Consegna volontaria del green pass in azienda, quali profili di criticità?

Con riferimento all'ultima modifica intervenuta sul D.L. 127/2021 , a seguito della sua conversione in legge e che riguarda la possibilità per i lavoratori di consegnare il proprio Green Pass all'azienda, sintetizziamo di seguito alcune nostre considerazioni.

La norma in questione prevede che "Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde Covid-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro" (Art. 3, comma 5, D.L. 121).

Nonostante, il testo della norma sembri semplice e di facile applicazione, in realtà, sia dal punto di vista organizzativo sia dal punto di vista della privacy, lo stesso appare presentare alcune complicazioni, certo non in linea con l'intento della norma che era viceversa quello di "semplificare e razionalizzare le verifiche".

Sotto il profilo organizzativo, se la cosa può apparire semplice nelle aziende con pochi dipendenti stanziali (in un'unica unità produttiva), certo non è così per le aziende con molti dipendenti e/o con molti dipendenti che non hanno un luogo di lavoro fisso.

In questa seconda ipotesi infatti, prendiamo l'esempio di società dove i dipendenti si spostano quotidianamente da un posto a un altro (ad esempio società di revisione, società di consulenza, società di ristorazione, società di pulizie), resta molto più semplice, ai fini delle verifiche, che il dipendente mostri il proprio Green Pass quotidianamente, rispetto al fatto di consegnarlo una tantum alla propria azienda. In tal caso infatti, prendiamo l'esempio di una società di ristorazione dove i dipendenti devono spostarsi tra diverse cucine (per sostituire lavoratori in malattia o assenti per altri motivi), come fa il responsabile della singola cucina a sapere se il dipendente ha consegnato il Green Pass realmente o se invece semplicemente non ha il Green Pass e dice di averlo consegnato ?

Questi dovrebbe ogni volta chiamare in sede, l'azienda dovrebbe nominare un responsabile; questi dovrebbe andare a vedere su un ipotetico data base se quel dipendente ha consegnato davvero il Green Pass e quindi dare l'ok all'entrata in cucina. E questo per ogni dipendente che consegnerà il proprio Green Pass. Stessa logica, ad esempio, per le società di consulenza o revisione.

Sotto il profilo privacy, la consegna dei Green Pass da parte dei dipendenti esigerebbe l'implementazione, da parte del datore di lavoro, di una procedura di archiviazione e custodia degli stessi che, naturalmente, varia a seconda che l'archiviazione avvenga in modalità telematica ovvero analogica.

La via analogica – che a parere di chi scrive rappresenta la via preferibile in quanto di più semplice applicazione, soprattutto in un'azienda di piccole dimensioni – esigerebbe l'introduzione di un nuovo archivio che, contenendo dati personali particolari (ovvero dati sanitari), necessiterebbe di una modalità di raccolta, conservazione e utilizzo dei dati, decisamente più rafforzata rispetto ai dati "ordinari".

Così, a titolo esemplificativo, l'acquisizione del Green Pass, mediante consegna da parte del lavoratore, per rispettare quanto più possibile la sicurezza dei dati, dovrebbe avvenire dalle mani del lavoratore, in busta chiusa indirizzata, in via riservata e personale, al responsabile del trattamento. Non sembrano viceversa garantire modalità di trattamento sicuro, l'invio del Green Pass, ad esempio, tramite e-mail o messaggistica istantanea.

L'esistenza dell'archivio determinerebbe poi per l'azienda la necessità di una conservazione sicura e protetta rispetto ad accessi non autorizzati: sarebbe quindi necessario identificare chi ha accesso a tali documenti e attuare modalità che garantiscano l'impossibilità di accesso ad ogni altra persona. Occorrerebbe, in altre parole, utilizzare le stesse modalità di conservazione protetta utilizzata dall'azienda per il caso delle cartelle sanitarie contenti i dati di salute dei lavoratori, raccolti nell'ambito della sorveglianza sanitaria.

A seguito dell'introduzione di tale archivio, dovrebbe poi essere aggiornato il registro dei trattamenti e dovrebbe essere condotta una specifica valutazione di impatto, per identificare i rischi connessi alla raccolta, alla conservazione, all'uso e alla distruzione dei Green Pass dei lavoratori. Tale valutazione appare essenziale per permettere di individuare le misure necessarie da attuare nel trattamento di tali dati. A titolo esemplificativo, dovrebbe essere programmata una modalità di distruzione sicura dei dati che, soprattutto in caso di raccolta di numerosi Green Pass, potrebbe divenire un'operazione complessa.
Se l'archiviazione poi avvenisse con strumenti informatici, tali procedure rischierebbero di apparire ancora più complicate. Dovrebbero infatti essere adottate misure di sicurezza ulteriori e digitali per disciplinare l'accesso ai dati, le tecnologie di cancellazione sicura del supporto di memorizzazione e ogni altro elemento tipico della sicurezza del dato in forma digitale.

In secondo luogo, oltre agli aspetti operativi sopra evidenziati, la norma in commento presenta ulteriori profili di criticità.

Ricordiamo infatti che quella di consegnare il proprio Green Pass è prevista dalla disposizione in questione come una semplice facoltà del dipendente. Pertanto, al di là delle valutazioni di rispetto del principio di uguaglianza e non discriminazione, tale disposizione rischia di creare differenti categorie di dipendenti, con l'effetto di far sorgere complicazioni nelle attività di verifica imposte al datore di lavoro. Vi sarebbero infatti (i) coloro che, avendo il Green Pass, non subiscono alcun controllo in quanto hanno deciso di consegnare lo stesso al datore di lavoro; (ii) coloro che, avendo il Green Pass, subiscono il controllo quotidianamente, in quanto hanno deciso di non consegnare il Green Pass e, infine, (iii) coloro che non subiscono alcun controllo in quanto esentati dal Green Pass per ragioni sanitarie.

Da un punto di vista della privacy, tali controlli differenziati rischierebbero, nei fatti, di rendere visibili a tutti – a scapito quindi della riservatezza – le diverse categorie di lavoratori che evidentemente hanno fatto scelte diverse con riferimento alla vaccinazione. Ciò potrebbe essere ovviato solo tramite controlli riservati che – nuovamente – sarebbero tutt'altro che una semplificazione per il datore di lavoro.

In terzo luogo, altro aspetto problematico sembra che la norma limiti la circostanza che la richiesta di consegnare il Green Pass sia solo a discrezione del lavoratore. Il Garante non ha mancato di rilevare come, nonostante il consenso del lavoratore in tale modalità di raccolta, tale consenso potrebbe comunque essere viziato dalla circostanza che, nel rapporto lavorativo, le parti contrattuali non sono perfettamente equilibrate e quindi potrebbe non essere del tutto libera la scelta del dipendente di consegnare la certificazione verde.

In ultimo, rileviamo che la norma non chiarisce se, alla richiesta del lavoratore di consegnare il Green Pass, il datore di lavoro sia obbligato a riceverlo. A parere di chi scrive, non vi è, né vi potrebbe essere, alcun obbligo in tale senso.

Ciò in quanto, in primo luogo, la norma nulla prevede sul comportamento del datore di lavoro. E se è vero che non è previsto che l'azienda possa rifiutarsi di riceverlo, è altrettanto vero che non vi è alcun divieto in tal senso.

In secondo luogo, posto che la possibilità di consegnare il Green Pass dovrebbe essere finalizzata, secondo la disposizione della norma, alla "semplificazione delle verifiche" che incombono sul datore di lavoro, pare ragionevole ritenere che se tale procedura nulla semplifica, ma addirittura complica i controlli per il datore di lavoro, sarebbe irragionevole qualificare tale facoltà del lavoratore come un diritto dello stesso.

In terzo luogo, il datore di lavoro, per poter procedere all'archiviazione dei Green Pass consegnati – come sopra indicato – deve garantire una serie di misure di sicurezza, a volte, anche non di semplice realizzazione.

Così, laddove il rifiuto del datore di lavoro fosse argomentato dallo stesso sulla base dell'eccessiva onerosità che comporta sotto il profilo organizzativo, il fatto di ricevere il Green Pass, appare ragionevole ritenere che l'azienda possa rifiutarsi di ricevere tali Green Pass.

Laddove l'azienda invece optasse per la raccolta dei Green Pass, suggeriamo di procedere con la raccolta cartacea degli stessi, adottando tutte le misure sopra indicate (consegna del Green Pass in busta chiusa dalle mani del lavoratore, archiviazione dello stesso in un posto sicuro e inaccessibile a terzi, indicazione delle persone autorizzate al trattamento dei dati, indicazione delle misure di conservazione dei dati e di distruzione degli stessi, ecc.).
Sarebbe poi necessario far firmare per iscritto una lettera di consenso e di informativa, con la quale i lavoratori che intendono aderire alla facoltà di consegnare il Green Pass, esplicitamente acconsentano al trattamento dei dati sanitari ivi contenuti e la società trasmetta tutte le informazioni necessarie alla finalità del trattamento.

_____

*A cura di Giampaolo Furlan, Partner Galbiati Sacchi e Associati