Dal prossimo 15 ottobre, come noto, il datore di lavoro sarà chiamato a verificare che i propri dipendenti siano in possesso del Green Pass. Solamente chi ha ottenuto questa certificazione, infatti, potrà accedere al posto di lavoro. Come noto, il “certificato verde” è un’attestazione che dimostra, alternativamente: a) l’avvenuta vaccinazione, b) un tampone negativo oppure c) un test molecolare negativo. La verifica spetta al datore di lavoro, che è quindi chiamato a svolgere un trattamento di dati personali, peraltro delicati in quanto inerenti alla salute. Come comportarsi, dunque, per essere sicuri di rispettare le norme in materia di privacy?

Il Garante è da sempre stato attento al tema, fornendo nel tempo alcune indicazioni e creando una sezione sul proprio sito, consultabile da chiunque sia interessato. Per quanto riguarda i compiti ora assegnati al datore, si possono tracciare alcuni punti, da tenere bene a mente.

Modalità del controllo

Come effettuare il controllo. La verifica deve essere condotta utilizzando la app ufficiale, “Verifica C19”. Questa app va installata su uno strumento aziendale: utilizzare un device personale per effettuare questo tipo di trattamento di dati, infatti, rappresenterebbe un trattamento non giustificabile, oltre che un rischio per la potenziale perdita di dati.

Trattamenti automatizzati. Nel caso in cui il datore di lavoro voglia avvalersi di strumenti automatizzati per l’effettuazione di questa verifica (si pensi alle grandi aziende), andrà prima condotta una valutazione di impatto, per individuare i possibili rischi connessi al trattamento dei dati.

Trattamento e compiti

Modalità del trattamento. Il datore è chiamato a verificare che il dipendente abbia un Green Pass valido. Questo significa che non è richiesto (né il sistema della app lo consente) accertare se, a fondamento di quella certificazione, ci sia un tampone anziché la vaccinazione. Tali informazioni, quindi, restano escluse. Allo stesso tempo, non è ammessa la conservazione dei dati. La verifica, quindi, si esaurisce in un unico momento.

Ruoli. Il compito di verifica spetta al datore di lavoro, che è quindi titolare del trattamento. Chiaramente, nelle realtà più complesse non sarà il datore in persona a curare questo adempimento, ma un soggetto interno alla struttura aziendale. Sarà quindi indispensabile che tale figura venga formalmente incaricata e autorizzata a compiere le operazioni di trattamento dei dati. L’incaricato dovrà inoltre possedere un adeguato livello di formazione in materia, onde assicurare che la verifica sia condotta da personale qualificato.

Va da sé che, nell’ottica del principio di accountability, che definisce l’intero assetto privacy definito dal GDPR, spetta al singolo datore di lavoro, titolare del trattamento, organizzarsi al meglio. Le operazioni di verifica del Green Pass, quindi, dovranno rispondere ai principi di minimizzazione del trattamento e di contenimento dei rischi.