– di Chiara M. Magalini e Mario S. Dusi.
Con il Decreto Legge 21 settembre 2021 n. 127, il Governo Italiano ha introdotto un obbligo generalizzato, valevole per tutti i lavoratori pubblici e privati, di possesso e di esibizione del certificato verde tra il 15 ottobre e il 31 dicembre 2021 al fine degli accessi ai luoghi in cui è svolta l’attività lavorativa. Tale disposizione si applica altresì a tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso privati o pubbliche amministrazioni “anche sulla base di contratti esterni”, con l’eccezione dei soggetti estremamente fragili (circolare 0035309 del 04.08.2021 del Ministero della Salute).
In data 12.10.2021 è stato firmato il D.P.C.M. con le modalità di verifica del possesso delle certificazioni verdi COVID-19 in ambito lavorativo. Il decreto interviene per fornire ai datori di lavoro pubblici e privati gli strumenti informatici che consentiranno una verifica quotidiana e automatizzata del possesso delle certificazioni.
Il Garante per la protezione dei dati personali ha espresso, in via d’urgenza, parere favorevole sullo schema di Dpcm che prevede, in particolare, che l’attività di verifica del possesso delle certificazioni verde Covid-19 possa essere effettuato anche attraverso modalità alternative all’app VerificaC19, quali l’impiego di un pacchetto di sviluppo per applicazioni (SDK), rilasciato dal Ministero con licenza open source, da integrare nei sistemi di controllo degli accessi ovvero, per i datori di lavoro pubblici e privati, mediante l’utilizzo di una specifica funzionalità della Piattaforma NoiPA o del Portale istituzionale INPS. Infine è previsto, solo per le p.a. con più di mille dipendenti, un servizio di interoperabilità applicativa con la Piattaforma nazionale-DGC.
E’ stato precisato che l’attività di verifica non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari, in ambito lavorativo, all’applicazione delle misure derivanti dal mancato possesso della certificazione. Il sistema utilizzato per la verifica del green pass non dovrà conservare il QR code delle certificazioni verdi sottoposte a verifica, né estrarre, consultare registrare o comunque trattare per altre finalità le informazioni rilevate.
Potranno essere sottoposti al controllo solo i lavoratori effettivamente in servizio per i quali è previsto l’accesso al luogo di lavoro, escludendo i dipendenti assenti per ferie, malattie, permessi o che svolgono la prestazione lavorativa in modalità agile. I dipendenti dovranno essere opportunamente informati dal proprio datore di lavoro sul trattamento dei dati attraverso una specifica informativa.
Per quanto riguarda le funzionalità disponibili sulla piattaforma NoiPa e sul Portale Inps dovranno essere adottate misure tecniche e organizzative per garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti. La verifica mediante interoperabilità applicativa sarà invece resa disponibile ai datori di lavori mediante un’apposita convenzione con il Ministero della salute.
I datori di lavoro dovranno rispettare tali indicazioni nell’implementazione delle misure tecniche ed organizzative imposte dalla normativa in materia di protezione dei dati personali ed in particolare nell’implementazione delle modalità di verifica, anche attraverso strumenti tecnologici, e nelle istruzioni impartite agli addetti alle verifiche e alle eventuali contestazioni delle violazioni da parte dei lavoratori.
Tra le misure da adottare a cura del Titolare del Trattamento Datore di Lavoro ricordiamo altresì:
- la predisposizione di apposita informativa per gli interessati dipendenti ed esterni con indicati i trattamenti (controllo del Green Pass per tutti i lavoratori che accedono al luogo di lavoro, controllo del certificato di esenzione vaccinale, relative comunicazioni in caso di mancanza, ect.) e tutte le altre informazioni di cui all’art. 13 GDPR;
- aggiornamento del registro delle attività di trattamento dati personali (art. 30 GDPR);
- predisposizione di procedure operative per la verifica – anche a campione – del Green Pass, aggiornando/implementando il protocollo AntiCovid19 già adottato in azienda, in coordinamento con RSPP, Medico Competente e DPO;
- designazione dei soggetti incaricati dell’accertamento e della contestazione delle violazioni agli obblighi di Green Pass), ai quali dovranno essere fornite precise istruzioni e specifica formazione sulle modalità di verifica e di eventuale contestazione in caso di mancanza del Green Pass (art. 29 GDPR);
- qualora sia previsto il ricorso ad applicazioni software, richiesta di garanzie scritte da parte del fornitore/produttore/installatore in merito al rispetto della normativa in materia di protezione dei dati personali e di quanto previsto dalle disposizioni normative specifiche in materia di Green Pass nonché della previa effettuazione dell’analisi dei rischi (DPIA);
- realizzazione di propria DPIA qualora necessaria in relazione alla complessità dell’organizzazione del Datore di Lavoro;
- estensione/aggiornamento del contratto con il responsabile del Trattamento ex art. 28 GDPR ove si demandi a soggetti terzi il controllo dei Green Pass (ad esempio società di vigilanza e/o servizi di portierato);
- valutazione dell’opportunità di aggiornare il regolamento/disciplinare aziendale – ove esistente – con introduzione anche della fattispecie “mancanza di Green Pass valido”, e relative conseguenze normative (sospensione non retribuita dal lavoro; nel caso di protratta assenza ingiustificata per Green Pass non valido, sostituzione del lavoratore; segnalazione al Prefetto per applicazione sanzione pecuniaria, se rinvenuto – nel caso dei controlli a campione – con Green Pass non valido).
I professionisti dello studio Legale Dusilaw Legal&Tax sono a disposizione per assistere le imprese nell’analisi e nell’implementazione di quanto previsto dalla normativa in materia di protezione dei dati personali.