Conservazione del green pass del dipendente: è una violazione della privacy?

Scarica PDF Stampa
La conservazione da parte del datore di lavoro della certificazione verde del dipendente potrebbe configurare una violazione delle disposizioni in materia di protezione dei dati personali.

Indice:

  1. Il fatto
  2. I profili critici

Il fatto

Il Garante per la protezione dei dati personali è intervenuto al fine di rendere note alcune criticità in tema di trattamento dei dati personali che, secondo il suo punto di vista, sarebbero sorte in merito ad alcuni emendamenti, approvati in Senato, al Disegno di Legge del decreto legge 127/2021 (AS 2394).

Il Decreto legge 127/2021, recante Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening, era stato, infatti, convertito con modificazioni dalla legge del 19 novembre 2021 n. 165. Questa legge interviene, dunque, sul D.L. citato il quale ha introdotto l’obbligo di possedere ed esibire il Green Pass per poter accedere ai luoghi di lavoro. La legge 165/2021 ha introdotto importanti novità con l’obiettivo di semplificare le modalità di verifica del possesso del Green Pass.

Gli emendamenti che hanno attirato l’attenzione del Garante riguardano la possibilità di consegna, da parte dei lavoratori del settore pubblico e privato, della copia della certificazione verde al datore di lavoro, al fine di evitare le quotidiane procedure di controllo richieste per tutta la durata di validità della certificazione.

Sostanzialmente, al fine di velocizzare il controllo sul possesso e sulla validità del Green Pass dei lavoratori dei settori pubblici e privati, uno degli emendamenti approvati prevede che i lavoratori stessi possono decidere di consegnare direttamente al datore di lavoro una copia del Green Pass. In tal modo, dunque, è possibile, per il lavoratore che abbia scelto questa opzione, evitare i controlli quotidiani previsti per l’ingresso sul posto di lavoro.

Questa novità introdotta, ha, come detto, posto dubbi in materia di trattamento dei dati personali tanto da aver richiesto un intervento del Garante che ha inviato una segnalazione al Parlamento e al Governo al fine di sollevarne le criticità.

>> Leggi la segnalazione del Garante privacy

I profili critici

Alla luce di quanto sopra detto, il Garante ha ritenuto necessario sollevare alcune criticità, sulle quali è auspicabile un ulteriore approfondimento da parte dei soggetti competenti.

  • Prevalentemente il Garante ha contestato il fatto che le nuove modalità operative, introdotte attraverso gli emendamenti, rischiano di precludere la piena realizzazione delle esigenze sanitarie sottese all’introduzione del Green Pass.

Innanzitutto, infatti, nel caso in cui il lavoratore, pubblico o privato, dovesse optare per la consegna della copia del certificato verde al datore di lavoro, lo stesso andrebbe ad esimersi dai controlli circa la validità stessa del Green Pass il quale è stato introdotto come efficace strumento a fini epidemiologici proprio perché soggetto a costanti verifiche circa la sua persistente validità.

Una simile soluzione, dunque, quale quella introdotta dall’emendamento al disegno di legge, comporterebbe una diminuzione di tali verifiche che hanno lo scopo unico e preciso di combattere la diffusione del contagio. Ciò significa, allora, che una volta consegnata la copia della certificazione verde, la permanente validità della stessa sarebbe presunta, poiché esente da verifiche fino alla data di scadenza, e, oltretutto, sarebbe indifferente alle possibili ed eventuali sopravvenienze che ne potrebbero limitare o interrompere la validità per un qualunque motivo relativo a ragioni legate alla pandemia.

Tale profilo critico ha comunque un rilevo non indifferente, tale da essere evidenziato fin dall’inizio dall’Autorità.

Come si legge nella segnalazione del Garante, “tale previsione, che rischia di precludere la piena realizzazione delle esigenze sanitarie sottese al sistema del Green Pass, rende quindi anche il trattamento dei dati non del tutto proporzionato (perché non pienamente funzionale rispetto) alle finalità perseguite.

Essendo, dunque, controverso che una simile soluzione possa rispettare le finalità di tipo sanitario sottese allo strumento del Green Pass, appare di conseguenza, secondo il Garante, dubbio che la raccolta e il trattamento dei dati siano funzionali rispetto alle finalità perseguite.

Infatti, in materia di trattamento dei dati personali vige il principio di finalità del trattamento in base al quale il trattamento dei dati è legittimo in relazione al fine del trattamento stesso. Dunque i dati devono essere raccolti per finalità determinate e legittime. Infatti, ai sensi dell’art. 4, par, 1 del GDPR, il titolare del trattamento deve indicare le finalità e i mezzi del trattamento dei dati personali.

  • Oltre a quanto sopra evidenziato, il Garante ha messo in evidenzia un ulteriore profilo di criticità inerente la normativa dettata in materia di trattamento dei dati personali.

Infatti, secondo l’Autorità, la possibilità di conservazione di una copia del Green Pass da parte del datore di lavoro contrasterebbe con il dettato del Considerando 48 del Regolamento (UE) 2021/953 il quale dispone che “laddove il certificato (verde) venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente regolamento”.

Tale previsione è rivolta a tutelare la riservatezza dei dati in merito alla condizione clinica del soggetto e, dunque, anche la scelta del soggetto in merito alla profilassi vaccinale.

Questa particolare tipologia di dati, ossia i dati c.d. sanitari che sono idonei a rivelare informazioni circa la condizione di salute psico-fisica di un soggetto, sono espressamente previsti dal GDPR. Quest’ultimi meritano una speciale tutela in quanto un trattamento non adeguato potrebbe comportare un rischio significativo per i diritti e le libertà fondamentali del soggetto. Ad esempio, come riportato nella segnalazione del Garante, dalla data di scadenza della certificazione è possibile evincere se la stessa è stata rilasciata o perché il soggetto si è sottoposto a tampone Covid-19, oppure perché è guarito dal Covid-19 o perché si è sottoposto a vaccinazione.

Attraverso le nuove misure contenute negli emendamenti, tutte e tre le ipotesi sopra riportate, ossia le libere scelte del soggetto, che ha ad esempio scelto di vaccinarsi, sarebbero private della garanzia di riservatezza, potendo provocare pregiudizio in ordine all’autodeterminazione individuale.

Infatti, al fine di evitare una simile violazione e al fine di garantire tali esigenze, ossia garantire la riservatezza in merito a tali informazioni, è stato previsto che l’attività di verifica delle certificazioni non comporta la raccolta e conservazione dei dati dell’interessato (d.P.C.M. 17 giugno 2021).

Infine, il Garante ha rilevato che neppure la presenza del consenso dell’interessato, ossia del lavoratore titolare del certificato verde che viene consegnato al datore di lavoro, costituirebbe un idoneo presupposto di liceità. Questo perché il consenso rilasciato in ambito lavorativo non è idoneo a causa dell’asimmetria che caratterizza il rapporto stesso: nel senso che lo squilibrio di potere, dato dalle due posizioni (datore-dipendente), rende difficilmente ipotizzabile che la volontà manifestata dal lavoratore possa considerarsi effettivamente libera.

In ragione di quanto esposto, ossia dei profili critici in merito alle novità introdotte dagli emendamenti, il Garante ha ritenuto necessario trasmettere al Parlamento e al Governo una segnalazione al fine di esporre tali criticità e incentivare gli stessi ad ulteriore approfondimenti in merito.
>> Clicca QUI per leggere la segnalazione del Garante

Volume consigliato:

Compendio breve sulla privacy
Guida alla lettura del GDPR con esempi e casi pratici

Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari.

24,00 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento