Il Garante della privacy, con il parere n. 363 dell’11 ottobre 2021, si è espresso sul decreto – “Modifiche al decreto del Presidente del Consiglio dei ministri 17 giugno 2021, recante «Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19“, – che introduce le nuove modalità di lettura del green pass, imponendo alcuni adempimenti in capo ai datori di lavoro pubblici e privati a partire dal 15 ottobre 2021 e che riguarderà 23 milioni di dipendenti.

L’Autorità, all’uopo, raccomanda ai datori di lavoro di:

• Distinguere i ruoli e le competenze di chi sarà predisposto ai controlli – gli incaricati al trattamento-, (nonostante le difficoltà e le perplessità circa la piena operatività dei sistemi a partire da venerdì 15 ottobre, poiché aziende ed enti pubblici dovranno in primis accreditarsi alla piattaforma nazionale, operazione oggi non ancora possibile) e indicare quali siano i soggetti incaricati delle verifiche.
• Informare i lavoratori delle nuove modalità di verifica.
• Aggiornare le procedure privacy (ad esempio le informative).
• Registrare le operazioni di verifica in determinati log da conservare per 12 mesi.
• Trattare esclusivamente i dati personali essenziali e pertinenti.
• Adottare adeguate misure di sicurezza.
• Rispettare i principi di liceità, correttezza e trasparenza secondo l’art. 5 del GDPR 679/2016.
• Stipulare, per le PA con più di 1.000 dipendenti, una convenzione con il Ministero della Salute, al fine di utilizzare la piattaforma Dgc (Digital green certificate) gestito dalla Società Sogei.

Il dpcm del 12 Ottobre 2021 introduce, dunque, quattro nuove modalità di verifica del green pass in aggiunta all’app “verifica C19”, che si fondano sui dati rinvenienti dalla tessera sanitaria e sulla banca dati del green pass.

Per i datori di lavoratori privati, il sistema di verifica più immediato è il sistema I.N.P.S., che permette di inserire il C.F. dei dipendenti in anticipo, anche in blocco. Tale sistema vale per le aziende con più di 50 dipendenti e per PA non collegate a NoiPa. Le verifiche possono essere chieste in anticipo non oltre le 48 ore prima dall’accesso al luogo di lavoro.

Il portale NoiPa è, invece, il sistema di verifica dei dipendenti pubblici, mentre le PA con oltre 1000 dipendenti, potranno interfacciarsi direttamente con la piattaforma nazionale del green pass (Dgc), previa stipula della richiamata convenzione.

La quarta nuova modalità di verifica permette ai datori di lavoro pubblici e privati un controllo automatizzato tramite un software da in integrare nei tornelli. Per tale verifica automatizzata, il Decreto, secondo le raccomandazioni del Garante, vieta di conservare le informazioni ricavate dal certificato verde.

Secondo il principio di minimizzazione dei dati (art. 5 lett c, Gdpr 679/2016), il controllo sul green pass deve essere effettuato solo sui i lavoratori effettivamente in servizio e limitando il trattamento dei dati personali dei lavoratori per le sole finalità di verifica del green pass (la finalità della verifica è accertare che il lavoratore sia o meno in possesso di una valida certificazione).