Trasmissione del Green Pass al datore di lavoro in contrasto con la normativa vigente e con la segnalazione del Garante Privacy.
Il Parlamento ha approvato la legge di conversione del recente Decreto Legge 127/2021 che, si rammenta, ha stabilito l’obbligo di certificazione verde – Green Pass, per tutti i lavoratori pubblici e privati a partire dal 15 ottobre 2021.
Le ultime modifiche al testo del D.L., in ottica di velocizzazione delle operazioni di controllo effettuate dalle aziende, prevedono che il dipendente possa trasmettere volontariamente il proprio Green Pass al datore di lavoro, con conseguente esenzione dai controlli per tutta la durata della validità della certificazione.
Tale punto comporta evidenti problemi sotto il profilo della tutela della privacy.
Infatti, prima dell’approvazione definitiva del testo, il Garante per la Protezione dei Dati Personali si era espresso sul punto con una segnalazione molto precisa a firma del Presidente Pasquale Stanzione ed indirizzata al Presidente della Camera, al Ministro della Salute e al Ministro dei Rapporti con il Parlamento, onde evidenziare le criticità determinate dagli emendamenti approvati, non solo in ambito di tutela della privacy.
Stanzione ha infatti sottolineato come la prevista esenzione dei controlli per l’intero arco di validità della certificazione verde rischia di determinare un’elusione sostanziale delle finalità di sanità pubblica sottese alla predisposizione del Green Pass. Ciò, in quanto l’efficacia della certificazione verde per il contrasto della pandemia tuttora in atto, è sottesa alla necessità di verifiche periodiche sulla sua validità. Come ben noto, infatti, la piattaforma nazionale del Ministero della Salute viene costantemente aggiornata in base alle risultanze mediche eventualmente sopravvenute.
Il Green Pass, si rammenta, viene rilasciato sulla base di tre differenti condizioni:
- Avvenuta guarigione dal Covid-19 nei sei mesi precedenti
- Negatività a un tampone antigenico o molecolare (con il distinguo di una validità, rispettivamente, di 48 e 72 ore)
- Avvenuta profilassi vaccinale, nel qual caso la durata è attualmente fissata in 12 mesi, ma presumibilmente sarà ridotta a 9 con il cd “Decreto Natale”.
L’assenza di verifiche, sottolinea Stanzione, non consentirebbe di rilevare l’eventuale condizione di positività sopravvenuta in capo all’intestatario del certificato, contrastando con il principio di esattezza esposto all’art.5, par.1, lett.d) del Regolamento UE 2016/679 (GDPR). Del resto, continua Stanzione, la condizione sanitaria del soggetto è certamente dinamica e potenzialmente variabile, rendendo molto difficile una cristallizzazione della stessa.
In secondo luogo, per quanto riguarda il profilo di conservazione dei dati personali, vi sarebbe un palese contrasto con il divieto espresso nel Considerando 48 del Regolamento UE 2021/953. Tale divieto è stato imposto per garantire la riservatezza del soggetto interessato, in quanto la scelta di sottoporsi o meno a una profilassi vaccinale, non essendovi attualmente alcun obbligo, è di certo altamente impattante sulla sfera più intima degli individui. Al contempo, non va sottovalutata la possibile discriminazione che potrebbe avvenire sul luogo di lavoro e che anche il Consiglio d’Europa, con la risoluzione 2361 del 2021, si prefigge di evitare.
Occorre poi evidenziare come la stessa base giuridica individuata per il trattamento, ossia il consenso del dipendente, sia palesemente inidonea per l’evidente sproporzione sussistente tra le parti e contrastante non solo con le normative comunitarie ma anche con quelle giuslavoristiche nazionali (artt. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003).
Non da ultimo, ha segnalato il Garante, la consegna dei certificati potrebbe creare non pochi problemi sul profilo delle misure di sicurezza che le aziende dovrebbero adottare per garantire la riservatezza ed evitare pericolosi data breach. Peraltro, negli ultimi giorni, lo stesso Garante ha avviato, con l’ausilio della Guardia di Finanza, un’indagine in merito alla diffusione massiva di Green Pass online e liberamente scaricabili da terzi.
Considerazioni finali
Nonostante la disponibilità dell’Autorità ad un confronto con il Parlamento per una definizione delle misure da attuare coerenti con l’impianto di tutela previsto, l’attuale previsione legislativa italiana contrasta con ben due Regolamenti comunitari che, è opportuno rammentarlo, rappresentano fonti del diritto di rango superiore. Non è da escludersi quindi che il Garante torni a breve sulla questione, onde evitare pericolose anomalie.
A parere dello scrivente, la modifica della norma è non solo potenzialmente lesiva della riservatezza dei lavoratori ma, al contempo, anche sfavorevole alle aziende che fin da subito hanno chiesto una semplificazione dei controlli per evitare un rallentamento dell’attività lavorativa.
La precedente procedura di controllo, senza trasmissione volontaria del Green Pass, è infatti certamente ormai rodata nella stragrande maggioranza delle aziende, che hanno anche adempiuto a quanto previsto dal GDPR, fornendo un’informativa specifica, aggiornando il proprio registro dei trattamenti e, nei casi di realtà più strutturate, nominando dei delegati alle verifiche.
Aggiungere il profilo della conservazione, oltre a essere in contrasto con due norme imperative comunitarie, potrebbe comportare non pochi problemi alle aziende che potrebbero essere costrette ad implementare ulteriori misure di sicurezza (con possibile aggravio economico) per tutelare i dati dei propri dipendenti quando la mera consultazione non solo evita problematiche sul fronte privacy ma, al contempo, viene ormai svolta rapidamente, avendo i datori di lavoro ben compreso il processo di trattamento.