Articolo pubblicato su altalex
Il 20 novembre 2021, è stata pubblicata in Gazzetta Ufficiale la legge n. 165 del 19.11.2021 che ha convertito, con modificazioni, il D.L. n. 127/2021 il quale, recependo le istanze di semplificazione da avanzate del mondo del lavoro, ha portato nuove importanti novità che, tuttavia, rischiano di comprimere il diritto alla riservatezza dei lavoratori pubblici e privati oltre che comportare nuovi gravosi adempimenti per i datori di lavoro.
1. Il nuovo comma 5 dell’art. 9 quinquies e dell’art. 9 septies del D.L. n. 52 del 22 aprile del 2021
La novità è di quelle a forte impatto sulla privacy dei lavoratori perché, contrariamente a quanto era possibile fare fino a qualche giorno fa, “Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde COVID-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro”.
In altre parole, al (condivisibile) scopo di semplificare e velocizzare i controlli nei confronti dei lavoratori del settore pubblico e privato, sarà possibile, su base volontaria, consegnare la predetta certificazione al proprio datore di lavoro. I dipendenti che opteranno per questa soluzione saranno esonerati dai controlli da parte dei rispettivi datori di lavoro fino alla scadenza del certificato verde. Questa misura, agevolando i lavoratori del settore pubblico e di quello privato, risulta un utile strumento per facilitare il controllo circa il possesso del green pass.
D’altro canto, tuttavia, una apertura di questo genere oltre a segnare un dirompente cambio di rotta con il passato (si ricordi il caso delle palestre per le quali il Garante, a distanza di soli due mesi, vietava di conservare copia del green pass o anche solo di registrarne la data di scadenza: qui il provvedimento) potrebbe finire per cogliere impreparati i datori di lavoro che invece avevano ormai strutturato i controlli e adeguato l’intera organizzazione sul consolidato principio secondo il quale non era possibile conservare la copia del green pass.
2. Osservazioni del Garante privacy
Lo stesso Garante privacy, nella segnalazione al Parlamento e al Governo sul Disegno di legge di conversione del D.L. 127/2021 dell’11 novembre 2021 aveva evidenziato alcune criticità circa le nuove disposizioni al tempo in corso di approvazione.
In particolare rilevava come la prevista legittimazione della conservazione (di copia) delle certificazioni verdi contrastasse con il Considerando 48 del Regolamento (UE) 2021/953 il quale, nel sancire un quadro di garanzie omogenee, anche sotto il profilo della protezione dati, per l’utilizzo delle certificazioni verdi in ambito europeo, dispone che “Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente regolamento”.
Tale divieto si diceva è funzionale, essenzialmente, a garantire la riservatezza non solo dei dati sulla condizione clinica del soggetto (in relazione alle certificazioni da avvenuta guarigione), ma anche delle scelte da ciascuno compiute in ordine alla profilassi vaccinale. Dal dato relativo alla scadenza della certificazione può, infatti, agevolmente evincersi anche il presupposto di rilascio della stessa, ciascuno dei quali (tampone, guarigione, vaccinazione) determina un diverso periodo di validità del green pass. In tal modo, dunque, una scelta quale quella sulla vaccinazione, così fortemente legata alle intime convinzioni della persona, verrebbe privata delle necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all’autodeterminazione individuale (in ordine all’esigenza di evitare possibili discriminazioni in ragione della scelta vaccinale, cfr. anche risoluzione 2361 (2021) del Consiglio d’Europa).
Tale potenziale pregiudizio è, poi, aggravato dal contesto lavorativo in cui maturerebbe.
Correttamente l’Autorità indipendente rimarcava come la prevista ostensione (e consegna) del certificato verde a un soggetto, quale il datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e convinzioni personali, sembrasse poco compatibile con le garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003).
Anche in virtù di tali esigenze, l’art. 13, c.5, d.P.C.M. 17 giugno 2021 e s.m.i., si evidenziava, prevede espressamente che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”, facendo salvi, con esclusivo riferimento all’ambito lavorativo, i trattamenti “strettamente necessari all’applicazione delle misure previste dagli articoli 9-ter ai commi 2 e 5, 9-quinquies, commi 6 e ss., e 9-septies, commi 6 e ss.”.
Né, del resto, si potrebbe obiettare che la prevista facoltà di conservazione del green pass possa ritenersi legittima sulla base di un presunto consenso implicito del lavoratore che la consegni, ritenendo il diritto sottesovi pienamente disponibile. Dal punto di vista della protezione dei dati personali (e, dunque, ai fini della legittimità del relativo trattamento), il consenso in ambito lavorativo non può, infatti, ritenersi un idoneo presupposto di liceità, in ragione dell’asimmetria che caratterizza il rapporto lavorativo stesso (C 43 Reg. UE 2016/679).
La previsione normativa in commento avrà necessariamente l’effetto di costringere i datori di lavoro (che non potrebbero di certo opporsi a tale nuovo diritto del lavoratore, introdotto con apposita normativa), ad adottare misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, che come ricordava il Garante privacy, investe tutta una serie di informazioni che entrano in maniera dirompente nella sfera giuridica del datore di lavoro; tutto ciò con un non trascurabile incremento degli oneri (anche per la finanza pubblica, relativamente al settore pubblico).
3. Adempimenti privacy a carico del datore di lavoro.
Peraltro, la norma prevede unicamente il diritto dei lavoratori di consegnare il certificato del green pass, ma non la possibilità per il datore di lavoro di richiederne la consegna. Questo, di fatto, costringe il datore di lavoro ad un duplice impegno: da un lato, a mantenere le attuali procedure di verifica per quei lavoratori che non volessero consegnare il green pass e dall’altro a strutturarsi per rispondere alle esigenze di coloro i quali, invece, vogliano usufruire di questa nuova possibilità concessa loro dalla norma in commento.
Dal punto di vista degli adempimenti privacy, in parziale modifica a quanto già scritto in questo articolo, occorrerà, pertanto:
a. modificare la procedura interna di gestione dei controlli nonché la formazione da fornire agli incaricati o responsabili del trattamento che hanno ricevuto la delega ad eseguire i controlli, i quali dovranno essere portati a conoscenza dei nominativi dei lavoratori che hanno scelto di consegnare il green pass e continuare i controlli solo sugli altri (stabilendo le modalità con le quali gli interessati potranno avere accesso a queste informazioni);
b. aggiornare l’informativa sul trattamento dei dati personali da mettere a disposizione di quelle categorie di persone che devono essere controllate (dipendenti, fornitori, consulenti, titolari di cariche politiche), con la modifica in particolare del termine di conservazione dei dati;
c. aggiornare il registro dei trattamenti: occorrerà modificare il trattamento relativo alla verifica del green pass prevedendo anche la conservazione del relativo certificato e menzionare le misure di sicurezza a difesa del trattamento che potrà essere effettuato in formato cartaceo o elettronico (in questo secondo caso se il dato risiede su una piattaforma cloud o di un fornitore terzo, si dovrà valutare se ciò comporta un trasferimento di dati al di fuori dello SEE o se si opta per un database con le date di scadenza salvato in locale, si dovranno comunque applicare adeguate misure di sicurezza);
d. valutare, sentito il DPO ove nominato, se effettuare una DPIA ai sensi dell’art. 35 gdpr sul processo di verifica dei green pass, considerati i nuovi trattamenti che emergono dalla modifica normativa.
4. Conclusioni
Tale dirompente novità appare in definitiva essere stata emanata con ritardo. Se da un lato potrebbe apparire corretto aver dato ascolto alle necessità di semplificazione chieste a gran voce dal mondo del lavoro, non si può negare che sarebbe stato molto più logico assecondarle sin dalla entrata in vigore dell’obbligo di verifica del possesso del certificato verde.
Nemmeno il tempo di adeguarsi, tra comprensibili difficoltà e rigidezze, alle modalità di accesso al lavoro imposte dalle norme, che a distanza di pochi mesi il sistema viene oggi inevitabilmente stravolto.
Molte grandi aziende ed Enti locali, per velocizzare i controlli, avevano sostenuto costi ingenti nell’acquisto di totem per la lettura dei green pass, quando era stato chiarito che la verifica del possesso del certificato verde sarebbe potuta avvenire solo attraverso la app “verifica c19”. Se per quegli stessi datori di lavoro oggi anche solo la metà dei dipendenti dovesse scegliere di consegnare il green pass, quelle attrezzature diventerebbero probabilmente non più necessarie.
Si è scelto, quindi di mantenere in piedi il vecchio sistema aggiungendo nuovi adempimenti a quelli già esistenti, allargando il novero dei dati personali che, loro malgrado, i datori di lavoro si vedono costretti a trattare per la prima volta in maniera diretta, senza neppure il filtro del medico del lavoro, con buona pace del principio di minimizzazione.
Sarà compito dei titolari del trattamento garantire la riservatezza di quei dati ponendo in essere misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.