Con la legge di conversione del DL n. 127 del 2021, che ha introdotto l’obbligo di verifica della certificazione verde Covid-19 per tutti i lavoratori privati e pubblici, si è previsto che Il lavoratore possa consegnare al proprio datore di lavoro copia del green pass venendo esonerato, per tutta la durata della relativa validità, dai controlli da parte del datore stesso.
Tale novità normativa ha aperto un dibattito legato alla compatibilità di tale previsione con le norme sul trattamento dei dati personali, che, in particolare dopo il Regolamento UE n. 679/2016, cosiddetto GDPR, stabiliscono adempimenti rigorosi per tutte le imprese che trattano dati personali, a maggior ragione se questi possono essere qualificati come sensibili, trattandosi di certificazione relativa ad uno stato di salute.
Ebbene, anche se da una parte i decreti avevano già individuato le modalità con le quali doveva essere effettuata la verifica quotidiana del green pass (applicazioni certificate, ecc.), puntuale è arrivata la segnalazione a Parlamento e Governo da parte del Garante privacy che, per il momento, resta disattesa.
Per l’autorità la previsione violerebbe il considerando 48 del Regolamento UE 2021/953 il quale dispone che
“Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati (…)”
ed è da ritenersi in contrasto con la previsione per cui i dati relativi allo stato di salute del dipendente non possono essere trattati dal datore di lavoro ma solo dal medico competente.
Resta il fatto che tali introduzioni normative costituiscono comunque un motivo di aggiornamento della gestione del trattamento dei dati all’interno dell’azienda.
In particolare, il datore di lavoro deve implementare una serie di adempimenti per trattare i dati personali, derivanti dalla verifica del green pass, in maniera conforme al Regolamento UE 2016/679. Nel dettaglio, dovrà:
- predisporre un’informativa da consegnare ai soggetti verificati;
- aggiornare il registro delle attività di trattamento;
- predisporre un’autorizzazione al trattamento per i soggetti incaricati alla verifica;
- predisporre una nomina a responsabile del trattamento, nel caso in cui la verifica sia demandata a un soggetto esterno (es. portineria);
- valutare, per i casi che lo consentono, il termine di conservazione dei dati personali dei soggetti verificati e le modalità della stessa, che dovranno essere particolarmente sicure ed in grado di tutelare la privacy dei dipendenti e degli altri soggetti che debbano consegnare il green pass per la verifica dello stesso, a maggior ragione se, come previsto dalla nuova normativa, i lavoratori dovessero consegnare copia del green pass al datore per evitare il controllo quotidiano all’entrata.