Nuovo emendamento approvato dal Senato al DL 127/2021
Come previsto, continua la sfrenata stratificazione normativa in tema di green pass ed aumentano gli adempimenti privacy a carico delle imprese italiane.
Il Senato ha approvato un nuovo emendamento al DL 127/2021: questo prevede la possibilità di consegna volontaria di una copia del green pass da parte dal lavoratore al proprio datore di lavoro.
Il DL è nato per semplificare le procedure di accesso sul luogo di lavoro.
Questa nuova legificazione presenta criticità in merito all’esattezza dei dati, in aggiunta al mancato rispetto del principio di proporzionalità cui deve informarsi il trattamento dei dati personali.
Rimane inteso che tale modifica normativa continua a non applicarsi a
- visitatori
- clienti
(come previsto fino ad oggi dalle FAQ del Governo).
L’esibizione e la relativa conservazione, ove richiesta dal lavoratore, è consentita solamente per lo svolgimento di attività lavorativa e non per altri motivi.
Ma, facendo un passo indietro, si ricorda che le disposizioni previgenti impedivano al datore di lavoro di poter conoscere l’evento sanitario che avesse generato l’ottenimento delle certificazioni verdi.
Inoltre, non era possibile conservare tutte le informazioni in esso contenute, come ad esempio la scadenza.
Le modifiche apportate dall’emendamento 165/2021
Invece, con l’emendamento approvato e convertito in legge n. 165/2021 (pubblicata in Gazzetta Ufficiale n. 227 del 20.11.2021) è stato modificato l’art 9-septies comma 5 prevedendo:
«al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde COVID-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro», nonostante la segnalazione del Garante al Parlamento e al Governo “sul Disegno di legge di conversione del decreto-legge n. 127 del 2021 (AS 2394), in relazione alla possibilità di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia della certificazione verde, al datore di lavoro, con la conseguente esenzione, dai controlli, per tutta la durata della validità del certificato”.
Quali sono le criticità evidenziate?
Il garante ha evidenziato non poche criticità in merito, soprattutto in relazione a:
- la possibile elusione delle finalità di sanità pubblica complessivamente sottese al sistema del “Green Pass”.
L’assenza di verifiche durante il periodo di validità del certificato non consentirebbe di rilevare l’eventuale condizione di positività sopravvenuta in capo all’intestatario del certificato; - un mancato rispetto dei principi di esattezza e proporzionalità cui deve informarsi il trattamento dei dati personali;
- il rischio di una discriminazione sul posto di lavoro, a fronte del trattamento di dati personali che consentono al datore di lavoro di venire a conoscenza degli eventi sanitari e delle convinzioni personali dei propri dipendenti.
Questo è in contrasto con le garanzie sancite non solo dalla disciplina di protezione dati ma anche dalla normativa giuslavoristica – artt. 88 Reg. Ue 2016/679; art. 113 d.lgs. 196 del 2003; artt. .5 e 8 l. n. 300 del 1970; art. 10 d.lgs. n. 276 del 2003.
Cosa deve fare il titolare del trattamento dei dati personali dell’azienda?
Pertanto, appare chiaro come la scelta di conservare i dati personali (anche sanitari) dei lavoratori, impone in capo ai datori di lavoro l’adozione di misure tecniche e organizzative adeguate e in grado di arginare il rischio connesso al trattamento, con un non trascurabile incremento degli oneri.
In particolare, il titolare del trattamento sarà tenuto a:
- predisporre un modulo di richiesta per la conservazione del Green Pass al fine di comprovare che la scelta sia stata avanzata dal lavoratore;
- redigere apposita informativa, da rendere nel momento in cui il lavoratore intenda avanzare la richiesta di conservazione del certificato verde al datore;
- predisporre (o aggiornare) nomina a soggetto autorizzato ai sensi degli artt. 29 del GDPR e 2-quaterdecies del Codice Privacy;
- predisporre (o aggiornare) nomina a responsabile del trattamento qualora tali attività di verifica vengano esternalizzate a soggetti diversi dal titolare;
- aggiornare il registro dei trattamenti;
- effettuare una valutazione in merito alle misure di sicurezza da adottate per la conservazione delle certificazioni verdi nonché misure tecniche e organizzative che consentano di poter fare affidamento sulla correttezza delle informazioni del Green Pass (aggiornamento dei dati), anche mediante un controllo a campione dei certificati consegnati dai lavoratori;
- valutare la necessità di effettuare una valutazione di impatto (DPIA).