NEWS

Green Pass nei luoghi di lavoro, importante disporre di un piano organizzativo

In occasione del seminario che Federprivacy ha organizzato venerdì 8 ottobre, a cui hanno partecipato più di 600 esperti del settore, sono stati affrontati, sia pure in presenza di molte incertezze dovute ad un quadro normativo in continua evoluzione, i temi relativi alla gestione deli controlli sulla validità del Green Pass i cui controlli, nella PA e nelle imprese private, saranno obbligatori dal 15 ottobre per poter accedere ai luoghi di lavoro.

Per una gestione efficace del Green Pass nelle aziende occorre un piano organizzativo


Tra le tematiche che hanno riscosso notevole interesse, si vuole segnalare, in particolare quella relativa al piano organizzativo. Si tratta di un documento che attesta le “modalità organizzative” messe in atto dalle organizzazioni (pubbliche e private) per dare evidenza della adeguata applicazione di quanto previsto dal D.L. n. 127 del 21 settembre 2021 (integrato dal D.L. 139 del 8 ottobre 2021 e dalle linee guida sul Green Pass di cui al momento sono disponibili solo delle bozze.

Dato che l’applicazione di quanto previsto dalla normativa citata ha un notevole impatto sulla protezione dei dati personali, tale documento, oltre a fungere come criterio di audit, per dare evidenza delle misure adottate, dovrebbe anche indicare le misure poste in atto per il rispetto degli adempimenti in materia di protezione dei dati personali.

Monica Perego, membro del Comitato Scientifico di Federprivacy

(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)

Tra le misure da considerare ed ovviamente adattare ai singoli contesti, si segnalano, per quanto applicabili, le seguenti:

a) modello di informativa per gli interessati dipendenti ed esterni con indicati i trattamenti, da considerare quelli, per quando applicabili, relativi a:
- controllo del Green Pass per tutti i lavoratori che accedono al luogo di lavoro
- controllo del certificato di esenzione vaccinale dei lavoratori che accedono al luogo di lavoro – in attesa di eventuale Q-code integrativo
- controlli Green Pass lavoratori e delle relative comunicazioni non in possesso di Green Pass all'ingresso del luogo di lavoro – laddove posti in atto
- controlli Green Pass lavoratori e delle relative comunicazioni non in possesso di Green Pass in fase di controllo a campione del luogo di lavoro – laddove posti in atto o le comunicazioni da parte dei lavoratori, su richiesta del datore di lavoro, volta a garantire l’efficace programmazione del lavoro;

b) aggiornamento del registro del trattamento dati personali (vedasi art 30 del Reg. EU 2016/679) sulla base dei trattamenti effettuati come indicato al punto precedente;

c)  atto di nomina dei soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi di cui ai commi 1 e 2 (i soggetti incaricati dell’accertamento potrebbero essere anche soggetti diversi da quelli incaricati della contestazione) di fatto si tratta dell’ ”atto formale” di cui all’Art 1 comma 5 ed Art. 1 comma 5;

d) laddove è previsto il ricorso ad applicazioni software (es. montate su totem) in alternativa all’uso dell’app Covid-19, le garanzie, che si ricordano non rappresentano comunque un elemento esimente per il Titolare del trattamento, che saranno fornite dal produttore/installatore in merito al rispetto della normativa in materia di protezione dei dati personali, e da quanto previsto dal Decreto, nonché previamente effettuata una corretta analisi dei rischi, una valutazione d’impatto (DPIA) e se del caso il ricorso all’art 36 del Gdpr “consultazione preventiva”;

e) DPIA, in carico al titolare del trattamento, da valutare in relazione alla complessità dell’organizzazione (sedi, numero dipendenti, tipologia delle attività lavorative ecc.) per tracciare e valutare l’adeguatezza tutto il flusso dei dati, sia in caso di esito positivo del controllo della validità del Green Pass sia in caso di esito negativo (ovvero Green Pass mancante/non valido/non leggibile). Inoltre, una DPIA è necessaria per valutare come viene tutelata la riservatezza dei soggetti che, all’atto del controllo, sia esso a campione o previsto per il 100% degli ingressi, non fossero in possesso del documento valido e per i quali deve essere impedito l’accesso al perimetro aziendale;

f) estensione/aggiornamento della nomina a Responsabile del trattamento ove si dovesse demandare a soggetti terzi il controllo dei Green Pass (es. società di vigilanza per servizi di portierato).

Tutti i contenuti del documento, ma in particolare quelli previsti in questa sezione, dovrebbero essere condivisi con il Data Protection Officer, laddove nominato, affinché si possa poter dare dimostrazione il coinvolgimento di quest’ultimo, da parte del Titolare del trattamento, in tutte le questioni afferenti alla protezione dei dati personali, come recita il paragrafo 1 dell’art. 38 del Regolamento EU 2016/679 “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.”

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev I fondamentali requisiti dei sistemi di Intelligenza Artificiale per evitare forme di discriminazione
Next Il potere autoritativo nel trattamento dei dati personali

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy