Il controllo del Green Pass in azienda e il trattamento dei dati personali
Quest'obbligo è entrato in vigore e impone a tutti i soggetti che accedono di dimostrare di essere stati sottoposti a vaccino. In questi casi il datore di lavoro non potrà che entrare nel merito della genesi del Green Pass e inviare presso queste categorie di clienti esclusivamente personale vaccinato.
Con l'entrata in vigore del D.L. 127 del 2021 il 15 ottobre scorso è entrato in vigore l'obbligo di verifica del Green Pass per l'accesso ai luoghi di lavoro pubblici e privati. Fino a quel momento era previsto come obbligatorio nelle aziende private solo per l'accesso dei dipendenti alle mense al chiuso essendo queste equiparate ai ristoranti.
L'introduzione dell'obbligo di controllo ha portato notevoli problemi applicativi e pratici per i datori di lavoro, soggetti su cui grava l'obbligo di verifica, ed anche qualche necessità di adeguare gli adempimenti in materia di trattamento dati personali.
In primo luogo non sussistono dubbi in merito al fatto che il controllo dell'attestazione verde attraverso la scansione di un QR Code con la APP Verifica C-19 o attraverso altri strumenti software validati dai Ministeri competenti costituisca un trattamento di dati particolari da parte del titolare.
Il Garante sul punto ha poi dato indicazioni operative imponendo la verifica quotidiana del Green Pass, anche a campione, e bocciando qualsiasi forma di registrazione scritta dei certificati per risparmiare tempo, definendola esplicitamente come modalità illecita di trattamento in quanto esorbitante rispetto a quanto strettamente necessario. Questa modalità potrebbe esporre il titolare a due rischi: il primo è quello di trattare dati non necessari violando il principio della minimizzazione, l'altro di trattare dati non aggiornati in relazione a scadenze o decadenze di validità del Green Pass stesso.
Così il datore di lavoro, attraverso un suo incaricato, è tenuto alla scansione quotidiana del certificato, ammettendo o escludendo l'interessato dall'accesso in azienda. Dal punto di vista degli adempimenti richiesti, dalla normativa in materia di privacy, il titolare del trattamento dovrà fornire idonea informativa ex art. 13 del GDPR all'interessato, dipendente o visitatore esterno che si trovi ad accedere in azienda, attraverso la consegna o l'esposizione di un documento specifico indicante le caratteristiche del trattamento straordinario.
Oltre a questo dovrà provvedere ad incaricare allo specifico trattamento i propri addetti ai controlli con idonea lettera di incarico, magari fornendo una formazione specifica sui rischi presenti e le misure di sicurezza adottate.
In particolare in caso di esito positivo del controllo Green Pass il trattamento si esaurirà in quel momento, in caso di esito negativo l'incaricato dovrà comunicarlo all'ufficio risorse umane in conformità con quanto descritto all'interno della procedura redatta a cura del servizio prevenzione e protezione interno. Il principio che deve animare la redazione di queste procedure è sempre quello della minimizzazione dei trattamenti di dati personali.
Da ultimo il titolare dovrà procedere ad integrare il Registro dei trattamenti con l'indicazione specifica di quello relativo al controllo del Green Pass, indicando le caratteristiche del trattamento ed il fatto che sia temporaneo, oltre al fatto che come durata avrà fino al permanere dell'obbligo di legge e cioè, al momento, fino al 31 dicembre 2021. Su questo punto specifico si può presumere che il termine indicato sarà spostato in avanti di almeno tre o sei mesi al fine di non vanificare quanto ottenuto fino ad oggi in termini di contrato alla pandemia da COVID-19.
Da un punto di vista operativo deve invece essere considerato lecito richiedere con un preavviso di 48 ore ai lavoratori di segnalare al datore di lavoro chi non fosse in possesso di un Green Pass valido, in modo tale da consentire all'azienda di organizzarsi e minimizzare i problemi produttivi legati all'indisponibilità della persona.
Oltre al divieto di registrazione dei controlli effettuati e relativi esiti contenuto all'interno del Parere Positivo del Garante in merito dello scorso 11 ottobre al CONSIDERATO a pagina 7 punto i) è opportuno segnalare il fatto che il dato personale relativo alla natura della genesi del Green Pass (vaccino, tampone, guarigione) è un dato che non può essere trattato dal datore di lavoro che deve limitarsi alla verifica della validità del certificato. Discorso in parte diverso deve essere fatto per il caso in cui sia necessario accedere a luoghi in cui è previsto l'obbligo vaccinale, come strutture sanitarie e socio assistenziali.
Quest'obbligo è entrato in vigore il 10 ottobre scorso e impone a tutti i soggetti che accedono di dimostrare di essere stati sottoposti a vaccino. In questi casi il datore di lavoro non potrà che entrare nel merito della genesi del Green Pass e inviare presso queste categorie di clienti esclusivamente personale vaccinato.
Con questi adempimenti e queste cautele introdotte in azienda il titolare riuscirà a trattare in modo lecito i dati particolari che l'obbligo di verifica del Green Pass impone.
a cura dell'avv. Lorenzo Perino - Of Counsel di Lexpertise – Legal Network
