29 Ottobre 2021 / 6 minuti

Green Pass: le ultime indicazioni del Garante Privacy

Il 14 Ottobre 2021 sono state aggiornate le modalità di controllo per il Green Pass, date le precedenti criticità, abbastanza evidenti, nei contenuti del provvedimento. Ecco quali sono le novità del Garante Privacy.

Nell’ultimo periodo, ha fatto (di nuovo) parlare molto di sé il Green Pass: con l’ultimo DPCM approvato dal Consiglio dei Ministri ed entrato in vigore settimana scorsa, si è costituito l’ultimo tassello della progressiva estensione dell’obbligo di utilizzo del Green Pass, che ora impone il certificato alla stragrande maggioranza dei lavoratori italiani.

Oltre alla verifica del possesso del Green Pass è necessario tutelare però i dati personali dei destinatari, poiché anche loro sono ovviamente soggetti “interessati” ai sensi della vigente normativa in materia di protezione dei dati personali. Per questo il datore di lavoro, in qualità di titolare del trattamento, deve adottare misure appropriate nel rispetto della conformità del GDPR.

Nuove modalità di controllo

Con la nuova normativa approvata dal Garante della Privacy, si è dato il via libera ai controlli “da remoto”, articolati in diverse possibilità, a seconda del soggetto coinvolto e dalla dimensione del titolare nel caso di pubbliche amministrazioni.

Da un lato, il Garante autorizza l’impiego di pacchetti di sviluppo (SDK) rilasciati dal Ministero con licenza open source, per sviluppare software da integrare nei sistemi di controllo accessi. Dall’altro lato è poi previsto, solo per le Pubbliche Amministrazioni con più di mille dipendenti, un servizio di interoperabilità applicativa con la Piattaforma nazionale.

Il Garante precisa che in caso di attivazione di queste modalità di controllo “da remoto”, sarà necessario informare adeguatamente i lavoratori sul loro utilizzo e che l’informativa in proposito potrà essere anche diffusa con un comunicato.

L’attività di verifica

Nel nuovo provvedimento, il Garante ha tenuto ribadire i limiti del trattamento dei dati personali degli interessati nell’ambito dell’attività di controllo del Green Pass: l’attività di verifica non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, a eccezione di quelli strettamente necessari, in ambito lavorativo, all’applicazione delle misure derivanti dal mancato possesso della certificazione.

Il sistema utilizzato per la verifica del green pass non dovrà conservare il QR code delle certificazioni sottoposte a verifica, né estrarre, consultare registrare o comunque trattare per altre finalità le informazioni rilevate.

Va quindi ripetuto come non sia possibile, per i datori di lavoro, di raccogliere “elenchi” di soggetti controllati o tenere “registri” da far compilare ai delegati al controllo.

Controllo?

Il Garante, tuttavia, non ha specificato le modalità con cui i datori di lavoro potranno chiedere ai dipendenti di anticipare la comunicazione relativa all’assenza di Green Pass. Ed ecco dunque un problema per i datori di lavoro: quali indicazioni e precauzioni adottare per rispettare il trattamento dei dati personali sanitari?

Inoltre c’è un’ultima disposizione, contenuta nel nuovo DPCM, su cui il Garante tace: le certificazioni cartacee. Questa disposizione compromette il sistema organizzato dal Governo e dall’Autorità privacy per evitare una condivisione di dati personali eccessiva.

Per entrambi i casi, sarà dunque importante coinvolgere tempestivamente e adeguatamente il DPO per tutte le questioni riguardanti il trattamento di dati personali degli interessati, sia in fase di strutturazione delle misure organizzative, sia per tutta la durata di applicazione delle previsioni normative in oggetto.