Tutto pronto per l’entrata in vigore dell’obbligo di Green Pass per tutti i lavoratori del settore pubblico e privato, previsto dal D.L. 127/2021. Dal 15 ottobre, infatti, sarà necessario per i lavoratori esibire il certificato verde per accedere ai luoghi di lavoro. Tale previsione è stata accompagnata nei giorni scorsi dall’emanazione da parte del Governo di un DPCM che detta in proposito linee guida per consentire le opportune verifiche da parte dei datori di lavoro, introducendo anche nuovi strumenti per semplificare i controlli.
La normativa in questione presenta importanti risvolti anche in tema di tutela dei dati personali, contenendo diversi aspetti che impongono un necessario contemperamento tra le esigenze di contenimento e la tutela dei dati personali dei lavoratori.
Su alcuni punti il Garante Privacy si è già espresso, chiarendo ad esempio il fatto che in nessun modo i dati esibiti potranno essere oggetto di conservazione da parte dei datori di lavoro. Da ultimo poi, il Garante si è pronunciato con urgenza anche sul DPCM che detta le linee guida per l’estensione dell’obbligo di Green Pass, esprimendo parere favorevole sulle nuove modalità di controllo introdotte. Restano però ancora aperte numerose questioni riguardanti la tutela dei dati personali dei lavoratori.
L’ultimo parere del Garante, infatti, si sofferma in particolar modo sui nuovi strumenti previsti dal Governo. Strumenti che vanno ad aggiungersi all’app “VerificaC19” con l’intento di semplificare le operazioni e permettere inoltre il controllo dei certificati anche “da remoto”. Innanzitutto, è stato autorizzato l’utilizzo di un pacchetto di sviluppo per applicazioni (SDK), rilasciato con licenza open source, che andrà ad integrarsi nei sistemi di controllo degli accessi sui luoghi di lavoro. In secondo luogo, sono state messe appunto nuove funzionalità per la Piattaforma NoiPA e per il Portale istituzionale INPS, che permetteranno ai datori di lavoro pubblici e privati di poter visualizzare il solo dato del possesso o meno di un certificato valido da parte dei lavoratori. È stato infine introdotto, ma soltanto per le P.A. con più di mille dipendenti, un servizio di interoperabilità applicativa con la Piattaforma nazionale-DGC.
È bene sottolineare dunque che i nuovi strumenti consentono di rilevare soltanto il dato riguardo al possesso del Green Pass e appaiono dunque più rispondenti ai principi di tutela della privacy rispetto all’app “VerificaC19”, che fornisce anche elementi ulteriori, come ad esempio la precisazione che si tratti di un certificato valido solo in Italia o anche in Europa.
Ma come avverrà l’integrazione tra i diversi sistemi di controllo e chi vigilerà sul corretto funzionamento degli stessi? Con i nuovi strumenti implementati sarà possibile ad esempio ridurre progressivamente i controlli via app? Al momento non ci sono risposte a questi quesiti, ma c’è da aspettarsi un nuovo intervento del Garante per disciplinare le singole criticità.
Precisazioni importanti arrivano, invece, dall’Autorità in tema di informativa sulla privacy. L’utilizzo di queste nuove modalità di controllo “a distanza” comporterà l’obbligo da parte dei datori di lavoro di informare opportunamente i lavoratori sul trattamento dei loro dati. Il Garante ribadisce poi i limiti del trattamento, riaffermando che la verifica non potrà comportare la raccolta di dati dell’interessato, ad eccezione di quelli strettamente necessari per l’applicazione delle misure derivanti dal mancato possesso della certificazione. Questo significa che i datori di lavoro e i responsabili delegati per i controlli non potranno in alcun modo conservare il QR Code o le altre informazioni desumibili dai certificati esibiti né sarà possibile creare registri dei soggetti sottoposti a controllo.
L’impossibilità di tener traccia dei soggetti controllati appare però in contrasto con un’altra disposizione del DPCM che consente invece ai datori di lavoro di effettuare i controlli anche a campione e ci si chiede come si potrà, in caso di controlli a rotazione, assicurare un effettivo controllo generalizzato del personale dipendente. Anche su questo saranno necessari chiarimenti dell’Autorità.
Nulla dice il Garante anche su un’altra disposizione del DPCM, secondo cui nelle more dell’ottenimento del certificato Green Pass digitale sarebbe prevista la possibilità di esibizione di certificazioni cartacee. Una disposizione introdotta all’ultimo per garantire una certa flessibilità operativa, ma che aggiunge altri dubbi. In base alle prime interpretazioni ad esempio la ricevuta di esito negativo del tampone, rientrante tra i documenti cartacei ammessi dal DPCM, potrà valere in caso di ritardo nell’aggiornamento dei dati sull’app, ma questo potrebbe rappresentare anche una falla nel sistema delineato, consentendo il potenziale aggiramento dell’obbligo di Green Pass attraverso la presentazione di documenti facilmente falsificabili.
Quest’ultima previsione normativa comporta poi ulteriori rischi in tema privacy, in quanto l’esibizione di documenti cartacei potrebbe generare un trattamento di dati personali eccessivo rispetto alle finalità previste, oltre che rendere la verifica dei Green Pass più complessa.
Appare, dunque, necessario un ulteriore intervento dell’Autorità Privacy per chiarire le tante domande in tema di protezione dei dati personali che discendono dall’applicazione delle nuove regole ed in particolare dell’ultimo DPCM.
I rischi di un’errata applicazione delle norme sono, infatti, molto alti per i singoli datori di lavoro, su cui ricade come detto la responsabilità nella gestione dei controlli. Gli stessi dovranno quindi, per andare esenti da eventuali sanzioni anche in tema privacy, predisporre un’adeguata formazione ed informazione del personale dipendente sulle modalità scelte per adempiere ai nuovi obblighi.
Per tutti questi motivi nei prossimi articoli vi terremo aggiornati sui prossimi sviluppi interpretativi necessari per chiarire i diversi quesiti emersi.
