NEWS

Green Pass e accesso al luogo di lavoro, la conservazione dei dati si configura come trattamento illecito

Il Governo ha appena varato il decreto-legge n. 127/2021 che prevede l'obbligo di certificazione verde per accedere ai luoghi di lavoro. A mente dell'art. 3, i datori di lavoro hanno fino al 15 ottobre 2021 (data di decorrenza delle prescrizioni contenute nel provvedimento) per predisporre il sistema di controlli cui sono proposti. Essendo circolata la bozza del decreto-legge diverse ore prima della sua pubblicazione nella Gazzetta Ufficiale, le aziende più previdenti hanno già incominciato a elaborare i protocolli di controllo e si sono trovate a risolvere alcune questioni di non secondaria importanza.

In assenza di esplicita previsione al datore di lavoro è consentita la sola verifica (al momento dell'accesso nel luogo di lavoro ovvero a campione) del possesso della certificazione verde

Tra queste vi è la possibilità di ottenere e conservare la certificazione verde dei dipendenti, ovvero traslare i dati ivi contenuti in un sistema informatico aziendale che, al momento dell'ingresso del dipendente nel luogo di lavoro (tipicamente quando lo stesso quotidianamente passa il badge), ne segnali l'eventuale non conformità.

Questi sistemi, che renderebbero molto più veloce e – per alcuni aspetti – sicuro il controllo di conformità dei propri dipendenti rispetto al possesso del certificato verde trovano, a nostro avviso, un serio ostacolo nell'attuale impianto normativo previsto dal decreto-legge e dalla normativa in materia di protezione dei dati personali.

L'art. 3 prevede, infatti, solo un obbligo per i dipendenti di possedere ed esibire a richiesta del datore di lavoro le certificazioni verdi e demanda a quest'ultimo l'attività di verifica, anche a campione.

Non è, quindi, desumibile dal testo normativo (né altrove) la possibilità per il datore di lavoro di conservare (in maniera cartacea o elettronica) alcun dato contenuto nelle certificazioni verdi dei propri dipendenti, né – più semplicemente – di segnarsi su un foglio di carta chi è in regola o meno.

Ricordiamo che i dati contenuti nelle certificazioni verdi sono pur sempre dati personali, anche inerenti alla salute della persona e, come tali, considerati sensibili e il cui trattamento, inclusa l'eventuale conservazione, richiede, quindi, l'individuazione di una corretta base giuridica ai sensi del Regolamento UE 2016/670, meglio noto come GDPR.

In assenza di esplicite previsioni in tal senso, al datore di lavoro è, quindi, consentita la sola verifica (al momento dell'accesso nel luogo di lavoro ovvero a campione) del possesso della certificazione verde da parte del dipendente senza che lo stesso possa, invece, avvalersi di altre applicazioni o sistemi informatici che non siano quelle predisposte dal Governo ed in uso presso tutti i luoghi in cui le verifiche devono essere effettuate.

Il datore di lavoro che decidesse di conservare i dati (in qualsiasi modo, sia tramite copia della certificazione, cartacea o digitale, che tramite raccolta di altri tipi di dati – ad esempio la data di rilascio del Green Pass) realizzerebbe un trattamento illecito, come tale sanzionabile secondo le prescrizioni del GDPR. Tale trattamento sarebbe anche in violazione del principio di proporzionalità presente nella normativa richiamata.

In aggiunta, i dati trattati, pensiamo ad un green pass emesso a seguito di tampone, diverrebbero in poco tempo dati non corretti, esponendo il datore di lavoro ad un ulteriore forma di irregolarità derivanti dal trattamento di dati inesatti.

È importante sottolineare che, oltre i rischi di violazione della normativa in materia di protezione dei dati personali, la conservazione delle certificazioni verdi con i dati connessi espone il datore di lavoro ad altri rischi.

In caso di positività accertata, la certificazione verde viene revocata e tale revoca viene evidenziata al momento dell'utilizzo dell'applicazione governativa. Non è possibile, allo stato attuale, implementare un sistema automatico di revisione e controllo delle certificazioni verdi che il datore di lavoro decidesse di conservare in forma cartacea o elettronica, né lo stesso andrebbe esente da responsabilità affidando al dipendente l'obbligo di segnalare un mutamento del proprio stato di certificazione.
Il datore di lavoro sarebbe, certamente, chiamato a responsabilità se, dopo aver raccolto la certificazione verde del dipendente, consentisse allo stesso l'accesso sul luogo di lavoro, a prescindere che la certificazione fosse stata, nel frattempo, revocata.

È del tutto evidente che l'impianto di controlli predisposta dal Governo, che riversa sul datore di lavoro una consistente mole di attività è accettabile solo in considerazione dell'auspicata limitatezza del periodo emergenziale. Dovesse rendersi necessario un prolungamento di questi obblighi, appare senza dubbio necessario ripensare al sistema di controlli implementabile dal datore di lavoro che lo esenti dal dover ogni mattina controllare i codici QR di ogni singolo dipendente tramite un'applicazione presente di un dispositivo mobile.

Fonte: Il Sole 24 Ore del 24 settembre 2021

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev No ai controlli a tappeto sui pc dei dipendenti da parte del datore di lavoro
Next Green pass in azienda, necessari regolamenti ad hoc

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy