di Angela Dell’osso
Il DPCM del 12 ottobre 2021 di modifica del DPCM del 17 giugno 2021 ha introdotto strumenti digitali diversi dalla App Verifica C19 per il controllo del QR Code del Green Pass.
In primo luogo, un pacchetto di sviluppo per applicazioni (Software Development Kit-SKD) rilasciato dal Ministero della Salute con licenza open source, per integrare, nei sistemi di controllo accessi (inclusi quelli di rilevazione delle presenze), le funzionalità di verifica del Green Pass mediante lettura del QR Code. In pratica, viene collegato il sistema interno di rilevazione delle presenze o di controllo degli accessi con la banca dati del portale del Governo (la piattaforma nazionale – DGC). In questo modo, nessun datore di lavoro chiede o registra dati personali del dipendente ma semplicemente verifica all’ingresso che il lavoratore sia in possesso di un Green Pass valido.
In secondo luogo, l’interazione asincrona tra Portale INPS e PN – DGC per la verifica del Green Pass per le aziende con più di 50 dipendenti. I datori di lavoro avranno accesso al nuovo servizio ospitato dal portale denominato “Richiesta Verifica Green Pass” che prevede un’apposita richiesta di utilizzo da parte del datore di lavoro, il quale dovrà indicare i verificatori da abilitare in relazione ai propri dipendenti. Le attività di verifica devono essere effettuate esclusivamente nei confronti del personale effettivamente in servizio, mentre lo scambio di informazioni tra l’INPS e la Piattaforma Nazionale DGC avviene giornalmente. Peraltro, il verificatore autorizzato a controllare un determinato gruppo di dipendenti predefinito non può sapere se il Green Pass esaminato è stato rilasciato in seguito a vaccino, guarigione da Covid-19 o tampone: tutto ciò che il verificatore vede è il risultato positivo o negativo del controllo.
Con provvedimento n. 363 dell’11 ottobre 2021, il Garante per la protezione dei dati personali ha espresso in via d’urgenza parere favorevole alla modifica del DPCM del 17 giugno 2021 precisando però che “l’attività di verifica non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari, in ambito lavorativo, all’applicazione delle misure derivanti dal mancato possesso della certificazione. Il sistema utilizzato per la verifica del green pass non dovrà conservare il QR Code delle certificazioni verdi sottoposte a verifica, né estrarre, consultare registrare o comunque trattare per altre finalità le informazioni rilevate”.
In aggiunta, al fine di organizzare adeguatamente le attività lavorative, il novellato art. 9 octies del D. L. 22 aprile 2021, n. 52 introdotto dall’art. 3 del D. L. n. 139 del 8 ottobre 2021 consente al datore di lavoro di richiedere a tutti i lavoratori di comunicare eventuali periodi nei quali non saranno in possesso del Green Pass. Per il periodo indicato nella predetta comunicazione, il lavoratore è considerato assente ingiustificato e non viene retribuito fino alla presentazione di un Green Pass valido. Egli, tuttavia, mantiene il diritto alla conservazione del rapporto di lavoro e non subisce sanzioni disciplinari.
Tale modalità di controllo anticipato non deve essere intesa come uno strumento per “raccogliere” Green Pass o altri dati dei dipendenti: il datore di lavoro potrà chiedere ai dipendenti di inviare con anticipo una comunicazione se e solo se sono o saranno sprovvisti di Green Pass.
Il legislatore non ha fornito indicazioni sul trattamento dei dati personali relativi a tali comunicazioni.
Pertanto, il datore di lavoro, quale titolare del trattamento, in ossequio al noto principio di accountability, deve mappare il trattamento nel Registro di cui all’art. 30 GDPR; individuare dei canali di comunicazione sicuri per garantire il flusso di informazioni e la sicurezza dei dati personali ai sensi dell’art. 32 GDPR; limitare al massimo il numero dei soggetti coinvolti nel trattamento ed autorizzarli ai sensi dell’art. 29 GDPR; predisporre istruzioni per la cancellazione dei dati raccolti non appena questi non sono più attuali e comunque al termine dell’emergenza salvo necessità di tutela giudiziaria; informare i dipendenti ai sensi dell’art. 13 GDPR.