LA VERIFICA DEL GREEN PASS. Prescrizioni, organizzazione e implicazioni con il trattamento dei dati personali

Tra qualche giorno, precisamente il prossimo 15 ottobre, ricorre l’obbligo per “i datori di lavoro” di definire le modalità organizzative, compresa l’indicazione delle persone a cui assegnare il compito specifico, per la verifica del possesso della certificazione verde (Green pass) da richiedere a chiunque acceda nelle sedi delle pubbliche amministrazioni, così come previsto nel Decreto Legge n. 127/2021, pubblicato nella Gazzetta Ufficiale n. 226/2021.

Riporto di seguito una sintesi delle prescrizioni richieste ai datori di lavoro contenute nell’articolo 1 di quel decreto legge, evidenziandone gli aspetti di maggiore rilievo.

LA PRESCRIZIONE

L’articolo 1 del DL 127/2021 (GU 226/2021), al comma 1 prevede che “al personale delle amministrazioni pubbliche…”, “…ai fini dell’accesso ai luoghi di lavoro…”, “è fatto obbligo di possedere e di esibire, su richiesta, la certificazione verde COVID-19…”.

L’ESTENSIONE AGLI ESTERNI

Il successivo comma 2, prevede inoltre che 2. “la disposizione di cui al comma 1 si applica altresì a tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso le amministrazioni di cui al comma 1, anche sulla base di contratti esterni“.

LA DEROGA PER I SOGGETTI ESENTI

Il comma 3 prescrive che “le disposizioni di cui ai commi 1 e 2 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute.

Il controllo Green Pass del datore di lavoro prevede quindi anche l’eventuale verifica della certificazione di esenzione, disciplinata nella circolare 4 agosto del 2021 del Ministero della salute.

Nella circolare citata si legge che “la certificazione di esenzione alla vaccinazione anti SARS-COV-2 viene rilasciata nel caso in cui la vaccinazione stessa venga omessa o differita per la presenza di specifiche condizioni cliniche documentate, che la controindichino in maniera permanente o temporanea.
Le persone che ottengono una esenzione alla vaccinazione anti-SARS-CoV-2 devono essere adeguatamente informate sulla necessità di continuare a mantenere le misure di prevenzione come: usare le mascherine, distanziarsi dalle persone non conviventi, lavare le mani, evitare assembramenti in particolare in locali chiusi, rispettare le condizioni previste per i luoghi di lavoro e per i mezzi di trasporto.”

Si precisa, inoltre, che “i certificati non possono contenere altri dati sensibili del soggetto interessato (es. motivazione clinica della esenzione). Per il rilascio di tali certificazioni potranno essere utilizzate anche le piattaforme regionali già preposte al rilascio di certificati vaccinali e di inidoneità alla vaccinazione.”

L’OBBLIGO DI VERIFICA

Il decreto, nel comma 4 prescrive che “I datori di lavoro del personale di cui al comma 1 sono tenuti a verificare il rispetto delle prescrizioni di cui ai commi 1 e 2.” Aggiungendo che “per i lavoratori di cui al comma 2 ( cioè coloro che non siano dipendenti dell’ente) “la verifica sul rispetto delle prescrizioni”, oltre che dagli stessi datori di lavoro dell’ente a cui accedono “è effettuata anche dai rispettivi datori di lavoro”.

LA DEFINIZIONE DELLE MODALITÀ DI CONTROLLO

Il comma 5 attribuisce ai “datori di lavoro” l’onere di definire “entro il 15 ottobre 2021, le modalità operative per l’organizzazione delle verifiche”.

Tali verifiche possono essere effettuate “anche a campione”, ed è necessario “prioritariamente, ove possibile, che tali controlli siano effettuati al momento dell’accesso ai luoghi di lavoro”.

Gli stessi datori di lavoro hanno l’obbligo di individuare “con atto formale i soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi”.

Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalità indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell’articolo 9, comma 10 che disciplina le modalità di funzionamento della piattaforma nazionale e delle certificazioni verdi.

IL MANCATO POSSESSO DEL GREEN PASS

Il comma 6 prescrive che laddove il personale “comunichi di non essere in possesso della certificazione verde COVID-19 o qualora risulti privo della predetta certificazione al momento dell’accesso al luogo di lavoro, al fine di tutelare la salute e la sicurezza dei lavoratori nel luogo di lavoro, è considerato assente ingiustificato fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021, termine di cessazione dello stato di emergenza, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro. Per i giorni di assenza ingiustificata di cui al primo periodo non sono dovuti la retribuzione né altro compenso o emolumento, comunque denominati”.

LE VIOLAZIONI

I commi 7, 8 e 9 disciplinano le conseguenze per le violazioni alle disposizioni precedenti.

Il comma 7 fa riferimento agli obblighi a carico di chi accede alla sede e il comma 8 prevede che, “In caso di violazione delle disposizioni di cui al comma 4″ (cioè gli obblighi di verifica) o “di mancata adozione delle misure organizzative di cui al comma 5 nel termine previsto” (cioè l’adozione degli atti organizzativi), nonché per la violazione di cui al comma 7 (cioè il rispetto delle prescrizioni da parte di chi accede), si applicano le sanzioni previste nel decreto legge  19/2020 nell’articolo 4, commi 1, 3, 5 e 9, elevando la sanzione amministrativa per le violazioni di cui al comma 7, da 600 a 1.500 euro.
Il comma 9 dispone, come già prevedeva il dl 19/2020 che “le sanzioni sono irrogate dal Prefetto. I soggetti incaricati dell’accertamento e della contestazione delle violazioni di cui al medesimo comma 8 trasmettono al Prefetto gli atti relativi alla violazione.”

LA DISCIPLINA PER GLI AMMINISTRATORI

Il comma 11 dispone che “ai soggetti titolari di cariche elettive o di cariche istituzionali di vertice, si applicano le disposizioni di cui ai commi 1, 3, 4, 5 e 8”, intendendo con ciò tutti gli aspetti relativi sia agli obblighi individuali che alle disposizioni organizzative, fatta eccezione per la sanzione prevista per il mancato rispetto degli obblighi da parte dei dipendenti.

L’ORGANIZZAZIONE E LE PRESCRIZIONI IN MATERIA DI “PRIVACY”

Come è noto il cosiddetto “Green Pass” è una certificazione digitale che può essere accessibile sul debile del soggetto interessato o stampata su supporto cartaceo che consiste in un codice a barre bidimensionale (QR Code) emesso attraverso la piattaforma nazionale del Ministero della Salute.

La verifica sul possesso del certificato verde può attraverso un esame visivo, ma se si vuole accertare che sia autentico e vigente è necessario fare ricorso all’applicazione ufficiale “Verifica C19” di cui, necessariamente, il soggetto che opera la verifica deve essere munito.

L’attività di verifica richiede una “organizzazione” delle modalità di effettuazione, oltre alla individuazione dei soggetti titolati a effettuarla nel rispetto delle prescrizioni contenute nell’articolo 25 del GDPR che prescrive, già nella fase di progettazione (privacy by design) la definizione di sistemi che garantiscano il rispetto delle disposizioni a tutela dei dati personali.

A tal fine, da un punto di vista pratico, è opportuno che il “processo di verifica del green pass” sia incluso nel “registro del trattamento” con l’indicazione di elementi specifici quali:

  • Il responsabile del trattamento
  • Le finalità e la base giuridica
  • l’indicazione degli operatori addetti al trattamento dei dati
  • le modalità di utilizzo dei dati
  • le modalità e tempi di conservazione
  • la valutazione del rischio

Per la stessa ragione è necessario che l’Ente predisponga una specifica “informativa”, ai sensi dell’articolo 13 del GDPR con lo scopo di rendere edotto ogni interessato delle finalità e modalità del trattamento, oltre che dei propri diritti in caso di violazione.

È opportuno, tuttavia, precisare che il comma 5 dell’art. 13 del DPCM del 17 giugno 2021 afferma che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.

Il Garante per la protezione dei dati personali, inoltre, con una nota del 6 settembre scorso, con riferimento alle verifiche sul possesso del “green pass” ha precisato che “il trattamento dei dati personali funzionale a tali adempimenti, se condotto conformemente alla disciplina su richiamata e nel rispetto delle norme in materia di protezione dei dati personali (e in primo luogo del principio di minimizzazione) non può, pertanto, comportare l’integrazione degli estremi di alcun illecito, né tantomeno l’irrogazione delle sanzioni paventate nelle note ricevute dal Garante. Il trattamento in questione non necessita, peraltro, di autorizzazione da parte del Garante e va condotto, come già osservato, nel rispetto del complessivo quadro normativo su richiamato”

Inoltre, in data 10 agosto, rispondendo a un richiesta al riguardo, la stessa Autorità sul tema relativo ai limiti e ai presupposti del potere di accertamento dell’identità del titolare delle certificazioni verdi, nei contesti nei quali sia richiesto il possesso di tali attestazioni, ha precisato che la disciplina  procedurale (oggi riconducibile al dPCM 17 giugno 2021) comprende, del resto – oltre la regolamentazione degli specifici canali digitali funzionali alla lettura della certificazione verde – anche gli obblighi di verifica dell’identità del titolare della stessa, con le modalità e alle condizioni di cui all’art. 13, c.4, del citato dPCM. Tra le garanzie previste da tale decreto è, del resto, compresa anche l’esclusione della raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione, in qualunque forma (art. 13, c.5, del suddetto dPCM).

Entro questi termini, pertanto e nei sensi di cui al combinato disposto degli artt. 9-bis, c.4, secondo periodo, del d.l. 52 del 2021 e 13, c.4 del citato d.P.C.M., è consentito il trattamento dei dati personali consistente nella verifica, da parte dei soggetti di cui all’art. 13, c.2, dell’identità dell’intestatario della certificazione verde, mediante richiesta di esibizione di un documento di identità.

Ai fini dell’attuazione delle prescrizioni è dunque necessario che il “datore di lavoro” definisca le modalità organizzative e individui i soggetti a cui affidare le operazioni di controllo.

Tale adempimento presenta implicazioni, sia dal punto di vista organizzativo, sia in ordine al trattamento dei dati personali

  • l’organizzazione

dal punto di vista organizzativo, pur in presenza dell’espressione utilizzata dal legislatore che fa riferimento al “datore di lavoro” è opportuno ed evidente che nell’ambito degli enti locali tale ruolo  non può essere attribuito a ciascun dirigente, ma risulta più funzionale che venga attribuito a una figura apicale che eserciti la funzione di direzione generale o al dirigente delle risorse umane.

La scelta tra una delle due figure può variare in ragione delle caratteristiche del contesto, ma certamente il “dirigente del personale” svolge un ruolo di particolare rilievo dovendo, in ragione delle funzioni attribuite, presidiare alla registrazione degli accessi all’ente, oltre che all’adozione di eventuali provvedimenti conseguenti all’assenza dal servizio.

Il provvedimento di organizzazione dovrà contenere la descrizione delle procedure da adottare, definendone gli aspetti operativi, anche precisando le modalità di attuazione del “controllo a campione” e in particolare modo dovrà prevedere:

  • modalità di esercizio dell’attività di verifica
  • soggetti delegati all’esercizio della verifica
  • procedura per il trattamento delle informazioni
  • procedura per l’adozione delle decisioni in caso di criticità
  • modalità di attuazione del sistema sanzionatorio

– Il trattamento dei dai personali

Il comma 5 dell’art. 13 del DPCM del 17 giugno 2021 dispone che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”. Il divieto di conservazione è stato, altresì, ribadito dal Garante che con la nota dello scorso 6 settembre, prima citata, ha dichiarato che le operazioni di trattamento relative alla verifica del Green Pass restano valide solo nell’ambito strettamente circoscritto agli obblighi di legge.

Da ciò si evince che l’operazione di verifica non può estendersi fino alla duplicazione del documento, né all’annotazione dei dati rilevati.

Il divieto di conservare copia è stato, inoltre, ribadito anche dal Ministero degli interni con la Circolare interpretativa in merito alle verifiche dell’identità del possessore del Green Pass.

L’art. 5 del decreto 127 prevede che i datori di lavoro “individuano con atto formale i soggetti incaricati dell’accertamento e della contestazione delle violazioni“. In tal senso la nomina degli “incaricati”si pone come misura organizzativa di cui all’art. 32 del GDPR e implica che il soggetto incaricato segua nel dettaglio le istruzioni impartite.

Per questa ragione è necessario che l’Ente definisca, in modo dettagliato le operazioni da compiere e i soggetti da coinvolgere nel caso in cui si verifichino delle criticità.

Sulla base delle considerazioni che precedono propongo due documenti (in formato word e disponibili usando il link):

  1. DISPOSIZIONI VERIFICA GREEN PASS (versione corretta)
  2. INFORMATIVA GREEN PASS (versione corretta)

 

 

Total Page Visits: 5509 - Today Page Visits: 2