto di raccogliere, conservare o acquisire copia del Green Pass; il divieto di trattare dati diversi e ulteriori rispetto ai dati anagrafici dell’interessato; il divieto di richiedere all’interessato dati relativi alla salute, ivi incluse informazioni circa l’evento sanitario che ha generato il Green Pass o la motivazione clinica della eventuale esenzione alla vaccinazione.

Formare gli incaricati preposti alla verifica dei Green Pass

Dopo aver individuato, nominato e autorizzato gli incaricati preposti alla verifica del Green Pass e all’accertamento delle violazioni sulle modalità di trattamento dei dati, è importante formarli affinché le attività di trattamento si svolgano nel rispetto della normativa in materia di protezione dei dati personali.

Un principio cardine a cui attenersi dovrà essere senz’altro quello di riservatezza.

Soggetti in possesso del certificato di esenzione alla vaccinazione: niente verifica

Come precisato nel DPCM recante le linee guida per la pubblica amministrazione e nelle relative FAQ pubblicate sul sito istituzionale del Governo, non possono essere sottoposti a verifica da parte del datore di lavoronelle more del rilascio dell’applicativo che conterrà un apposito QR Code per la verifica del relativo certificato di esenzione  i soggetti che, per comprovati motivi di salute, non possono effettuare il vaccino contro il COVID-19. A tal fine, la documentazione sanitaria relativa all’esenzione potrà essere preventivamente trasmessa al medico competente, il quale, ove autorizzato dal dipendente, potrà informare il personale deputato ai controlli sulla circostanza che tali soggetti debbano essere esonerati dalle verifiche.

Ne consegue che il certificato di esenzione alla vaccinazione non potrà essere oggetto di trattamento da parte del soggetto incaricato delle verifiche per conto del datore di lavoro.  

Anche il Garante, nel parere sullo schema di DPCM 12 ottobre 2021, aveva sottolineato i maggiori rischi per gli interessati legati al trattamento del certificato cartaceo di esenzione, alla luce del fatto che “la presentazione di un documento cartaceo di esenzione alla vaccinazione anti-SARS-CoV-2, come attualmente previsto dalle circolari del Ministero della salute del 4 agosto e del 25 settembre 2021, rivela, infatti, inevitabilmente a terzi la sussistenza di una condizione di salute dell’interessato”. L’Autorità ha inoltre raccomandato che il futuro DPCM, volto ad individuare le specifiche tecniche per trattare in modalità digitale le certificazioni di esenzione alla vaccinazione, individui misure tecniche e organizzative idonee ad assicurare che i soggetti esenti dalla vaccinazione per motivi di salute possano presentare un documento digitale dotato di QR Code che riveli le medesime informazioni delle certificazioni verdi, senza rendere visibili in alcun modo le informazioni che ne hanno determinato l’emissione.

Controllo effettuato da personale di una società terza

Nel caso in cui, per lo svolgimento dei controlli e per l’accertamento delle violazioni, il datore di lavoro si avvalga di personale di una società terza, dovrà provvedere alla nomina di questa a responsabile del trattamento con atto/contratto ai sensi dell’art. 28 del GDPR (sarà poi tale società terza a provvedere alla nomina ad autorizzato dei soggetti incaricati delle verifiche).

Verificare l’idoneità dal punto di vista organizzativo del fornitore prima di concludere il contratto di nomina a responsabile sarebbe certamente consigliabile.

Obbligo di Green Pass in azienda: l’informativa privacy

Predisporre un’informativa relativa al trattamento dei dati personali ai sensi dell’art. 13 GDPR da rendere agli interessati in relazione ai trattamenti derivanti dalla verifica del Green Pass.

Il Decreto recante le modifiche al DPCM 17 giugno 2021, sulla scorta delle indicazioni del Garante, ha ulteriormente precisato l’obbligo di fornire una informativa specifica al personale sottoposto alla verifica del Green Pass sul trattamento dei loro dati ai sensi degli artt. 13 e 14 del GDPR, anche mediante comunicazione resa alla generalità del personale.

È confermata dunque la possibilità di rendere l’informativa in modo generalizzato, tramite apposizione in prossimità del luogo ove verranno svolte le verifiche da parte dei soggetti incaricati o tramite pubblicazione nella intranet aziendale, ove esistente, in ogni caso con modalità tali da poter essere facilmente visibile a tutto il personale che accede in azienda.

Non occorrerà raccogliere alcun consenso da parte dei dipendenti e degli altri interessati poiché la base giuridica del trattamento, in questo caso, è rappresentata dall’adempimento di un obbligo di legge a cui è soggetto il titolare.

Si sottolinea, tuttavia, che non solo il personale della società è coinvolto nelle verifiche delle certificazioni ma anche soggetti terzi (es. consulenti, clienti, fornitori, ecc.) ed è quindi necessario rendere anche a tali persone fisiche le informazioni richieste dal GDPR in relazione al trattamento dei loro dati personali.

Obbligo di Green Pass in azienda: il registro dei trattamenti

Aggiornare opportunamente il registro dei trattamenti, prevedendo la specifica finalità in questione, ossia la verifica del possesso e della validità del Green Pass.

Quanto alle categorie di dati occorrerà precisare che il trattamento riguarda solo dati personali “comuni” e non particolari (o “sensibili”).

A mente dell’art. 30 del GDPR, non bisognerà dimenticare di menzionare nella stringa del registro anche gli eventuali responsabili (come, ad esempio, la società incaricata dei controlli tramite il proprio personale, ove non provveda direttamente il datore di lavoro) ed anche le misure organizzative e tecniche implementate (riguardo a queste ultime si potrebbero eventualmente richiamare quelle adottate in relazione all’app Verifica C19 di cui al DPCM 17 giugno 2021, quale componente della Piattaforma nazionale-DGC di titolarità del Ministero della salute).

Obbligo di Green Pass in azienda: il ruolo del DPO

È importante coinvolgere tempestivamente e adeguatamente il DPO (ove nominato) per tutte le questioni riguardanti il trattamento di dati personali degli interessati, sia in fase di strutturazione delle misure organizzative sia per tutta la durata di applicazione delle previsioni normative in oggetto.

Focus sugli adempimenti privacy connessi al servizio di verifica tramite Portale INPS

Nel caso in cui il datore di lavoro, ricorrendone i presupposti, decida di avvalersi del nuovo servizio di verifica attivo sul portale INPS a far data dal 21 ottobre, il set documentale privacy adottato in relazione ai trattamenti di verifica del Green Pass dovrebbe essere aggiornato alla luce delle nuove modalità di trattamento e in particolare:

  • in ottica di trasparenza, occorrerà integrare l’informativa privacy destinata alla generalità dei lavoratori sottoposti a verifica menzionando la nuova modalità di verifica online tramite portale INPS e includendo tra i dati oggetto di trattamento anche il codice fiscale dell’interessato, visualizzato dal verificatore sul portale Greenpass50+;
  • sarà necessario rivedere l’autorizzazione dei soggetti incaricati delle verifiche, modificando le operazioni di trattamento consentite e le istruzioni conferite, in linea con quanto previsto nell’allegato H del DPCM “tecnico” del 12 ottobre (es. eseguire la verifica limitatamente ai codici fiscali selezionati di propria competenza);- anche il registro dei trattamenti richiederebbe una integrazione;
  • potrebbe essere eventualmente necessario svolgere un Data Protection Impact Assessment (“DPIA”) al fine di valutare i rischi specifici per gli interessati derivanti dal processo di verifica del Green Pass, laddove si optasse per l’integrazione nei propri sistemi aziendali di controllo degli accessi, inclusi quelli di rilevazione delle presenze, delle funzionalità di verifica automatizzata del Green Pass. Ciò in quanto, ai sensi del paragrafo 3.2 dell’Allegato H al DPCM 12 ottobre 2021, le attività di verifica devono essere “effettuate esclusivamente nei confronti del personale effettivamente in servizio per cui è previsto l’accesso al luogo di lavoro nel giorno in cui è effettuata la verifica, escludendo i dipendenti assenti per specifiche causali (es. ferie, malattie, permessi) o che svolgano la prestazione lavorativa in modalità agile”. Questo specifico trattamento prevedrebbe l’uso di tool tecnologici e potrebbe presentare alcuni possibili rischi per i diritti e le libertà degli interessati (si pensi all’impatto che ha per un lavoratore l’eventuale impedimento all’accesso all’azienda, o il suo allontanamento). Occorrerebbe quindi valutare i possibili fattori di mitigazione di tali rischi adottando adeguate misure tecniche e organizzative (ad esempio un “double check” mediante uso della App Verifica 19 ove necessario o opportuno).

Le procedure da seguire per il trattamento dati

In ottica di accountability, il titolare potrà anche aggiornare i protocolli in ambito sicurezza sui luoghi di lavoro nelle sezioni relative al trattamento di dati personali o definire una procedura ad hoc in materia di trattamento dei dati personali volta a disciplinare e documentare, in conformità alla normativa vigente, le misure per il corretto trattamento nell’ambito delle verifiche del Green Pass.

Le possibili sanzioni

Da ultimo, si evidenzia che la mancata adozione da parte del datore di lavoro di idonee misure organizzative comporta la possibile irrogazione, da parte dell’Autorità, di sanzioni amministrative, che potrebbero trovare applicazione anche nel caso in cui non vengano effettuati da parte dell’azienda i necessari controlli.

WHITEPAPER
Quali sono le minacce digitali che mettono in pericolo le vendite al dettaglio?
Retail
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5