Obblighi in materia di Green Pass e protezione dei dati personali

13 ottobre 2021Ultimo aggiornamento 15 ottobre 2021
Tempo di lettura stimato: 7'
Obbligo di verifica del Green Pass. Sta succedendo di tutto. Facciamo un po’ di chiarezza, perché il rischio di violare il GDPR è dietro l’angolo. Ti lascio qui sotto, papale papale, la comunicazione stilata in PrivacyLab e condivisa con i nostri collaboratori e rivenditori. 

Buona lettura e occhio a come tratti i dati della certificazione verde!

Il datore di lavoro deve verificare la validità delle certificazioni verdi dei dipendenti, ma c’è un problema

L’entrata in vigore del D.L. n.127/2021 che ha introdotto l’obbligo di impiego delle certificazioni verdi Covid-19 in ambito lavorativo privato, oltre che pubblico, impone che sia il datore di lavoro a verificare la validità delle certificazioni verdi dei dipendenti e dei collaboratori esterni.

Per ovviare a modalità organizzative che richiederebbero tempi di controllo maggiori, si stanno diffondendo pratiche che prevedono la raccolta di elenchi del personale accompagnato dal possesso o meno del Green Pass, o addirittura dalla condizione da cui deriva tale certificazione (somministrazione del vaccino, avvenuta guarigione da Covid-19 o esecuzione di un test antigenico). Tuttavia, tali attività si pongono in aperto contrasto con quanto previsto dalla normativa vigente in materia.


L’attività di verifica del Green Pass non comporta la raccolta dei dati, in nessun caso

È chiaramente esplicitato nell'art. 13 comma 5 del DPCM 17 giugno 2021 che “l'attività di verifica delle certificazioni verdi Covid-19 non comporta, in alcun caso, raccolta dei dati dell'intestatario in qualunque forma”.
Viene inoltre ribadito dal Garante della Privacy che la raccolta e conservazione del Green Pass, o anche semplicemente della data di scadenza dello stesso, così come la richiesta di invio del documento con modalità elettroniche (tipo email o app di messaggistica), rappresentano una violazione della disciplina in materia di protezione dei dati.

Sono innumerevoli, infatti, i principi del GDPR che vengono violati: dal principio di liceità, per cui la raccolta di queste informazioni non è supportata da idonea base giuridica, al principio di minimizzazione dei dati, raccolti in maniera eccedente rispetto alle finalità indicate dalla norma, nonché il principio di esattezza del dato rispetto alla validità del Green Pass, poiché questo potrebbe diventare in futuro revocabile prima della sua data di scadenza.

Non possiamo, quindi, creare una lista di nominativi associata al possesso o meno del Green Pass, neanche qualora venga garantito un periodo breve di conservazione di questi dati.


Gli obblighi da rispettare in fase di verifica del Green Pass

Leggendo il D.L. n.127/2021 di concerto con il DPCM e le altre norme in materia di prevenzione del contagio da Covid-19 ricaviamo altre indicazioni rispetto agli obblighi da rispettare in fase di verifica del Green Pass. Oltre all’esclusione della raccolta in qualunque forma, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione dobbiamo ricordare che:

  1. La verifica del Green Pass può avvenire soltanto attraverso l’app Verifica C-19 attraverso la scansione del QR code che consente unicamente di controllare la validità della certificazione e di conoscere le generalità dell'intestatario, senza rendere visibili le informazioni che ne hanno determinato l'emissione;

  2. Sono autorizzati a verificare i Green Pass i datori di lavoro o le persone da essi delegati con atto formale di nomina, recante le necessarie istruzioni sull’esercizio delle attività di controllo delle certificazioni. Sarà quindi necessario che il datore di lavoro elabori una nomina per ciascuno dei dipendenti che verrà impiegato nel nuovo servizio, come "addetto delegato alla verifica delle certificazioni verdi Covid-19". Tale nomina dovrà contenere precise istruzioni sullo strumento da utilizzare per i controlli e dovrà chiarire che l'attività di verifica delle certificazioni non deve comportare, in alcun caso, la raccolta dei dati e dei documenti dell'intestatario. La verifica dei Green Pass da parte di persone non debitamente nominate comporterebbe una violazione della norma;

  3. Definire entro il 15 ottobre p.v. modalità operative che garantiscano la verifica delle certificazioni verdi, preferibilmente al momento dell'accesso ai luoghi di lavoro. I controlli dovranno essere effettuati in modo da assicurare piena conformità alla normativa anche del personale che si recherà presso sedi di aziende clienti. In questo ultimo caso sarà comunque rimessa anche alla responsabilità del committente la verifica della validità del Green Pass del personale esterno.
Il Garante ha chiarito che il trattamento dei dati personali, funzionale alla verifica della validità delle certificazioni verdi Covid-19, non produrrà alcun illecito sanzionabile soltanto se sarà condotto conformemente alla disciplina sopra richiamata e nel rispetto delle norme in materia di protezione dei dati personali.

Vediamo allora come è corretto procedere per la verifica di validità delle certificazioni.


Come agire correttamente nel verificare la validità del Green Pass

Partiamo con il dire che tutte le Aziende OBBLIGATORIAMENTE hanno già dall’anno scorso dovuto implementare idonee modalità per consentire gli accessi ai locali aziendali sia per dipendenti che per i visitatori e che tali modalità e procedure hanno prodotto aggiornamenti al registro dei trattamenti in cui si deve trovare il trattamento relativo alla verifica degli ingressi, alle informative dei dipendenti e dei visitatori, alle nomine per gli incaricati a gestire accessi in azienda.

Tra queste procedure troviamo la misurazione della temperatura corporea.

Adesso che abbiamo definito il contesto vediamo come la verifica del Green Pass si inserisce in questo scenario.
Chiaramente la verifica del Green Pass NON è un trattamento aggiuntivo a quello che già facciamo, ma semplicemente utilizzando lo stesso trattamento creato per la verifica degli accessi in azienda verrà utilizzato come strumento di verifica oltre termometro o termoscanner anche la App C-19 per la verifica del green pass.

Come oggi l’operatore addetto alla temperatura guarda il termometro e senza poter registrare nessun valore letto permette o nega l’accesso in azienda, così dal 15 di ottobre si dovrà usare anche l’app senza poter registrare nessuna informazione per la stessa finalità: permettere l’accesso in azienda.
Entrambe le modalità, difatti (rilevamento della temperatura corporea e utilizzo dell’app Verifica C-19), non prevedono alcuna raccolta di dati.
Quindi la verifica del Green pass rientra esattamente nella stessa procedura della verifica della temperatura.

Il Garante Privacy in questo è stato molto chiaro: la raccolta o la conservazione dei Green Pass o di qualsiasi informazione ivi presente al suo interno, è assolutamente vietata.


La scelta degli strumenti e le istruzioni per gli incaricati alla verifica

Le uniche differenze possibili possono essere date dal tipo di strumenti che vengono usati per la verifica della temperatura, difatti se abbiamo, ad esempio, strumenti automatici collegati a tornelli non sussiste la necessita di nominare addetti al trattamento per l’ingresso, mentre l’utilizzo della App C-19 per legge deve essere fatta con incaricati ad Hoc con nomina ed istruzioni.

Ricordiamo che per il D.L. n.127/2021 gli incaricati alla verifica (quelli che usano la App) ricadono sotto l’egida del D.L. 81/08 (sicurezza sul luogo di lavoro).

Le istruzioni da fornire a questi incaricati dovranno rispecchiare le procedure concordate con RSPP inoltre dovremo nominarli, se non ancora fatto, incaricati anche per il GDPR per il trattamento dei dati relativi agli ingressi in Azienda.
In relazione ai dati dei Dipendenti tratteranno Nome e Cognome, presenza o assenza (come se fossero dei verificatori del cartellino o del personale addetto alla gestione HR) ed avranno accesso agli archivi dedicati dell’HR.
Per quanto riguarda l'ingresso di visitatori, gli addetti nominati avranno accesso e gestiranno l’archivio delle visite, dove nessuna informazione aggiuntiva a quelle che già venivano gestite prima dovrà essere inserita.

Permane come già detto più volte il divieto di registrare o raccogliere qualsiasi informazione inerente il Green Pass, non servono registri aggiuntivi ma procedure corrette.

Volendo semplificare posso utilizzare PrivacyLab per creare la nomina legata al corretto utilizzo della App C-19 aggiungendo le indicazioni che dovrebbero arrivare dall’RSPP alla nomina da addetto per la verifica degli ingressi.
Per dovere di precisione potete aggiornare le Informative per i visitatori e per i dipendenti aggiungendo a quanto già inserito per la gestione degli accessi le seguenti diciture:

 
FINALITÀ:
  • igiene e sicurezza del lavoro;
  • Prevenzione dal contagio da COVID-19 e implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, in particolare Protocollo Condiviso 24 aprile 2020 e successive integrazioni e modifiche.
MODALITÀ:
  • Verifica dell'idoneità all'accesso mediante termo-scanner | Trattamento temporaneo senza registrazione o conservazione;
  • Verifica validità del Green Pass per mezzo dell'App Verifica C-19 | Trattamento temporaneo senza registrazione o conservazione;
  • Altri strumenti obbligatori per legge | Trattamento temporaneo senza registrazione o conservazione.

TEMPI DI CONSERVAZIONE:
  • Con riferimento alla soglia di temperatura ed alla validità del certificato Green Pass: nei tempi necessari alla verifica | Nessuna conservazione;
  • Nei tempi necessari alla prevenzione e tutela della salute di dipendenti e collaboratori e nel rispetto dei tempi obbligatori prescritti dalla legge.

Se decidete di fare verifiche a campione non serve un registro ad hoc, ma è sufficiente definire con il vostro RSPP una soglia di campionatura giornaliera, scrivere chi farà questi controlli, nominarlo, addestrarlo alle procedure corrette e mettere tutto in una procedura nel vostro manuale sulla sicurezza.

Attenzione: nonostante quanto disposto dalle norme attualmente in vigore, alcune organizzazioni pensano di ovviare a tali implicazioni, definendo un termine di conservazione “breve”.

Si ricorda che anche tale misura non può ritenersi idonea a superare il limite imposto dalle disposizioni consentite in materia di trattamento dei dati personali.
Ai sensi dell’art. 6 del GDPR non avremmo infatti una valida base giuridica su cui basare il trattamento, oltre al fatto che verrebbero meno il principio di minimizzazione del dato disposto all’art. 5, comma 1. lett. C) del GDPR e una violazione del disposto di cui all'art. 13 comma 5 del DPCM 17 giugno 2021, come già accennato sopra.

In conclusione, quindi, entro il 15 ottobre 2021, ogni organizzazione dovrà definire delle modalità operative per la verifica dei Green Pass nel pieno rispetto delle prescrizioni in materia di protezione dei dati personali.


Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy