Risvolti privacy dell’estensione Green pass nel settore privato

Il D.L. 127/21 ha esteso l’obbligo dal 15 ottobre 2021 al 31 dicembre 2021 di Green Pass a tutti i lavoratori del settore pubblico e privato. Analizziamo insieme nel dettaglio tutti i risvolti privacy e data protection.



Datori di lavoro privati 

Nel settore privato le aziende e il datore di lavoro dovranno definire come organizzare le verifiche nei confronti di “chiunque svolge un’attività lavorativa” per accedere ai luoghi di lavoro in cui effettua la prestazione e in particolare sul lavoratore che deve “possedere ed esibire su richiesta” il certificato verde | Green Pass.

Il controllo è stato quindi affidato al datore di lavoro (o suoi incaricati al trattamento individuati con atto formale ai sensi dell’art. 29 del GDPR). Occorrerà quindi definirne le modalità di trattamento dati entro il 15 ottobre 2021, tenendo conto che potrebbero intervenire linee guida esplicative da parte del Ministero, di ordini professionali, associazioni datoriali e del Garante per la Protezione dei dati personali (GPDP).

A quali lavoratori si applica 

L’obbligo riguarda tutti i lavoratori del settore privato siano essi con contratto, che a collaboratori a partita IVA (se e quando questi accedono al luogo di lavoro) volontari, stagisti e tutti quei soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa (es. fornitori) o di formazione o di volontariato (anche sulla base di contratti esterni) in un’impresa privata.

L’obbligo potrà essere esteso, previo aggiornamento della valutazione dei rischi ai sensi del D.Lgs. 81/08, anche a tutti i soggetti che accedono come ad esempio visitatori nei luoghi di lavoro.

Ma come potrà avvenire questo controllo?

Salvo diverse indicazioni, ad oggi non previste, non sarà possibile chiedere ai dipendenti di inviare per mail il Green Pass al datore di lavoro né conservarlo su strumenti e supporti informatici. Il controllo dovrà essere istantaneo, per il settore privato attraverso l’app (VerificaC19), che consente unicamente di controllare l'autenticità, la validità e l'integrità della certificazione, e di conoscere le generalità dell'intestatario, senza rendere visibili le informazioni che ne hanno determinato l'emissione

Quindi non posso conservare il dato? 

Il controllo andrà effettuato in presenza e non dovrà comportare la conservazione del certificato, come già specificato dal Garante per la protezione dei dati personali (GPDP) nelle regole emesse per l’accesso alle palestre (doc. web 9696596.) per un tema di bilanciamento tra privacy, tutela della salute e attività lavorativa.

La registrazione del Green Pass, ad oggi non prevista nel settore privato, è diversa a seconda dell’origine della sua emissione (tampone, guarigione, vaccinazione) ed è quindi un dato “dinamico” soprattutto in caso di tampone con una valenza temporale limitata. 

Come e quando effettuare il controllo

Il governo ha lasciato quindi liberi i datori di lavoro privati di definire le modalità di controllo, che potranno essere anche a campione (per evitare di influire sull’organizzazione aziendale) e dovranno avvenire al momento dell’ingresso presso la sede aziendale.

Nel caso in cui il dipendente sia sprovvisto di valido Green Pass, lo stesso non potrà accedere al luogo di lavoro. 

Soggetti esenti dalla Campagna vaccinale 

Va poi ricordato che, ovviamente, l’obbligo di Green Pass non tocca i soggetti esenti dalla campagna vaccinale per età o per condizioni mediche che suggeriscono di evitare la vaccinazione.

Sul punto la normativa attuale (Circ. Min. Salute 04.08.2021) consente di emettere certificati di esenzione fino al 30 settembre. È quindi necessario che il Governo emetta nuove indicazioni per uscire dal regime transitorio delle certificazioni di esenzioni cartacee digitalizzando il controllo.

I Titolari del trattamento tenuti alla verifica del Green Pass sono obbligati al rispetto delle prescrizioni in materia di protezione dei dati personali. La verifica del QR-code contenuta nel c.d. Green Pass comporta, infatti, un trattamento di dati personali, le cui modalità di verifica sono state espressamente normate dal DPCM 17 giugno 2021.

Cosa fare lato privacy | Quali documenti predisporre

Volendo limitarsi ad un elenco dei documenti necessari occorrerà:

  1. Aggiornare il Registro del trattamento ai sensi dell’art. 30 GDPR prevedendo sia i trattamenti di visualizzazione dato per quanto riguarda i dipendenti che per i soggetti (es. fornitori) che accedono ai luoghi di lavoro;
  2. Predisporre una o più informative idonee ai sensi dell’art.13 del GDPR che dovrà essere completa, esposta nei pressi del luogo ove viene effettuata la rilevazione per consentire agli interessati di poterla consultare. 
  3. Incaricare e formare i collaboratori ai sensi dell’art. 29 del GDPR che saranno deputati alla verifica del Green Pass;
  4. Individuare e verificare eventuali responsabili esterni al trattamento ai sensi dell’art. 28 GDPR (es. società esterne deputate al controllo accessi);
  5. Predisporre, aggiornare e verificare periodicamente una procedura interna per la verifica del Green Pass, concertata con il Data Protection Officer (#dpo).

Labor Project sta monitorando continuamente l’evoluzione normativa e sta predisponendo i documenti necessari per i propri clienti per la gestione del trattamento dati Green Pass. 

Per approfondire il tema o avere chiarimenti in merito, puoi contattare il consulente Labor Project di riferimento o chiedere di parlare con un consulente privacy e data protection sulla nostra pagina dedicata.


Aggiornamento del 22 settembre 2021

Se ti è piaciuto l'articolo condividi: