Sul green pass in aziendail nodo della privacy

La pandemia ha messo a dura prova l’organizzazione delle imprese anche sotto il profilo dell’adeguamento del lavoro alle disposizioni di prevenzione espresse dal legislatore, dall’esecutivo e dalle competenti Autorità sanitarie.

Il Governo ha indicato nel Green Pass lo strumento principale per affrontare un autunno che sarà ancora emergenziale e proseguire verso l’immunità di comunità.

Il primo passo è stato quello di imporre la certificazione per luoghi ritenuti particolarmente “delicati” (scuole pubbliche, mense delle forze dell’ordine, etc.: cfr. decreto-legge n. 105 del 2021). Successivamente l’obbligo è stato ulteriormente esteso e rafforzato (si pensi al recentissimo D.L. 122 del 2021).

Il Consiglio dei Ministri del 16 settembre 2021 ha dato la svolta finale alla strategia del Governo: nel corso della riunione è stato infatti messo in cantiere un decreto (che probabilmente andrà in Gazzetta a tempo di record) che estenderà anche al lavoro privato l’obbligo di Green pass.

Le linee essenziali del provvedimento, per quanto fino ad ora comunicato dai canali ufficiali, saranno, per il lavoro privato, le seguenti:

1) L’obbligo scatterà, a partire dal 15 ottobre, per tutte le imprese: fabbriche, uffici, studi professionali e aziende.

2) I lavoratori dovranno presentarsi muniti di Green Pass digitale o cartaceo (saranno previste gravi sanzioni per i falsificatori). In caso contrario saranno immediatamente sospesi dal lavoro (senza conseguenze disciplinari e con conservazione del posto di lavoro, ma senza retribuzione) fino alla fine del periodo di emergenza, o fino a quando si muniranno di Green Pass. Dopo 5 giorni, le imprese con meno di 15 dipendenti potranno applicare una sospensione di massimo dieci giorni. Pare di capire che si tratterà di una sospensione di carattere disciplinare, con le relative conseguenze sul rapporto di lavoro.

3) Saranno esenti solo i soggetti che potranno produrre idonea certificazione medica (i criteri di tale certificazione saranno stabiliti con circolare del Ministero della Salute).

4) La responsabilità delle verifiche ricadrà sul datore di lavoro, al quale sarà addossato il compito non semplice di gestire il lavoratore e la sua riservatezza. Entro il 15 ottobre ogni imprenditore dovrà definire le modalità organizzative relative ai controlli (che potranno avvenire anche a campione) per non incorrere in pesanti sanzioni.

Come si vede, le imprese dovranno agire in fretta e in un quadro complesso, che coinvolge anche problemi relativi al trattamento dei dati personali.

L’Autorità Garante per la Protezione dei Dati Personali, coinvolta da molti soggetti che esprimevano dubbi e preoccupazioni in merito ai rapporti tra obbligo di disclosure sul proprio stato vaccinale o di salute e rapporto di lavoro, ha già dato lo scorso 6 settembre 2021 alcune interessanti indicazioni che si riveleranno senz’altro utili nella prossima fase.

L’Autorità ha ribadito che chiunque controlli il Pass dovrà limitarsi a trattare i soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo.

Dovranno essere in particolare, rispettate le modalità procedurali previste dal DPCM 17 giugno 2021 (probabilmente già in corso di aggiornamento), con utilizzo degli specifici canali digitali funzionali alla lettura della certificazione verde (attraverso l’app “VerificaC 19”) che non consentono di rivelare se la certificazione è rilasciata per tampone (che sarà valido per 72 ore) o per vaccinazione.

Un problema notevole sarà rappresentato dal trattamento dei dati personali dei soggetti esenti dall’obbligo del Green Pass (es. per la presenza di patologie pregresse) i quali dovranno produrre la certificazione sostitutiva, in forma cartacea. L’Autorità Garante è intervenuta sul punto, ribadendo che, nel rispetto del principio di minimizzazione dei dati personali, il controllo di tale documento non deve comportare la rilevazione di dati personali eccedenti le finalità perseguite e, in particolare, di dati inerenti alla condizione sanitaria dell’interessato. Per il momento appare consigliabile che a farsi carico della registrazione dei dati sia solo il medico competente (ove nominato: in caso contrario dovrà necessariamente farsi carico di tutto il datore di lavoro).

In ultimo, sempre l’Autorità Garante conclude con la rassicurante affermazione per cui il trattamento dei dati personali funzionale agli adempimenti del controllo del Green Pass o delle certificazioni sostitutive, se condotto conformemente alla disciplina su richiamata e nel rispetto delle norme in materia di protezione dei dati personali (e in primo luogo del principio di minimizzazione) non può comportare l’integrazione degli estremi di alcun illecito.