Green Pass, tutti gli adempimenti e le indicazioni operative per i datori di lavoro
Con decreto legge 21 settembre 2021, n. 127 (“Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l'estensione dell'ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening”), pubblicato nella GU n. 226 del 21.09.2021, il governo italiano – il primo e ad oggi l'unico in tutta l'Unione Europea (primato non necessariamente invidiabile) - ha introdotto un obbligo generalizzato, valevole per tutti i lavoratori pubblici e privati, di possesso e di esibizione del certificato verde tra il 15 ottobre e il 31 dicembre 2021. Il presente documento intende contribuire, per quanto al momento possibile, ad una elaborazione di indicazioni anche operative per l'attuazione delle disposizioni del decreto legge nel rispetto del Regolamento UE 2016/679, nella misura in cui tale attuazione comporta un trattamento di dati personali.
Tenendo presente che gli adempimenti prescritti rappresentano di per sé fonte di ulteriore appesantimento e preoccupazione per i vari soggetti coinvolti. Sono estranei allo scopo e all'oggetto di questo documento l'inquadramento e la valutazione del decreto legge rispetto all'ordinamento giuridico e in termini più generali. Pertanto il suo contenuto non può/potrà essere inteso come espressione di una opinione - quale che sia – in tal senso.
ll D.L. 127/2021 ed il contesto normativo italiano sulle certificazioni verdi - Disposizioni centrali del d.l. 127/2021 sono ai fini del presente elaborato:
- l'art. 1, avente ad oggetto “disposizioni urgenti sull'impiego di certificazioni verdi COVID-19 in ambito lavorativo pubblico”;
- l'art. 3, avente ad oggetto “disposizioni urgenti sull'impiego di certificazioni verdi COVID-19 in ambito lavorativo privato”.
Tecnicamente gli artt. 1 e 3 inseriscono gli artt. 9-quinquies e 9-septies (il 9-sexies, introdotto dall'art. 2, ha per oggetto l'“impiego delle certificazioni verdi COVID-19 da parte dei magistrati negli uffici giudiziari” che qui non è oggetto di trattazione) nel corpo del decreto-legge 22 aprile 2021, n. 52 (“Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19”), convertito con modificazioni nella legge 17 giugno 2021, n. 87.
Il d.l. 52/2021 (coordinato con la l. 87) è l'atto normativo che mediante l'art. 9 (“Certificazioni verdi Covid 19”) ha introdotto la prima disciplina del certificato verde.
In una prima fase, con l'art. 9 ed altresì con l'art. 9-bis del d.l. 52/2021 (introdotto dall'art. 3 del d.l. 23 luglio 2021, n. 105, convertito in legge 16 settembre 2021, n. 126 che, oltre ad introdurre la previsione di uno specifico certificato per i soggetti esclusi dalla campagna vaccinale, ha ampliato l'ambito oggettivo di impiego delle certificazioni verdi), i certificati verdi sono stati imposti per impieghi diversi dalle verifiche degli accessi dei lavoratori nei luoghi di lavoro.
Con l'art. 3, comma 2, ultimo periodo, il detto d.l. 105/2021 ha stabilito che “ogni diverso o nuovo utilizzo delle certificazioni verdi COVID-19 (rispetto a quelli di cui agli artt. 9 e 9-bis del d.l. 52/2021) è disposto esclusivamente con legge dello Stato” (che merita un confronto con il contenuto del Provvedimento del Garante del 22 luglio 2021).
Successivamente, con d.l. 6 agosto 2021, n. 111 (“Misure urgenti per l'esercizio in sicurezza delle attività scolastiche, universitarie, sociali e in materia di trasporti”, poi convertito in legge 24 settembre 2021, n. 133), l'art. 1, comma 6, ha introdotto nel corpo del d.l. 52/2021 anche un art. 9-ter sull'“impiego delle certificazioni verdi COVID-19 in ambito scolastico e universitario” che ha disposto, dal 1° settembre 2021 al 31 dicembre 2021, per tutto il personale scolastico del sistema nazionale di istruzione e delle scuole non paritarie nonché per il personale e gli studenti delle università, l'obbligo del possesso e della esibizione della certificazione verde COVID-19 di cui all'articolo 9, comma 2.
Per quanto concerne gli atti normativi di rango inferiore alla legge, il riferimento è al dpcm 17 giugno 2021 (avente ad oggetto “disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52”) sul quale poi è intervenuto il dpcm 10 settembre 2021 per apportare alcune modifiche.
Certificato verde e tipologie di dati personali - La tripartizione delle fattispecie in base alle quali è emessa la certificazione verde è stabilita dall'art. 9, comma 2, del d.l. 52/2021, secondo cui le certificazioni verdi COVID-19 attestano una delle seguenti condizioni:
a) avvenuta vaccinazione anti-SARS-CoV-2;
b) avvenuta guarigione da COVID-19;
c) effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2.
Il certificato verde contiene un codice a barre bidimensionale (QR code), generato con le caratteristiche e le modalità descritte nell'allegato D al dpcm 17 giugno 2021 e con una firma digitale del Ministero della salute per impedirne la falsificazione.
Il certificato, in base all'art. 3 del citato dpcm, include in ogni caso (ovvero a prescindere dalla condizione, tra le tre, che esso attesta) i seguenti dati: nome e cognome, data di nascita e identificativo univoco del certificato (codice univoco alfanumerico munito delle caratteristiche descritte sempre nel citato allegato D): si tratta di meri dati comuni, se considerati in quanto tali.
Tuttavia l'informazione circa il possesso da parte del lavoratore del certificato verde, nella misura in cui attesta la sussistenza di una delle tre condizioni enumerate, assomiglia molto ad un dato personale relativo allo stato di salute della persona e come tale prudenzialmente è da gestire.
Quindi, per ciascuna 'causale' del certificato sono previste ulteriori informazioni che includono certamente dati attinenti alla salute (avendo a che fare, alternativamente, con la somministrazione del vaccino, con l'esito negativo del test, con l'avvenuta guarigione dalla patologia).
Il certificato cartaceo è materialmente da piegare, come da istruzioni presenti sullo stesso, in modo che la parte del documento contenente le informazioni ulteriori non debba essere visionata/consultata. Anzi, la verifica obbligatoria in ambito lavorativo dovrà limitarsi alla consultazione di quello che chiameremo il frontespizio, in quanto esso offre i dati necessari e sufficienti a consentire la verifica stessa.
Che il certificato verde venga esibito su supporto cartaceo o digitale, i dati accessibili saranno o dovranno essere (attraverso il codice QR) soltanto quelli attestanti la autenticità/validità/integrità del documento, unitamente al nome, cognome, data di nascita dell’intestatario e all'identificativo univoco del certificato. Se le verifiche verranno organizzate e compiute in modo corretto (con specifico riferimento al principio di minimizzazione ed ai principi della privacy by design/by default, artt. 5 e 25 del Regolamento UE 2016/67)), esse non comporteranno in alcun caso il trattamento, anche per mera accidentale consultazione, di dati personali diversi da quelli sopra evidenziati.
Per l'art. 13, comma 1, dpcm 17 giugno 2021, “la verifica delle certificazioni verdi COVID-19 è effettuata mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l'applicazione mobile descritta nell'allegato B, paragrafo 4, che consente unicamente di controllare l'autenticità, la validità e l'integrità della certificazione, e di conoscere le generalità dell'intestatario, senza rendere visibili le informazioni che ne hanno determinato l'emissione”.
Quanto alle operazioni successive alla verifica, il comma 5 dell'art. 13 stabilisce che “l'attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell'intestatario in qualunque forma”.
Vedremo tra breve come questa disposizione abbia dirette e precise conseguenze quanto ai limiti connessi al corretto operato dei datori di lavoro.
C'è piuttosto da considerare che la preclusione della raccolta dei dati in sede di verifica non ha a che fare e non può logicamente e giuridicamente estendersi alla preclusione delle operazioni di registrazione, uso e conservazione dell'unica informazione necessaria ai datori di lavoro: quella dovuta all'esito negativo della verifica, ovvero alla circostanza che il lavoratore abbia dichiarato di essere o sia risultato sprovvisto del certificato verde, per il fatto che a detta circostanza la legge associa precise conseguenze (vedansi i commi 6 degli artt. 1 e 3: il lavoratore sarà considerato “assente ingiustificato” fino alla presentazione della certificazione e, comunque, fino a non oltre il 31 dicembre 2021 - termine di cessazione dello stato di emergenza -, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro, mentre per i giorni di assenza ingiustificata non saranno dovuti la retribuzione né altro compenso o emolumento, comunque denominati).
L'informazione sul dichiarato o accertato non possesso del certificato verde da parte del lavoratore, a differenza di quella 'positiva', non sembra assumere carattere sensibile. Il perché si riassume nel concetto che troppe ed eterogenee possono essere le ragioni per cui un lavoratore/interessato non risulta munito del certificato verde. Il non possesso del certificato verde (salvo quanto previsto dagli artt. 1 e 3, commi 3, del d.l. 127) lascia del tutto impregiudicata ed ignota al datore di lavoro la relativa ragione o causa e, d'altronde, questa ulteriore informazione non può e non deve interessargli.
Il datore si limita alla verifica del possesso o meno del certificato verde. Il non possesso del certificato verde risulterebbe dunque dato comune, ai sensi del Regolamento UE 2016/679.
Inoltre, per quanto riguarda una terza categoria di lavoratori di cui al d.l. 127, desumibile dai commi 3 degli artt. 1 e 3 (per i quali “le disposizioni di cui ai commi 1 e 2 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute”), è prudente attendere la circolare, al momento non potendosi far altro che stigmatizzare una tecnica legislativa che non sa più produrre norme, per così dire, autosufficienti.
Quello che già dovremmo dare per scontato è che anche in questo caso nessuna informazione di tipo diagnostico concernente il lavoratore dovrà/dovrebbe rendersi accessibile al datore di lavoro, anche se la circostanza stessa dell'esenzione dalla campagna vaccinale inevitabilmente si lascia attrarre nella categoria dei dati sensibili.
Alcune importanti affermazioni del Garante Privacy - Il Garante, in sede di risposta ad alcuni quesiti sul green pass (che qui si insisterà a chiamare 'certificato verde' o 'certificazione verde'), in data 06.09.2021 (v. sito istituzionale) ha affermato che “prescindendo, in questa sede, dall’esame della ragionevolezza dell’estensione dell’ambito applicativo delle certificazioni verdi nei termini progressivamente delineati dai dd.ll. nn. 105 e 111 del 2021 e dalle implicazioni di tale estensione sulla proporzionalità del corrispondente trattamento, si può intanto rilevare come esso sia legittimo nella misura in cui si limiti ai soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo in esame (titolarità della certificazione da vaccino, tampone o guarigione), alle operazioni a tal fine necessarie e segua le modalità indicate dal dPCM 17 giugno 2021, attuativo dell’art. 9 del d.l. n. 52 del 2021.”
Il Garante ha osservato che, “come espressamente chiarisce l’art. 9-bis, c. 4, secondo periodo, del d.l. n. 52, introdotto dall’art. 3 del d.l. n. 105, anche nelle nuove ipotesi di ostensione della certificazione verde, introdotte da quest’ultimo provvedimento, si applica la disciplina procedurale prevista dal dPCM 17 giugno 2021, attuativo dell’art. 9, c. 10, del d.l. n. 52, ai fini delle modalità di esecuzione della verifica delle certificazioni stesse”. Disciplina procedurale che comprende “anche il potere di verifica dell’identità del titolare della stessa, con le modalità e alle condizioni di cui all’art. 13, c. 4, del citato dPCM, da leggersi anche alla luce della recente circolare del Ministero dell’interno del 10 agosto u.s.”: sul punto è facile osservare come la verifica dell'identità dei titolari dei certificati verdi sia destinata a rimanere del tutto residuale nei luoghi di lavoro.
Rilevanti ai fini del presente documento sono le ulteriori affermazioni del Garante: quella per cui “tra le garanzie previste dal citato dPCM 17 giugno 2021 è, del resto, compresa anche l’esclusione della raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione, in qualunque forma (art. 13, c. 5)” (già del resto riportata nel paragrafo precedente); e l'altra, concernente il caso dei soggetti esenti dall'obbligo di ostensione del certificato per cui, nel rispetto del principio di minimizzazione, non dovrà procedersi alla “rilevazione di dati eccedenti le finalità perseguite e, in particolare, di dati inerenti la condizione sanitaria dell’interessato”.
Infine, sempre dal medesimo contesto è l'osservazione del Garante secondo cui “il combinato disposto dei dd.ll. nn. 52 e 105 del 2021, nonché del citato dPCM 17 giugno 2021 delinea, (...), presupposti e limiti dei doveri di verifica delle certificazioni verdi sanciti in capo ai gestori delle strutture interessate. Il trattamento dei dati personali funzionale a tali adempimenti, se condotto conformemente alla disciplina su richiamata e nel rispetto delle norme in materia di protezione dei dati personali (e in primo luogo del principio di minimizzazione) non può, pertanto, comportare l’integrazione degli estremi di alcun illecito, né tantomeno l’irrogazione delle sanzioni paventate nelle note ricevute dal Garante”.
Finalità e base giuridica dei trattamenti - La finalità dei trattamenti di dati personali è da individuare nell'adempimento da parte dei datori di lavoro di obblighi di legge. La base giuridica dei trattamenti di dati personali dovrebbe dunque essere articolata come di seguito: art. 6.1. lett. c) ed art. 9.2, lett. b), rispettivamente corredati dall'art. 1 o 3 del d.l. 127/2021, a seconda della natura pubblica o privata del datore/titolare; in aggiunta e nei limiti in cui applicabile, il par. 1 del provvedimento del Garante del 5 giugno 2019 (“Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro”).
Adempimenti dei datori di lavoro - Si sintetizzano qui gli obblighi dei datori di lavoro come stabiliti dagli artt. 1 e 3, nella loro progressione:
1. definizione delle modalità operative per l'organizzazione delle verifiche entro il 15 ottobre 2021 (commi 5)
2. (conseguente) individuazione con atto formale dei soggetti incaricati dell'accertamento del rispetto degli obblighi di cui ai commi 1 e 2 (commi 5; nel caso del comma 5 dell'art. 1, il legislatore ha aggiunto “contestazione” dopo “accertamento”, evidentemente in base ad un refuso che dovrebbe essere corretto, perché la contestazione delle violazioni pertiene ai soggetti a ciò deputati in base alle norme di legge)
3. verifica (a partire dal 15 ottobre 2021) del rispetto delle prescrizioni di cui ai commi 1 e 2 (commi 4)
4. gestione della “assenza ingiustificata” del lavoratore
5. eventuale applicazione di sanzioni disciplinari (in caso di eseguito accesso da parte del lavoratore nei luoghi di lavoro in violazione dei commi 1 e 2)
E' inevitabile osservare che il legislatore da un lato impone ai datori di lavoro, pubblici e privati, di definire le modalità operative per l'organizzazione delle verifiche (punto 1.), dall'altro affida ad un dpcm il compito di indicare le modalità (è scomparso qui, in entrambi i commi 6, l'attributo “operative”) di effettuazione delle verifiche, moltiplicando le fonti normative e sottoponendo gli obbligati ad una attesa, già essendo così ristretto il margine temporale per attrezzarsi. I tempi del dpcm potrebbero essere oltremodo lunghi nel caso dei datori di lavoro pubblici, sol che si consideri l'iter disegnato al comma 5 dell'art. 1 (“le verifiche delle certificazioni verdi (...) sono effettuate con le modalità indicate” dal dpcm. “Il Presidente del Consiglio dei ministri, su proposta dei Ministri per la pubblica amministrazione e della salute, può adottare linee guida per la omogenea definizione delle modalità organizzative di cui al primo periodo. Per le regioni e gli enti locali le predette linee guida, ove adottate, sono definite d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281”).
E' difficile interpretare i citati commi 5 in modo che le due specifiche disposizioni non risultino in contrasto tra loro: per dare un senso sia all'obbligo dei datori che all'emanando dpcm si deve ritenere che il primo riguardi la progettazione e la predisposizione di tutti i mezzi per il compimento delle attività prescritte ai datori dagli artt. 1 e 3, eccezion fatta per quelle modalità di effettuazione delle verifiche che la legge vuole oggetto della disciplina del dpcm; è come dire che spetta al dpcm fissare le modalità di una singola (tra le altre, numerose) attività. E, tuttavia, con questa norma il legislatore pare aver piazzato un ostacolo proprio sulla via che ha imposto di imboccare se è vero che, pur in assenza del dpcm, dovrebbe essere sufficientemente chiaro in che cosa debbano consistere ovvero come debbano essere eseguite (e limitate) le suddette verifiche (come si evince anche dalle sopra indicate affermazioni del Garante).
Sul piano giuridico-formale, infatti, sembra doversi ritenere che in assenza dell'atteso dpcm, tutta la 'macchina' delle verifiche dei certificati verdi nei luoghi di lavoro sia destinata ad un immediato inceppamento, senza che dell'inconveniente possa dunque contestarsi alcuna responsabilità ai datori di lavoro.
In ambito pubblico il problema può farsi anche più complesso, in quanto la norma salva la possibilità che governo, regioni ed enti locali adottino linee guida per la omogenea definizione delle modalità organizzative, cioè prendano (con i loro tempi) quelle decisioni di cui al primo periodo del comma 5 che la stessa norma impone a tutti i datori di lavoro pubblici.
Fatte queste considerazioni, in attesa del dpcm il datore di lavoro dovrebbe per quanto possibile pensare, approntare e decidere (formalizzando le decisioni in apposito e succinto piano organizzativo), prima del 15 ottobre 2021:
- la scelta del dispositivo o dei dispositivi munito/i della App per procedere alle verifiche;
- il criterio delle verifiche : 1) su tutto il personale o a campione, nel secondo caso definendo chiaramente e ragionevolmente i criteri del campionamento; 2) da eseguire all'accesso nei luoghi di lavoro (come prioritariamente indicano le norme) e/o anche successivamente (in tal caso, se possibile, motivandone le ragioni);
- la nomina, anche ai fini 'data protection', dei collaboratori incaricati delle verifiche, comprensiva delle istruzioni necessarie ad assicurare il rispetto, in particolare, delle esigenze di riservatezza e del principio di minimizzazione (scarica modello dall'area dowload);
- la istruzioni da impartire agli uffici del personale ovvero ai collaboratori incaricati della gestione amministrativa dello stesso per la registrazione delle assenze “ingiustificate” e per il riporto delle informazioni indispensabili nelle buste paga;
- la consegna agli interessati e/o la pubblicazione in azienda di idonee informative ai sensi dell'art. 13 (scarica modello dall'area dowload);
- la predisposizione degli accessi in modo che le verifiche siano eseguite garantendo la riservatezza e il rispetto della dignità delle persone;
- la revisione del registro dei trattamenti con l'aggiunta di questo ulteriore trattamento.
Con l'avvertenza che, per alcuni degli adempimenti di cui sopra (ed in particolare su alcuni aspetti di dettaglio relativi al criterio prescelto per le verifiche, sul contenuto delle istruzioni ai verificatori), le decisioni dei datori potranno verosimilmente dover fare i conti con quanto sarà disposto dal dpcm.
Controlli preventivi - Si è da molte parti prospettata l'ipotesi di procedere ad una organizzazione preventiva delle verifiche, onde snellire la gestione complessiva degli obblighi di cui al d.l. 127/2021.
Intanto bisogna osservare che proprio la scelta della verifica a campione potrebbe costituire il fattore determinante dell'auspicato alleggerimento.
Ma soprattutto è da precisare, alla luce di quanto già visto, come qualunque controllo preventivo risulti ipso iure precluso, salvo il resto (per esempio, nel caso, la necessità di trattare dati aggiornati), dalla circostanza che esso comporterebbe comunque una raccolta e registrazione di dati che le disposizioni non consentono. E non sarebbe corretto neppure limitare la raccolta delle informazioni agli interessati muniti del solo certificato di test, già essendo questa una informazione sul lavoratore che il datore non deve trattare neppure per mero accesso o consultazione. E ancora: non potrebbe darsi un siffatto trattamento quand'anche fosse autorizzato dagli interessati, perché sappiamo che il consenso è base giuridica raramente, eccezionalmente invocabile nei rapporti di lavoro e in tal caso è del tutto improponibile.
Chi contesta le violazioni amministrative - I commi 9 e 10 rispettivamente dell'art. 1 e dell'art. 3 dispongono che le sanzioni (amministrative) per datori e lavoratori siano irrogate dal Prefetto.
Per quanto concerne i soggetti incaricati dell'accertamento e della contestazione delle violazioni, in base all'art. 13, comma 6, del dpcm 17 giugno 2021, sono quelli di cui all'art. 4, comma 9, del decreto-legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35 (l'art. 4, comma 9, essendo richiamato anche dagli artt. 1 e 3 del d.l. 127/2021, rispettivamente ai commi 8 e 9). La disposizione indica forze di polizia, personale dei corpi di polizia municipale munito della qualifica di agente di pubblica sicurezza e, ove occorra, delle Forze armate (...!), sentiti i competenti comandi territoriali (previa attribuzione dal competente Prefetto della qualifica di agenti di pubblica sicurezza), personale ispettivo dell'azienda sanitaria locale competente per territorio e dell'Ispettorato nazionale del lavoro limitatamente alle sue competenze in materia di salute e di sicurezza nei luoghi di lavoro.
A questi soggetti (e non ad altri) compete dunque quanto sopra, unitamente alla trasmissione al Prefetto degli atti relativi alle violazioni accertate.