giovedì, Marzo 28, 2024
Labourdì

Green Pass sui luoghi di lavoro: profili di criticità alla luce delle leggi n.165/2021 e n.172/2021 e delle segnalazioni del Garante della Privacy

A cura di Susanna Patalano. 

Con il decreto-legge 21 settembre 2021, n. 127, convertito nella legge 19 novembre 2021, n. 165, recante “misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening”, si è stabilito che dal 15 ottobre e fino al 31 marzo 2022, termine di cessazione dello stato d’emergenza, tutti i lavoratori, pubblici e privati, compresi i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato nei luoghi di lavoro afferenti al settore privato, anche sulla base di contratti esterni, come i lavoratori autonomi ed i collaboratori non dipendenti, hanno l’obbligo di esibire il green pass per accedere al luogo di lavoro. Oltre ai lavoratori dipendenti della singola amministrazione, sono soggetti all’obbligo i dipendenti delle imprese che hanno in appalto i servizi di pulizia, di ristorazione, di manutenzione, di rifornimento dei distributori automatici, i consulenti e collaboratori e i prestatori o frequentatori di corsi di formazione, come pure i corrieri che recapitano all’interno degli uffici posta d’ufficio o privata. Sono esclusi soltanto gli utenti. I soggetti in attesa di rilascio di valida certificazione verde potranno utilizzare i documenti rilasciati dalle strutture sanitarie pubbliche e private, dalle farmacie, dai laboratori di analisi, dai medici di medicina generale e dai pediatri di libera scelta mentre i soggetti sprovvisti di certificazione verde dovranno essere allontanati dal posto di lavoro.

Il datore di lavoro, a sua volta, deve stabilire le modalità di controllo dei certificati verdi ed è suo onere nominare i soggetti incaricati ad effettuare le verifiche, da attuarsi in sede di ingresso e/o a campione.

I dati personali trattati, oltre alle generalità del lavoratore, sono relativi alla validità, l’integrità e l’autenticità del green pass o di una certificazione equivalente ovvero le informazioni in merito allo stato di soggetto esente da vaccinazione anti Covid-19 riportate nella certificazione di esenzione dalla vaccinazione.

1. Sanzioni

Il dipendente pubblico che comunichi di non essere in possesso della certificazione verde o che risulti privo della certificazione, al momento dell’accesso al luogo di lavoro, è considerato assente ingiustificato. Per cui continueranno a decorrere termini per la maturazione delle ferie e dei permessi, del TFR e tutti i diritti connessi con il regolare svolgimento della mansione lavorativa, ma il lavoratore verrà considerato in permesso non retribuito, fermo restando il divieto di licenziamento. Non sono, inoltre, previste conseguenze disciplinari e si conserva il rapporto di lavoro.

La sanzione amministrativa per l’accesso senza green pass va da 600 a 1500 euro mentre la sanzione per i datori di lavoro che non procedano ai controlli va da 400 a 1000 euro. Le sanzioni saranno irrogate in ogni caso dai Prefetti, su segnalazione dei datori di lavoro.

Per le aziende con meno di 15 dipendenti, è previsto che il datore di lavoro sostituisca temporaneamente il lavoratore privo di green pass per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a dieci giorni, rinnovabili per una sola volta, e non oltre il predetto termine del 31 marzo 2022.

Come evidenziato nelle linee guida per il rientro al lavoro dei dipendenti pubblici: “Ciascuna amministrazione è autonoma nell’organizzare i controlli. È auspicabile, tuttavia, che vengano utilizzate modalità di accertamento che non determinino ritardi o code all’ingresso e che siano compatibili con la disciplina in materia di privacy. L’accertamento potrà essere svolto giornalmente e preferibilmente all’accesso della struttura, ovvero a campione (in misura non inferiore al 20% del personale presente in servizio e con un criterio di rotazione) o a tappeto, con o senza l’ausilio di sistemi automatici e prioritariamente nella fascia antimeridiana della giornata lavorativa”. Il tutto senza generare discriminazioni.

Non sono previsti dalla normativa obblighi di comunicazione delle modalità organizzative adottate, che potranno essere inserite nel Protocollo aziendale. Non sembra obbligatoria, però, la modifica del Protocollo né il coinvolgimento del Comitato ivi previsto.

Per le attività con pianificazione di turni, è previsto che “il datore di lavoro possa richiedere ai soggetti obbligati a rendere le comunicazioni sul Green Pass di farlo con un anticipo, non superiore alle 48 ore, strettamente necessario a soddisfare le esigenze organizzative e a garantire un’efficace programmazione del lavoro”.[1]

I soggetti incaricati delle verifiche devono essere individuati con un apposito atto formale.

Il datore di lavoro deve stabilire le modalità del controllo, prevedendone le procedure in cui occorre determinare gli strumenti adottati, i riferimenti all’identità dei soggetti controllati, la formalizzazione del soggetto addetto al controllo (valutare la previsione che siano due i soggetti verificatori per garantire che svolgano il proprio ruolo correttamente), la tracciatura formale della verifica negativa.

Gli stessi soggetti autorizzati dovranno controllare il pass del datore di lavoro, il quale avrà preventivamente controllato a sua volta quello degli autorizzati.

L’assenza di verifiche durante il periodo di validità della Certificazione Verde non consentirebbe di rilevare eventuali positività dell’intestatario, eludendo le finalità di salute pubblica e ponendosi in contrasto col principio di esattezza del trattamento dati.

Il lavoratore trovato con il Green pass scaduto dopo l’accesso sul luogo di lavoro – quello ottenuto con tampone dura 48 ore – avrebbe dovuto «lasciare immediatamente il posto di lavoro» e ciò avrebbe potuto causare l’eventuale interruzione anche di servizi essenziali. Pertanto, è stata predisposta la FAQ che ha derogato alla disposizione che prevedeva l’allontanamento del lavoratore e tale FAQ è divenuta norma.[2]

2. Obblighi per Tribunali, organi costituzionali, lavoratori privati, colf e badanti e per il personale scolastico e sanitario

Dal 15 ottobre 2021 e fino al 31 marzo 2022, anche il personale amministrativo e i magistrati, per l’accesso agli uffici giudiziari, devono possedere ed esibire il green pass. Al fine di consentire il pieno svolgimento dei procedimenti, l’obbligo non si estende ad avvocati e altri difensori, consulenti, periti e altri ausiliari del magistrato estranei all’amministrazione della Giustizia, testimoni e parti del processo.

L’obbligo di Green Pass vale anche per i soggetti titolari di cariche elettive e di cariche istituzionali di vertice.

Anche per colf, badanti, babysitter e assistenti familiari in genere l’obbligo di green pass è operativo, sia in caso di lavoro subordinato che per lavoro occasionale con Libretto famiglia.

Lavoratori per cui era già in vigore l’obbligo del green pass sono il personale sanitario e quello scolastico. Per quanto riguarda il personale sanitario, l’unico soggetto autorizzato a verificare l’esistenza del green pass sarà il medico competente, nella sua qualità di titolare autonomo del trattamento dei dati. Non è lo stesso per il personale scolastico, per il quale è prevista l’esibizione del green pass. In caso di mancanza della certificazione verde, il personale scolastico non potrà essere ammesso sul luogo di lavoro, e dopo cinque giorni di assenza per tale motivo, che verrà considerata ingiustificata, verrà sospeso dalla mansione lavorativa e dallo stipendio. In questo caso, il controllo della misura è affidato ai dirigenti scolastici ed ai responsabili dei servizi ed a tal uopo è stata predisposta una piattaforma automatizzata per il controllo dei green pass collegata al data base nazionale.

3. La verifica del certificato verde

La verifica del Certificato Verde deve svolgersi secondo le modalità indicate dal DPCM del 17 giugno 2021, in particolare mediante la scansione del QR code, codice a barre bidimensionale interoperabile che consente di stabilire la validità, autenticità e integrità del Green pass, tramite la App “VerificaC19”.

Oltre all’app “VerificaC19”, tali verifiche potranno avvenire attraverso:

  1. l’integrazione del sistema di lettura e verifica del QR code del certificato verde nei sistemi di controllo agli accessi fisici, inclusi quelli di rilevazione delle presenze, o della temperatura;
  2. per gli enti pubblici aderenti alla Piattaforma NoiPA, realizzata dal Ministero dell’economia e delle finanze, l’interazione asincrona tra la stessa e la Piattaforma nazionale-DGC;
  3. per i datori di lavoro con più di 50 dipendenti, sia privati che pubblici non aderenti a NoiPA, l’interazione asincrona tra il Portale istituzionale INPS e la Piattaforma nazionale-DGC; per le amministrazioni pubbliche con almeno 1.000 dipendenti, anche con uffici di servizio dislocati in più sedi fisiche, una interoperabilità applicativa, in modalità asincrona, tra i sistemi informativi di gestione del personale del, e la Piattaforma nazionale-DGC.

L’app Sogei, invece, risolverebbe il problema dei controlli individuali e quotidiani tramite il sistema delle tessere sanitarie gestito dalla Ragioneria Generale dello Stato. La tessera sanitaria è legata al codice fiscale che contiene un codice alfanumerico che permette di non mostrare il nome del lavoratore consentendo alle imprese di non dover verificare quotidianamente i certificati dei dipendenti. La nuova applicazione Sogei sarebbe utilizzabile anche nella Pubblica Amministrazione. Intanto le linee guida dei ministeri Funzione Pubblica e Salute stabiliscono che ogni singola amministrazione è competente sugli accertamenti.

Il controllo del green pass deve limitarsi al controllo dell’autenticità, validità e integrità della certificazione e non può comportare, in alcun caso, la raccolta dei dati dell’intestatario. Non può comportare l’accesso alle informazioni sui presupposti della certificazione (vaccino, guarigione dal COVID-19 o tampone), né sulla sua scadenza. Non è consentito richiedere copia delle certificazioni e con riferimento a sistemi integrati con quelli di rilevazione presenze, questi devono assicurare la mancata registrazione dei dati della certificazione (occorrerà verificarne by design la compliance alla normativa a tutela dei dati personali).

4. La consegna volontaria del Green pass da parte del lavoratore al datore di lavoro

Tra le novità introdotte dalla L. 165/2021 si contempla la facoltà di consegna della certificazione verde da parte dei lavoratori al Titolare del trattamento che dovrà, pertanto, individuare una politica capace di garantire l’integrità e la privacy delle informazioni sin dalla fase di ricezione della certificazione.

Il Titolare dovrà garantire che la fase di consegna e conservazione siano adeguatamente protette attraverso l’adozione di misure. La consegna e la ricezione della certificazione verde dovranno, pertanto, essere parametrate da una politica che tenga conto del livello di sicurezza informatica attuata (e da attuare) e alla corretta individuazione dei soggetti tenuti alla ricezione.

Rientrano nelle misure di sicurezza sia le misure tecniche sia quelle organizzative di cui all’art. 32 del GDPR. Le prime riguardano l’infrastruttura aziendale e fanno riferimento alle politiche di sicurezza adottate affinché il flusso di informazioni sia protetto da eventuali violazioni informatiche che lederebbero la privacy dei lavoratori. Le seconde, invece, riguardano la corretta mappatura dei soggetti che partecipano al trattamento. In particolare, è consigliabile rafforzare la nomina del delegato, figura già prevista dal D.L 52/2021, come modificato dal D.L. 127/2021.

Si tratta della nomina a designato al trattamento di cui agli artt. 29 GDPR e 2 quaterdecies del Codice Privacy, la stessa dovrà riportare le azioni da intraprendere e le politiche da rispettare sia nella fase di ricezione che in quella di conservazione.

La nomina a delegati alla ricezione dovrà pertanto riportare istruzioni chiare e precise per i soggetti autorizzati al ricevimento delle certificazioni verdi.

5. Le finalità dei trattamenti stabilite dalla PA

Fino all’approvazione del decreto capienze, d.l. n.139/2021, ogni volta che veniva previsto un nuovo trattamento di dati, una norma apposita doveva stabilirne le finalità.

L’art. 9 del decreto capienze, invece, prevede che la finalità del trattamento, “se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall’amministrazione, dalla società a controllo pubblico o dall’organismo di diritto pubblico in coerenza al compito svolto o al potere esercitato”.

Se la Pubblica Amministrazione riterrà necessario svolgere un nuovo trattamento, per una finalità non ancora prevista per legge, la PA stessa, con un semplice atto amministrativo, potrà indicare per quale motivo ritiene necessario effettuare quel trattamento.

6. Le osservazioni del Garante con la segnalazione dell’11 novembre 2021

Il Garante con la Segnalazione dell’11 novembre 2021 ha immediatamente ufficializzato il proprio dissenso alla disposizione del decreto che prevede: “Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde Covid-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro”. L’Authority ha così motivato la sua osservazione:

  1. Il datore di lavoro non è autorizzato a trattare dati sanitari dei propri dipendenti, che possono essere trattati unicamente dal medico competente, il quale si pone come Titolare autonomo e può comunicare esclusivamente l’idoneità o meno alla mansione al datore.
  2. Il consenso dei lavoratori come presupposto di legittimità del trattamento risulta essere una base labile, in quanto nel rapporto datore-dipendente il consenso, in tal caso, non potrebbe considerarsi libero perché il lavoratore si potrebbe trovare in una situazione di soggezione che invaliderebbe il consenso espresso. Per quanto attiene la base giuridica, la stessa si rinviene nell’adempimento ad un obbligo di legge (art. 6, lett. c, GDPR) all’articolo 9-quinquies (per il settore pubblico) e all’articolo 9-septies (per il settore privato) del D.L. 52/2021 come modificato dal D.l. 127/2021 che impongono l’obbligo di verifica del Green Pass. La base giuridica del trattamento nell’ambito dei rapporti di lavoro non può essere rappresentata dal consenso, e il fatto che il lavoratore consegni, su proprio impulso, la certificazione verde non costituisce un consenso implicito. In particolare, il consenso rilasciato dal dipendente non può costituire un’idonea legittimazione in virtù dello squilibrio delle parti o meglio sbilanciamento di potere tra datore e lavoratore nel rapporto di lavoro caratterizzato da un’asimmetria “genetica”.
    Il controllo risulta legittimo solo se e nella misura in cui venga rispettato il principio di minimizzazione, ovvero se il trattamento dei dati sia limitato solo a quelli effettivamente e strettamente necessari per la finalità. Quindi, il verificatore potrà e dovrà controllare soltanto il nome e il cognome del soggetto e la presenza della spunta verde all’interno del QR Code, cioè la validità del pass, senza poter sapere sulla base di quale condizione il pass è stato rilasciato. Pertanto, il datore di lavoro, e per lui i suoi autorizzati, non potranno sapere se i propri lavoratori sono no vax. Infatti, i dati sanitari ex art. 9 GDPR non possono essere trattati senza il consenso dell’interessato.
    Conseguenza diretta di questo divieto è che il datore non potrà conoscere la scadenza del green pass, dato anch’esso eccedente la finalità per cui il trattamento viene effettuato né potrà in alcun modo conservare i dati relativi ad esso in banche dati cartacee o telematiche. Non si potranno allora stilare elenchi, liste, o altre modalità scorciatoie per tenere traccia dei lavoratori muniti di green pass o altrimenti il datore dovrà predisporre dei controlli giornalieri da parte di soggetti verificatori.
  3. Se il datore di lavoro accettasse di conservare i green pass, si sobbarcherebbe un conseguente onere di conservazione di un’ingente mole di dati, per la quale dovrebbe approntare misure tecniche ed organizzative adeguate e costose, con impatto anche sulla finanza pubblica nel caso delle Pubbliche Amministrazioni. Questa nuova previsione, secondo il Garante della Privacy, rende il trattamento dei relativi dati non del tutto proporzionato, perché non pienamente funzionale rispetto alle finalità perseguite. I controlli sul Green Pass da parte del datore di lavoro, infatti, risultano efficaci quando sono eseguiti periodicamente.
  4. Dalla scadenza della certificazione il datore di lavoro potrebbe evincere «il presupposto di rilascio della stessa, ciascuno dei quali (tampone, guarigione, vaccinazione) determina un diverso periodo di validità del green pass», con effetti potenzialmente pregiudizievoli in termini di «possibili discriminazioni in ragione della scelta vaccinale». Come affermato dal Garante, infatti, tale divieto è funzionale a garantire, tra l’altro, le «scelte da ciascuno compiute in ordine alla profilassi vaccinale».
    Il divieto di raccogliere preventivamente i Green Pass, in luogo della verifica della validità volta per volta all’ingresso nei luoghi di lavoro, mette a rischio la riservatezza dei dipendenti anche in maniera “indiretta”.
    “In tal modo, dunque, una scelta quale quella sulla vaccinazione -così fortemente legata alle intime convinzioni della persona- verrebbe privata delle necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all’autodeterminazione individuale (in ordine all’esigenza di evitare possibili discriminazioni in ragione della scelta vaccinale, cfr. anche risoluzione 2361 (2021) del Consiglio d’Europa)” come ha dichiarato il Garante.
    La conoscenza del dato e quindi della relativa attività di trattamento dovrebbe essere assolutamente preclusa al datore di lavoro, dal momento che la conoscenza di peculiari condizioni soggettive dei lavoratori (come ad es. la situazione clinica e convinzioni personali), risulterebbe poco compatibile con le tutele previste tanto dalla disciplina di protezione dati, quanto vieppiù dalla normativa juslavoristica (ex artt. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003)
  5. Inoltre, come ribadisce più volte il Garante, la raccolta delle copie dei Green Pass contrasta con il disposto del Regolamento (UE) 2021/953 che, al Considerando 48, vieta la conservazione di dati sanitari per scopi diversi da quelli medici. Il Regolamento, infatti, stabilisce che: “Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente regolamento”.
    Tale norma supera il Dpcm del 17 giugno, secondo cui «l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma», fatti salvi alcuni trattamenti «strettamente necessari» all’applicazione di misure previste.
    Il Garante ha osservato che il venire meno dei controlli giornalieri «rischia di determinare la sostanziale elusione delle finalità di sanità pubblica sottese al sistema del “green pass”». Quest’ultimo è strumento efficace a fini epidemiologici solo se la sua «persistente validità» viene costantemente controllata. La condizione sanitaria di ciascuno è potenzialmente variabile, «dunque, difficilmente “cristallizzabile” in una presunzione di validità della certificazione».

7. Dubbi sull’app VerificaC19

Quanto poi all’app “VerificaC19”, il Garante si è espresso così: se nel controllo dei green pass «l’esclusione della raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione è già prevista in via generale dall’art. 13, comma 5, del dpcm 17 giugno 2021, […] va garantito è che il sistema “a regime” consenta, mediante un’opportuna soluzione informatica, di far corrispondere al “verde” della verifica solo le certificazioni da guarigione o vaccino e, al “rosso”, solo quelle da test». Solo così, secondo Stanzione, il presidente del Garante Privacy, «si può assicurare che l’applicazione della norma sulla differenziazione delle certificazioni avvenga senza legittimare l’accesso dei soggetti verificatori ai dati contenuti nel pass e, in particolare, ai presupposti di rilascio» ma bensì evidenziando soltanto l’esito verde o rosso.

Il Garante vuole risolvere la questione esenzioni. Per evitare una “indebita rilevazione dei dati del destinatario” occorre associare al sistema dell’app VerificaC19 di controllo della validità della certificazione verde rafforzata anche “la sussistenza di un certificato di esenzione basato su un QR code che rilevi solo il nominativo e la data di nascita”. A quanto risulta, il ministero della Salute sta preparando un decreto ministeriale che si pronuncerà in merito alle esenzioni, prevedendo un QR-Code indistinguibile dal green pass e verificabile anch’esso tramite l’app VerificaC19, che andrà modificata, implementata e migliorata.

8. Gli adempimenti delle aziende che conservano copie dei Green pass

Gli adempimenti da parte dell’azienda che decida o abbia deciso di “accettare” di conservare copia dei Green pass, da parte dei lavoratori che ne abbiano già fatta richiesta sono:

1) modificare la procedura interna di gestione dei controlli e la formazione da fornire agli incaricati o responsabili del trattamento che hanno ricevuto la delega ad eseguire i controlli, i quali dovranno essere portati a conoscenza dei nominativi dei lavoratori che hanno scelto di consegnare il green pass e continuare i controlli solo sugli altri (stabilendo le modalità con le quali gli interessati potranno avere accesso a queste informazioni);

2) redazione di un’idonea informativa che può contenere una serie di informazioni relative a:

  • l’identità e i dati di contatto del Titolare del trattamento e, se è stato nominato, del suo DPO;
  • le finalità strumentali e connesse alla gestione del contagio;
  • la base giuridica del trattamento, cioè il bisogno di adempiere a un obbligo legale al quale il Titolare è sottoposto (art. 6 lett. c. GDPR);
  • l’indicazione dei diritti dell’interessato, indicati dagli artt. 15-22 GDPR;
  • il diritto al reclamo ad un’autorità di controllo;
  • l’indicazione del bisogno di sottoporsi a verifica per poter accedere a determinati luoghi o beneficiare di determinati servizi;
  • l’assenza di decisione automatizzata compresa la profilazione.

È importante sottolineare che tale informativa va diffusa il più possibile e deve essere riportata oltre che sul sito internet, se presente, nei luoghi dove si effettua la verifica della certificazione affinché possa essere consultata.

2) valutazione dei rischi, se non anche di impatto ai sensi dell’art. 35 GDPR sul processo di verifica dei green pass

3) predisposizione di un registro ad hoc

4) aggiornamento dei registri delle attività di trattamento, oltre a tutto il corredato apparato documentale, nello stesso andrà indicato il periodo di conservazione che coinciderà con la durata della situazione d’emergenza (ad oggi, 31 marzo 2022).

Peraltro, la norma prevede unicamente il diritto dei lavoratori di consegnare il certificato del green pass, ma non la possibilità per il datore di lavoro di richiederne la consegna.

9. Intervento del Presidente del Garante in data 7 dicembre 2021

Il Presidente del Garante per la Protezione dei Dati Personali ha ribadito la posizione dell’Autorità lo scorso 7 dicembre in Audizione alla Prima Commissione permanente Affari Costituzionali del Senato.

Il presidente Pasquale Stanzione ha preventivamente riepilogato le criticità che ancora oggi affliggono la certificazione verde, invitando apertamente il Parlamento ad eliminare la possibilità di consegna del Green Pass al datore di lavoro.

Il presidente ha, però, anche ricordato che il Green Pass rappresenta «uno strumento non già di controllo, ma di promozione delle libertà, a efficacia dichiaratamente temporanea e strettamente commisurata all’emergenza pandemica, fondato su di un sistema tanto efficiente quanto rispettoso della privacy e della stessa autodeterminazione in ordine alle scelte vaccinali» e che proprio l’averne minimizzato l’impatto sulla privacy costituisce un elemento di legittimazione sociale (e conseguentemente di fiducia dei cittadini) in questo strumento.

Il Presidente dell’Autorità Garante ha criticato, in particolare, il fatto che la consegna del Green Pass al datore di lavoro comporta che quest’ultimo è in grado di evincere il presupposto di rilascio della certificazione finendo per far conoscere al datore di lavoro la situazione clinica del lavoratore.

Il Presidente dell’Autorità Garante, quindi, insiste sull’opportunità di ripensare la norma, abrogando la disciplina che consente la consegna del certificato al datore di lavoro ed afferma, infine: “Non credo, infatti, che nessuna semplificazione, reale o presunta che sia, valga il prezzo della rinuncia alla riservatezza su scelte così fortemente connotative della persona come quelle in ambito vaccinale”.

10. Super green pass

Con l’introduzione del “Super Green Pass”, con il D.L. n. 172 del 26/11/2021 con il quale è stato introdotto il Green pass “rafforzato” temporaneo poiché valevole dal 06/12 al 15/01, prorogato dal Consiglio dei ministri del 14.12.2021 fino al 31 marzo 2022, non è stata previsto il Super Green pass per l’accesso ai luoghi di lavoro. È stata estesa però la platea di categorie lavorative per le quali è previsto l’obbligo vaccinale: il personale amministrativo operante nella sanità, i docenti e personale amministrativo della scuola, militari e forze di polizia, personale del soccorso pubblico.

Parlamento e Governo nella disciplinare le certificazioni COVID ora hanno chiaramente messo da parte la tutela del diritto alla riservatezza, rendendo di fatto pubbliche, da parte del soggetto che effettua il controllo, la scelta vaccinale e/o guarigione da COVID da parte del controllato.

Resta poi valido il monito del Garante verso una digitalizzazione delle procedure, che consenta di procedere alle verifiche del Green Pass e del c.d. “Super” Green Pass attraverso l’app Verifica C19, minimizzando così i dati personali raccolti (da disciplinarsi attraverso apposito DPCM).

Nella fase di conversione in legge del D.L. 127/2021, il Garante aveva inoltre sollecitato l’attuazione della disciplina per la gestione digitale delle certificazioni relative ai soggetti esentati dall’obbligo del possesso del Green Pass, a causa di condizioni mediche che costituiscono controindicazione rispetto alla vaccinazione.

Per ora sono autorizzati certificati cartacei che, sebbene disciplinati in modo da ridurre al minimo le informazioni contenute, sono comunque più rischiosi rispetto a quelli digitali, oltre che più facilmente falsificabili.

Al momento il Governo non ha minimamente colto il sollecito del Garante e la disciplina transitoria – che prevede appunto un certificato cartaceo- è stata oggetto di plurime proroghe.

Con Circolare del 25.11.2021, il Ministero della Salute ha prorogato al 31.12.2021 la validità delle certificazioni di esenzione già emesse.

In questo modo, però, i soggetti esentati dall’obbligo di Green Pass sono di fatto costretti ad una ostensione di dati personali più incisiva rispetto ai soggetti titolari della certificazione verde, sono costretti ad un monitoraggio costante del sito del Ministero nell’attesa di conoscere il loro destino, di circolare in circolare, e sono altresì costretti a spiegare agli interessati che la loro certificazione di esenzione, pur apparentemente scaduta, è valida in forza della più recente circolare, subendo una perdurante discriminazione.

11. La questione dei positivi con Green Pass valido

Una delle questioni aperte è quella del tempestivo aggiornamento dei Green Pass in caso di positività al COVID. Secondo l’Authority, i dati del Green pass devono essere sempre aggiornati, che si tratti di un tampone scaduto, di una persona guarita o vaccinata e poi diventata positiva, perché solo così si persegue l’interesse pubblico superiore. Il Garante per la Privacy ha sottolineato di avere già evidenziato le criticità nel sistema di aggiornamento dati e di collegamento con la piattaforma nazionale Dgc (Digital green Certificate) che emette il certificato.

Sebbene sia pacifico che in quel caso si debba procedere con la quarantena della persona risultata positiva, occorre evidenziare la maggior coerenza all’interno del sistema normativo-organizzativo nazionale del nesso logico positività-quarantena-revoca del Green Pass. Il Ministero della Salute emanerà presto un decreto recante la modifica del Dpcm del 17 giugno 2021 per la revoca temporanea della certificazione ed il Garante ha già dato il proprio via libera alla misura in data 10 dicembre 2021.

Il Garante Privacy aveva già segnalato, più volte, i profili di criticità sulla revoca del certificato ai positivi nel caso di mancato aggiornamento del Certificato verde.

Già nel provvedimento riportante il parere sul DPCM del 9 giugno 2021 [doc. web n. 9668064] il Garante aveva messo chiaramente in evidenza che “il collegamento con la Piattaforma nazionale-DGC risulta indispensabile per verificare l’attualità delle condizioni attestate nella certificazione, tenendo conto dell’eventuale variazione delle stesse (es. sopraggiunta positività), con significativi rischi anche in ordine alla reale efficacia della misura di contenimento” con la conseguenza che “solo la Piattaforma nazionale-DGC, attuata nel pieno rispetto delle garanzie previste dalla disciplina di protezione dati e conformemente al parere dell’Autorità, ha infatti le caratteristiche per realizzare, superate le criticità in ordine alla specificazione delle finalità del trattamento sopra riportate, il rilevante obiettivo di interesse pubblico sottostante e può considerarsi proporzionata all’obiettivo legittimo perseguito”.

Per Stanzione la disciplina italiana «può essere letta come il tentativo, realizzato per approssimazioni successive, di affinare il bilanciamento tra esigenze di sanità pubblica, libertà d’iniziativa economica, privacy e autodeterminazione in ordine alle scelte sanitarie, modulando la tecnica in funzione della libertà».

Tale norma insieme alla normativa vigente in materia di protezione dei dati personali (Regolamento UE 679/2016 con il D.lgs. 196/2003 come novellato dal D.lgs. 101/2018) si pone in contrasto con il principio di limitazione della conservazione, ai sensi dell’art. 5 del GDPR.

Inoltre, si ricorda che il Garante per la protezione dei dati personali ha considerato il medico competente un titolare autonomo del trattamento e gli accertamenti devono essere effettuati esclusivamente tramite il professionista. Pertanto, il datore non deve conoscere situazione clinica del lavoratore, ma solo l’idoneità alla mansione.

Si consiglia, quindi, di valutare soluzioni informatiche specifiche che riescano a tutelare l’autodeterminazione dell’individuo.

Per coloro che non hanno la certificazione verde Covid-19 si esclude il diritto a lavorare in smart working, dovendo comunque sempre contemperarsi la richiesta del lavoratore alle esigenze dell’azienda, nonché alla compatibilità della mansione svolta con la modalità di lavoro agile.

12. Campagne di sensibilizzazione sulla vaccinazione nei luoghi di lavoro

L’art. 4 bis inserito in sede di conversione e per proteggere i soggetti a rischio, fino alla data di cessazione dello stato di emergenza, sono caldamente invitati tutti i datori di lavoro (sia pubblici che privati) a promuovere campagne di informazione e sensibilizzazione sulla necessità nonché importanza della vaccinazione. Il tutto volto alla tutela della salute dei dipendenti e al contrasto e al contenimento della diffusione dell’infezione negli ambienti di lavoro.

13. Conclusioni e nodi irrisolti

Dubbi sorgono se si pone l’accento sulla dicitura che l’esibizione del Green pass avviene “su richiesta”, la quale fa intendere quasi che se il datore resta inerme, il lavoratore, anche se colpevole perché sprovvistone, non verrebbe sanzionato. Si potrebbe allora eccepire che la norma prevede che i controlli possano avvenire anche a campione ma a quel punto non si potrebbe dire che la salute pubblica sia davvero tutelata. Inoltre, l’obbligo di esibizione del Green Pass vale anche per coloro che svolgano attività lavorativa sulla base di contratti esterni ma allora gli agenti, rappresentanti, i clienti, utenti, visitatori resterebbero scoperti e in quel caso il luogo di lavoro si potrebbe considerare sicuro?

Tra i problemi che restano aperti c’è quello di valutare cosa fare con chi avesse deciso di consegnare copia del Green pass, per quanto con il 31 marzo 2022 si tornerà, in base alle normative ora vigenti, al Green pass basico. Molti dubbi restano irrisolti nel silenzio generale. Si auspica di poter contare sul buon senso e senso di responsabilità dei cittadini e di conseguenza scongiurare l’obbligo vaccinale, che sarebbe una sconfitta in un paese democratico, perché farebbe denotare la mancanza di senso civico e di una presa di coscienza collettiva sull’importanza di vaccinarsi per tutelare il bene fondamentale della vita di tutti, nessuno escluso.


[1] PERSONALE PA: LINEE GUIDA FUNZIONE PUBBLICA-SALUTE PER LA VERIFICA DEL POSSESSO DELLA CERTIFICAZIONE VERDE

[2] FAQ n.12 del Governo: https://www.governo.it/it/articolo/green-pass-faq-sui-dpcm-firmati-dal-presidente-draghi/18223

Un pensiero su “Green Pass sui luoghi di lavoro: profili di criticità alla luce delle leggi n.165/2021 e n.172/2021 e delle segnalazioni del Garante della Privacy

Lascia un commento