Entrano ufficialmente in vigore alcune rilevanti modifiche in materia di Green Pass. La legge 165/2021, infatti, ha convertito il decreto legge 127/2021, introducendo una semplificazione per i controlli della certificazione verde sul posto di lavoro. I lavoratori, infatti, possono chiedere al datore di lavoro di consegnare il loro Green Pass, in modo da poter essere esentati dai controlli successivi.
Questa previsione risponde ad una comprensibile esigenza di velocizzare i tempi che quotidianamente vengono dedicati ai controlli circa il possesso del Green Pass. Ricevere una verifica singola ed essere così “a posto” fino alla scadenza della certificazione, rappresenta un problema in meno sia per il lavoratore che per il datore.
Le perplessità in materia di privacy
Dall’altro lato, però, questa nuova opzione pone non pochi grattacapi in materia di privacy. Le ragioni sono evidenti. La verifica sul Green Pass, infatti, aveva ottenuto un agile via libera dal Garante Privacy proprio sul presupposto che essa si esaurisce istantaneamente. Nell’originaria configurazione, infatti, il datore si limitava a verificare la validità del pass, senza conservare dati personali. Ora, invece, il dipendente può chiedere che il datore trattenga con sé la certificazione, complicando il quadro.
Non a caso, infatti, nei giorni scorsi il Garante si è mosso, segnalando al Parlamento che questa novità si pone in contrasto con il Regolamento Europeo dettato in materia di Green Pass, a norma del quale la conservazione del certificato non si giustifica. La finalità di semplificazione dei controlli comporta anzitutto che il datore di lavoro sappia quando il pass andrà in scadenza. Da questa informazione è agevole dedurre quale delle tre condizioni (vaccinazione, guarigione, tampone negativo) sia quella su cui si fonda la certificazione. In questo modo, però, il datore viene a conoscenza di profili strettamente personali relativi ai propri dipendenti, travalicando i poteri e le attribuzioni che normalmente gli sono riconosciuti. Né si può pensare, conclude il Garante, che questo trattamento di dati si fondi sul consenso del dipendente, posto che, nell’ambito lavorativo, il consenso del subordinato non può essere preso come valida base giuridica per legittimare un trattamento dati operato dal datore.
Gli obblighi del datore di lavoro
Che fare, dunque? Vigendo questa nuova disposizione, i datori, nella loro veste di titolari del trattamento dati dei dipendenti, sono chiamati ad adottare misure tecniche ed organizzative adeguate. Entrano cioè in gioco le prescrizioni del GDPR, il quale impone al titolare del trattamento di dotarsi di strumenti che siano tali da garantire la sicurezza e la riservatezza dei dati. La conservazione del pass in formato cartaceo, ad esempio, potrebbe rappresentare un rischio alquanto elevato. Al contempo, spetta al datore individuare i soggetti incaricati di occuparsi di questo trattamento, che andranno nominati e delegati in modo trasparente e preciso, dopo essere stati scelti sulla base delle qualifiche possedute. Non da ultimo, sarà necessario rendere ai dipendenti una adeguata informativa in merito a questo nuovo e delicatissimo trattamento di dati personali.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale