Privacy Policy & Cookies
Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente . Utilizzando il nostro sito l'utente acconsente a tutti i cookie in conformità con la Normativa sui Cookie.
Leggi tutto Accetta
×
Home / News / Blog / 2021 / 12 / 1 / Consegna Green Pass

Consegna Green Pass

01 Dicembre 2021

La Legge n. 165/2021, di conversione del D.L. n. 127/2021, ha confermato alcune importanti novità in tema di verifica della certificazione verde COVID-19, con rilevante impatto anche in materia di protezione dei dati personali.

Secondo l’attuale normativa, infatti, al  fine di semplificare e razionalizzare le verifiche delle certificazioni verdi  COVID-19 (cd. Green Pass), i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde COVID-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro (artt. 9-quinquies, comma 5 e 9-septies, comma 5, D.L. n. 52/2021).
La novità vuole rappresentare una risposta alle istanze di semplificazione provenienti dal mondo del lavoro circa la necessità di semplificare e velocizzare le procedure di controllo delle certificazioni verdi.

Attenzione: secondo il dato letterale, nel settore pubblico l’esonero è riconosciuto esclusivamente ai “lavoratori” della Pubblica Amministrazione indicati all’art. 9-quinquies del D.L. n. 52/20211, mentre non sono inclusi i “soggetti” che svolgono, a qualsiasi titolo, la propria  attività lavorativa o di formazione o di volontariato presso le amministrazioni interessate, anche sulla base di  contratti esterni!2

 

La posizione del Garante

Già in sede di segnalazione al Parlamento e al Governo sul Disegno di legge di conversione del D.L. n. 127/2021, l’Autorità Garante per la protezione dei dati personali aveva evidenziato alcune criticità circa le nuove disposizioni, soprattutto in ragione dell’evidente contrasto tra la prevista legittimazione della conservazione (di copia) della certificazione verde e il Regolamento UE n. 2021/9533, che al Considerando n. 48 dispone la piena applicabilità alla materia del Regolamento UE n. 2016/679 (GDPR).

La base giuridica per il trattamento dei dati personali mediante verifica delle certificazioni verdi è individuata dal legislatore europeo nella necessità di adempiere un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. c, GDPR) e, per i dati personali rientranti in categorie particolari, nella necessità del trattamento per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri (art. 9, par. 2, lett. g, GDPR).
Gli Stati membri possono trattare i dati personali per altri fini se la base giuridica per il trattamento di tali dati ad altri fini, inclusi i relativi periodi di conservazione, è stabilita dalle legislazioni nazionali, che devono essere conformi alla normativa dell'Unione in materia di protezione di dati e ai principi di efficacia, necessità e proporzionalità, e dovrebbero contenere disposizioni che definiscono chiaramente l'ambito e la portata del trattamento, la finalità specifica in questione, le categorie di soggetti che possono verificare il certificato nonché le pertinenti garanzie per prevenire discriminazioni e abusi, tenendo conto dei rischi per i diritti e le libertà degli interessati.

Inoltre - evidenzia il Garante - il Considerando n. 48 prevede espressamente che “Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l'accesso durante il processo di verifica non devono essere conservati”.

 

Il problema della conservazione

Il precedente divieto di conservazione voleva essere rispondente alla normativa europea e funzionale a garantire la riservatezza del lavoratore sulla propria condizione clinica (in caso di certificazioni da avvenuta guarigione), ma anche sulle scelte da ciascuno compiute in ordine alla profilassi vaccinale, tenuto conto che dalla scadenza della certificazione può facilmente desumersi se questa è stata rilasciata a seguito di guarigione, tampone o vaccinazione.

Per questi motivi, prima dell’odierna modifica legislativa, l’art. 13, comme 5, del d.P.C.M. 17 giugno 2021 escludeva espressamente la possibilità di raccolta, in qualunque forma, dei dati dell’interessato acquisiti nell’ambito dell’attività di verifica delle certificazioni verdi, fatte salve specifiche eccezioni.

 

I nuovi obblighi del datore di lavoro

Applicando il principio generale del Regolamento UE n. 2016/679 (GDPR), deve escludersi che la consegna della certificazione verde al datore di lavoro possa fondarsi sul consenso del lavoratore, tenuto conto dell’evidente squilibrio tra l'interessato e il titolare del trattamento in ambito lavorativo4.

Pertanto, la base giuridica rimane quella indicata dal legislatore europeo, con conseguente obbligo per il datore di lavoro di adottare misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, tenuto anche conto che la norma riconosce al lavoratore la “possibilità” di consegnare la certificazione verde, mentre non è previsto che il datore di lavoro possa chiederne - o addirittura pretenderne - la consegna.

Nel quadro delineato, il datore di lavoro dovrà obbligatoriamente:

  • assicurare il mantenimento delle procedure di verifica per i lavoratori che non richiedono (legittimamente) di consegnare il proprio Green Pass e, contestualmente, organizzarsi per offrire garanzie a coloro che intendono avvalersi della possibilità prevista dalla nuova norma;

  • modificare la procedura interna di gestione dei controlli, individuando forme corrette di gestione dei nominativi di coloro che sono esonerati dalla verifica;

  • garantire l’esercizio dei diritti degli interessati, tenuto conto del nuovo trattamento di conservazione;

  • adottare misure tecniche, organizzative e di sicurezza adeguate al nuovo trattamento;

  • aggiornare l’informativa sul trattamento dei dati personali, inserendo le nuove modalità di trattamento e i tempi di conservazione;

  • aggiornare il Registro delle attività di trattamento, anche con riguardo al trattamento di conservazione e alle misure di sicurezza adottate;

  • valutare, coinvolgendo il Responsabile della protezione dei dati (DPO), la necessità di eseguire una Valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR.



 

Avv. Ennio Bianchi

 

______________________________________

1 Si tratta del “personale delle amministrazioni pubbliche di cui all'articolo 1, comma  2,  del decreto legislativo 30 marzo  2001,  n.  165,  al personale di cui all'articolo 3 del predetto decreto legislativo, al  personale delle Autorità amministrative indipendenti, ivi comprese la Commissione nazionale per le società e la borsa e la Commissione di vigilanza sui fondi pensione, della Banca d'Italia, nonché degli enti pubblici economici e degli organi di rilievo costituzionale”.

2 Così definiti dall’art. 9-quinquies, comma 2, D.L. n. 52/2021.

3 Regolamento (UE) n. 2021/953 del Parlamento Europeo e del Consiglio del 14 giugno 2021 su un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell'UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19.

4 Il Considerando n. 43 del GDPR prevede che: “Per assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il titolare del trattamento, specie quando il titolare del trattamento è un'autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica. [...]”.

 

Helpdesk
email: gdpr33@gdpr33.it
tel: 0692915690