La possibilità di consegnare copia del green pass (certificazione verde) al datore di lavoro, da parte dei lavoratori, sia nel pubblico sia nel privato, ha fatto molto discutere negli ultimi giorni. Il Garante della Privacy con segnalazione dell’11/11/2021, indirizzata al Parlamento e al Governo (Doc. Web 9717 878), si è espresso  sui relativi emendamenti del disegno di legge di conversione del d.l. n. 127/2021, già oggetto di approvazione del Senato, aventi ad oggetto la possibilità di consegnare copia della certificazione verde (green pass), per tutta la durata della validità del certificato, con la conseguente esenzione dai controlli (emendamenti 1.400 e 3.0.4, fasc. Commissione).

Stando agli emendamenti proposti, il datore di lavoro dovrà:

1. redigere un’informativa che contempli anche il trattamento dei dati conseguenti alla consegna del green pass al datore di lavoro;
2. provvedere alla nomina degli incaricati alle verifiche del green pass, (articolo 2-quaterdecies del D. Lgs. 196/2003 – Codice Privacy inserito dall’art. 2, comma 1, lett f), D.lgs. 10 agosto 2018 n. 101), e fornendo loro le istruzioni operative, per l’esecuzione dei controlli;
3. qualora la verifica del green pass sia effettuata da un soggetto esterno (ad esempio quando il controllo sia effettuato da una società esterna cui sia appaltato il servizio di custodia e vigilanza), costui dovrà essere nominato responsabile esterno del trattamento in base all’articolo 28 del Gdpr;
4. provvedere all’aggiornamento del Registro dei trattamenti in base all’articolo 30 Gdpr 679/2016 indicando i trattamenti dei dati nascenti dalla consegna della copia dei green pass tanto dei dipendenti quanto dei soggetti terzi che accedono ai luoghi di lavoro.
5. aggiornare il Registro dei Trattamenti con riferimento alla conservazione del green pass e dei dati in esso contenuti.

La previsione presenta alcune criticità che contrastano con il Provvedimento del Garante della Privacy n. 363 dell’11 ottobre 2021.

• In primo luogo il green pass è efficace, a fini epidemiologici, nella misura in cui il certificato sia soggetto a verifiche periodiche sulla sua persistente validità; ciò è reso possibile dal costante aggiornamento, mediante la piattaforma nazionale DGC, dei certificati in base alle risultanze diagnostiche eventualmente sopravvenute.
• L’assenza di verifiche durante il periodo di validità del certificato non consentirebbe, di contro, di rilevare l’eventuale condizione di positività sopravvenuta in capo all’intestatario del certificato, in contrasto, peraltro, con il principio di esattezza cui deve informarsi il trattamento dei dati personali (art. 5, par.1, lett. d) Reg. Ue 2016/679).
• La nuova previsione, rende quindi anche il trattamento dei relativi dati non del tutto proporzionato, perché non pienamente funzionale rispetto alle finalità perseguite.
• Inoltre, la prevista legittimazione della conservazione (di copia) delle certificazioni, non assicura le necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all’autodeterminazione individuale, e a possibili discriminazioni in ragione della scelta.
• La prevista consegna del certificato verde a un soggetto, quale il datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come, ad esempio, la situazione clinica e convinzioni personali, è poco compatibile con le garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt. 88 Reg. Ue 2016/679; 113 D.Lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 D.Lgs. n. 276 del 2003).

In virtù della tutela di tali esigenze, infatti l’art. 13, c. 5, D.P.C.M. 17 giugno 2021 e s.m.i., prevede espressamente che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”, facendo salvi, con esclusivo riferimento all’ambito lavorativo, i trattamenti “strettamente necessari all’applicazione delle misure previste dagli articoli 9-ter ai commi 2 e 5, 9-quinquies, commi 6 e ss., e 9-septies, commi 6 e ss.”.

Alla luce di quanto sopra, il Garante ha, dunque, affermato che la prevista facoltà di conservazione del green pass non può ritenersi legittima sulla base di un presunto consenso implicito del lavoratore. Infatti, continua l’Autorità, dal punto di vista della protezione dei dati personali (e, dunque, ai fini della legittimità del relativo trattamento), il consenso in ambito lavorativo non può  ritenersi un idoneo presupposto di liceità, in ragione dell’asimmetria che caratterizza il rapporto lavorativo stesso (C 43 Reg. UE 2016/679).

Infine, tale conservazione dei certificati imporrebbe l’adozione, da parte datoriale, di misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, con un non trascurabile incremento degli oneri (anche per la finanza pubblica, relativamente al settore pubblico).

(D.L. n. 127 del 2021)

(emendamenti 1.400 e 3.0.4, fasc. Commissione)

(D.P.C.M. 17 giugno 2021)