Verifica Green Pass a prova di privacy: come i datori di lavoro del settore privato possono prepararsi alla scadenza del 15 ottobre
È ufficiale: il 16 settembre 2021 il Consiglio dei ministri ha approvato il testo del decreto-legge relativo alle “Misure urgenti per assicurare lo svolgimento insicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening (decreto-legge)”, n. 127, in vigore dal giorno successivo alla pubblicazione in Gazzetta Ufficiale, avvenuta il 21 settembre 2021.
Con tale decreto, l’obbligo di esibire la Certificazione Verde (c.d. “Green Pass”), già in vigore, tra gli altri, per la fruizione di una serie di servizi al chiuso, è stato esteso con riferimento “all’accesso nei luoghi di svolgimento dell’attività lavorativa” del settore privato, relativamente a tutti i soggetti che “svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato” nei luoghi di cui sopra “anche sulla base di contratti esterni” (quindi, anche nei confronti dei fornitori di servizi esterni, così come dei collaboratori a partita IVA o dei fornitori di servizi tecnici o di pulizia).
Il controllo relativo al rispetto di tale prescrizione sarà obbligatorio in zona bianca, gialla, arancione e rossa, in tutti i casi in cui i soggetti tenuti alla verifica possano operare “in presenza”, a partire dal 15 ottobre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza.
Posta la portata molto ampia della estensione di cui al decreto del 21 settembre, è bene però ricordare che, salvo nel caso in cui l’attività del datore di lavoro privato rientri in una delle categorie di servizi la cui fruizione sia stata ugualmente sottoposta all’obbligo di presentazione della Certificazione a partire dal mese di agosto 2021 (e, quindi, ristoranti al chiuso; spettacoli, musei; piscine, palestre – limitatamente alle attività al chiuso; convegni e congressi; centri termali, parchi tematici e di divertimento; centri culturali, centri sociali e ricreativi – limitatamente alle attività al chiuso e con esclusione dei centri educativi per l’infanzia, compresi i centri estivi – e le relative attività di ristorazione e le sale gioco o in caso di servizi di trasporto privato tramite autobus interregionali o che permettano accesso a scuole e università) il nuovo testo non sembrerebbe permettere – salvo differenti indicazioni o interpretazioni delle autorità competenti – la subordinazione dell’accesso dei clienti all’esibizione del Green Pass, dal momento che si prevede la possibilità di richiedere la presentazione della Certificazione con esclusivo riferimento a “chiunque svolga una attività lavorativa” nel settore privato, in quello pubblico e negli uffici giudiziari.
È opportuno quindi approcciare questo adempimento cercando, per quanto possibile, di arrivare preparati alla scadenza di ottobre, in particolare assicurandosi di rispettare, oltre alle disposizioni di cui alla normativa emergenziale, anche le norme in materia di privacy, dal momento che il controllo del Green Pass comporta un trattamento, anche se minimale, di dati personali ai sensi del Regolamento (UE) 679/2016 (GDPR) e del novellato Codice Privacy italiano.
Ma vediamo come.
1. Impostare una procedura
Il decreto prevede, innanzitutto, che i datori di lavoro privati definiscano, entro la scadenza di ottobre, “le modalità operative per l’organizzazione delle verifiche […], anche a campione, prevedendo prioritariamente, ove possibile, che tali controlli siano effettuati al momento dell’accesso ai luoghi di lavoro”.
Pertanto, il primo impegno dei datori sarà quello di definire una procedura per l’effettuazione del controllo, meglio se per iscritto, al fine di facilitare la formazione degli incaricati “verificatori” e disporre la documentazione utile a provare l’avvenuto adempimento. La previsione della possibilità di effettuare controlli “a campione” e l’indicazione del fatto che la verifica debba essere effettuata “ove possibile” in sede di accesso potrà inoltre aiutare le aziende di grandi dimensioni, o comunque permetterà ai singoli di organizzarsi per evitare code o assembramenti agli ingressi.
I dettagli “operativi” di tali controlli, salvo specifici chiarimenti del Garante per la protezione dei dati personali e/o eventuali ulteriori Linee Guida ministeriali (la cui emanazione è stata al momento prevista, in via ufficiale, solo per quanto riguarda i lavoratori del settore pubblico, ai sensi dell’art. 1 comma 5 del decreto-legge) non dovrebbero differire in maniera sostanziale da quelli già implementati con riferimento a ristoranti al chiuso e alle altre attività del settore privato già interessate dall’obbligo di verifica, dal momento che anche il decreto 127 del 21settembre rimanda al DPCM del 17 giugno 2021[1]: lettura del QR code tramite l’unico applicativo autorizzato a tal fine, le cui caratteristiche vengono definite all’Allegato B del DPCM stesso (ossia l’applicazione “VerificaC19”, l’unica ad oggi autorizzata a tal fine per il settore privato) e visualizzazione delle sole informazioni corrispondenti a nome, cognome, data di nascita dell’intestatario della Certificazione e validità del certificato scannerizzato.
Le modalità di utilizzo dell’applicativo “VerificaC19”, disponibile gratuitamente all’interno di tutti i principali App Store, sono state chiaramente esplicate tramite la messa a disposizione degli operatori e del pubblico, tra l’altro, di FAQ dedicate all’interno del sito ufficiale dedicato alla Certificazione Verde, che ne mette a disposizione anche un utile Manuale d’Uso (il quale fornisce alcuni esempi di schermate di esito restituite dalla Applicazione).
In merito, invece, alla possibilità di richiedere la presentazione di un documento di identità congiuntamente al Pass (tema probabilmente meno rilevante per un ambito in cui preesiste un rapporto tra il “verificatore” e il “verificato”), si ricordano invece i chiarimenti, forniti in risposta ai quesiti dei gestori delle attività già soggette all’obbligo di richiesta del Green Pass, di cui alla Circolare del Ministero degli interni del 10 agosto 2021. Tramite tali precisazioni il Ministero degli interni ha ribadito che tale richiesta da parte di soggetti privati è discrezionale e “necessaria in caso di abuso o elusione delle norme, come, ad esempio, quando appaia manifesta l’incongruenza con i dati anagrafici contenuti nella certificazione”.
2. Non registrare, in nessun caso, i dati personali
Posto che il decreto-legge prevede (articolo 3, comma 5) che le verifiche delle Certificazioni Verdi COVID-19 debbano essere effettuate con le modalità indicate dal DPCM del 17 giugno, rimane fermo il divieto, anche nel rispetto del principio di minimizzazione, previsto dal GDPR, di raccogliere (e quindi registrare) i dati personali dell’interessato in qualsiasi forma nel corso delle attività di controllo.
Tra l’altro, si tratta anche di una regola di buon senso, posto che i) le Certificazioni dispongono di una scadenza, non visibile ai verificatori che utilizzano il sistema VerificaC19 e che ii) le scadenze possono variare sensibilmente, dal momento che la Certificazione potrebbe attestare una qualunque delle seguenti circostanze:
- la vaccinazione in cui è stato completato il ciclo vaccinale;
- la vaccinazione con la sola prima dose (che perde di validità nel caso entro il termine prestabilito non si proceda con la seconda);
- l’avvenuta guarigione dall’infezione precedentemente contratta;
- l’effettuazione di un test molecolare o antigenico rapido (si tratta del Pass con scadenza più breve).
3. Autorizzare e istruire per iscritto gli incaricati
Benché i dati personali dei dipendenti oggetto di controlli non possano essere registrati, anche la sola presa visione, da parte dei soggetti incaricati della verifica, delle informazioni summenzionate comporta un trattamento di dati personali. Pertanto, così come previsto dallo stesso decreto del 21 settembre (che richiede di “individuare con atto formale” gli incaricati dell’accertamento) il datore di lavoro, che opera come titolare del trattamento, ai sensi del GDPR, nel contesto dei controlli, sarà tenuto ad autorizzare formalmente, come previsto dall’articolo 29 del Regolamento, il personale incaricato dell’attività di verifica.
Pertanto, ciascun datore, o integrando gli atti formali di autorizzazione già esistenti o predisponendone una versione appositamente dedicata alla verifica della Certificazione, dovrà predisporre dei testi di istruzioni volte ad assicurarsi che il singolo incaricato rispetti le indicazioni di cui alla normativa di emergenza, quali il divieto di registrazione delle informazioni, la richiesta del documento di identità nei soli casi in cui ricorrano le condizioni di cui alla Circolare del Ministero degli interni, l’utilizzo della applicazione VerificaC19 nel rispetto delle relative linee guida e manuali operativi, nonché gli obblighi imposti dal GDPR, quali un impegno generale alla riservatezza, alla osservanza delle policy e procedure aziendali in materia di protezione dei dati personali (da richiamare, se del caso) nonché a presentare agli interessati il testo di informativa predisposto dal datore-titolare.
4. Redigere una informativa dedicata e aggiornare il Registro dei trattamenti
Costituendo l’attività di verifica un trattamento di dati a tutti gli effetti, lo stesso andrà quindi descritto, fornendo agli interessati (i lavoratori il cui Green Pass sarà oggetto di controllo) un testo di informativa, da predisporre indicando tutti gli elementi di cui all’art. 13 del GDPR ed utilizzando un linguaggio chiaro e comprensibile, che permetta ai lavoratori di disporre di tutte le informazioni rispetto ai dati oggetto di trattamento, ai mezzi impiegati e alle finalità perseguite, anche al fine di rassicurarli in merito all’effettiva tutela delle informazioni relative allo status vaccinale del singolo. In particolare, si dovrà specificare che anche il dato relativo al mancato possesso della Certificazione (o al possesso di un Green Pass invalido o scaduto) sarà oggetto di registrazione, al fine di permettere al datore di prendere i provvedimenti di cui al decreto-legge 127.
Il trattamento così esplicato nel testo di informativa andrà infine censito all’interno del Registro dei trattamenti del datore di lavoro, indicando quindi le categorie di dati trattati, gli interessati, le finalità di trattamento, le misure di sicurezza in essere e gli eventuali destinatari dei dati stessi quali, ad esempio, eventuali fornitori incaricati dei servizi di security aziendali, i quali, se del caso, dovranno sottoscrivere con il datore-titolare del trattamento apposita nomina a responsabile, che individui le istruzioni di trattamento nel rispetto dei contenuti minimi di cui all’articolo 28 del GDPR.
5. Attenzione ai casi di esenzione dall’obbligo di presentazione del pass
Non da ultimo va considerata la tematica dei soggetti esenti dalla campagna vaccinale, rispetto ai quali il decreto n. 127 del 21 settembre prevede semplicemente una non applicazione dell’obbligo di “possedere o esibire su richiesta” il Pass “sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute”.
Il Ministero della Salute ha infatti precisato che “le certificazioni di esenzione alla vaccinazione […] potranno essere rilasciate in formato cartaceo e potranno avere una validità massima fino al 30 settembre 2021, salvo ulteriori disposizioni; la durata di validità, sulla base delle valutazioni cliniche relative, verrà aggiornata quando sarà avviato il sistema nazionale per l’emissione digitale delle stesse al fine di consentirne la verifica digitale. Temporaneamente e fino al 30 settembre 2021, salvo ulteriori disposizioni, sul territorio nazionale sono validi i certificati di esclusione vaccinale già emessi dai Servizi Sanitari Regionali.”
È importante considerare che, per espressa previsione contenuta anche nella Circolare, nemmeno la verifica della certificazione di esenzione permetterà al datore di lavoro di avere accesso ad informazioni di carattere medico-sanitario relative all’interessato. Ciò in quanto tale documento permetterà di accedere esclusivamente ai dati identificativi del soggetto interessato (nome, cognome e data di nascita, così come per il Green Pass), oltre che ad informazioni specifiche relative al certificato stesso, quali la data del termine della validità, una dichiarazione di validità e gli identificativi del medico certificatore.
Chi è esente dall’obbligo di presentazione del Pass dovrà in ogni caso – sempre secondo la Circolare del Ministero della Salute – essere adeguatamente informato sulla necessità di continuare a mantenere le misure di prevenzione: tuttavia, nessuna disposizione del decreto sembra prevedere esplicitamente la possibilità per il datore di subordinare l’accesso ai luoghi di lavoro di questa categoria di soggetti alla presentazione di un tampone negativo (la cui gratuità per gli esenti dalla campagna vaccinale è stata ugualmente prevista nel decreto-legge), posto che il provvedimento si limita a prevedere l’inapplicabilità, per tali soggetti, delle misure di verifica della Certificazione Verde.
Conclusioni
Al di là delle polemiche e delle contestazioni che hanno caratterizzato la regolamentazione iniziale e la successiva estensione – in particolare con riferimento ai luoghi di lavoro del settore pubblico e privato – dell’obbligo di possesso del cd. “Green Pass,” di certo si può dire che la normativa emergenziale che ne regola l’applicazione, vuoi anche a causa della successiva “stratificazione” di differenti fonti normative, nonché il coinvolgimento di tanti attori, risulta non di immediata comprensione.
Si rende quindi necessario un attento studio, con il supporto di un legale o del proprio Data Protection Officer, di tutte le indicazioni delle autorità al riguardo, nonché una applicazione anche ai trattamenti che derivano dai nuovi obblighi di “verifica” dei principi e delle regole fondamentali relativi al trattamento dei dati personali, al fine non solo di osservare la normativa in materia protezione dei dati, ma anche di “rassicurare” i soggetti sottoposti alla verifica in merito al rispetto della propria riservatezza e delle proprie scelte in ambito vaccinale.
NOTA: Il presente articolo sarà soggetto ad aggiornamento in caso di emanazione delle linee guida o di eventuali ulteriori indicazioni operative da parte delle autorità competenti.
[1] Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19». (21A03739) (GU Serie Generale n.143 del 17-06-2021).