Green Pass e Privacy negli studi professionali

di Stefano Bacchiocchi*

Come è ormai noto, il decreto legge 21.09.2021 n. 127 all’articolo 3 prevede che dal 15 ottobre 2021 al 31 dicembre 2021 (attuale data prevista di cessazione dello stato di emergenza) il datore di lavoro verifichi il possesso da parte dei propri dipendenti e collaboratori della certificazione verde: tale verifica è inoltre prevista anche per i fornitori di beni e servizi che accedano ai locali.

Da qui la necessità per gli studi professionali di adottare celermente delle misure organizzative adeguate entro il 15 ottobre.

Come detto, l’obbligo investe (oltre che i dipendenti) anche tutti i “lavoratori”, con conseguente estensione a collaboratori, stagisti e tutti quei soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa negli studi professionali.

Per ora tale verifica (in attesa di chiarimenti ufficiali) non sembra richiesta nei confronti dei clienti dello studio.

Il controllo è affidato al datore di lavoro (o ai suoi delegati, individuati con atto formale) che dovrà definire le modalità di verifica entro il 15 di ottobre.

Concretamente, la verifica verrà svolta tramite l’app “Verifica C19” e avverrà principalmente tramite smartphone o device predisposti.

Questa applicazione, attraverso la lettura del codice “QR” del certificato, non prevede la memorizzazione o la comunicazione a terzi delle informazioni scansionate: infatti, il riscontro avviene in modalità offline senza l’utilizzo di un sistema remoto.

Il controllo sarà quindi istantaneo e dovrà essere effettuato, in linea generale, prima dell’ingresso nei locali; è comunque prevista la possibilità di posticiparlo, nel caso in cui esso non possa essere effettuato subito.

Nasce quindi l’esigenza di regolare le attività di verifica attraverso l’adozione di misure di sicurezza capaci di garantire la tutela della privacy dell’interessato.

Una delle misure più importanti è di prevedere che tutti i soggetti delegati alla verifica siano incaricati con atto formale, contenente anche le istruzioni sull’esercizio di tale attività.

Ovviamente, oltre alle necessarie istruzioni, l’incaricato/delegato dovrà essere adeguatamente formato; a tal proposito si consiglia caldamente di tenere traccia scritta anche della formazione effettuata.

Sarà inoltre opportuno individuare spazi idonei a garantire la riservatezza dei dati, così come individuare strumenti (quali smartphone ecc.) il più possibile dedicati, in modo da non dover usare, anche se non è vietato, gli strumenti personali del datore di lavoro o dei delegati.

L’attività di verifica non dovrà comportare, in alcun caso, la raccolta dei dati dell’intestatario (comma 5, dell’articolo 13, del DPCM 17 giugno 2021); il consiglio è che il Titolare del trattamento fornisca adeguata informativa contenente i dati minimi previsti dall’art. 13 GDPR.

È inoltre opportuno che il processo di verifica del Green Pass sia annotato sul registro dei trattamenti ai sensi dell’art. 30 GDPR.

In conclusione, la disciplina interna delle certificazioni verdi, sotto il profilo della protezione dei dati, implica un trattamento legittimo nella misura in cui si inscriva nel perimetro delineato dalla normativa vigente; infatti, il trattamento è limitato sostanzialmente ai soli dati effettivamente indispensabili alla verifica: ciò è coerente col fatto che, si ricorda, secondo il quadro normativo vigente, ai datori di lavoro non è consentito conoscere lo stato vaccinale dei lavoratori.

Vi sono quindi comportamenti che (seppur dettati da praticità e convenienza) non sono accettati dalla normativa attuale; la richiesta, ad esempio, di copia del green pass e/o dell’indicazione della data di scadenza e la successiva conservazione di tali elementi è una violazione della vigente disciplina in materia di protezione dei dati personali.

Non è, allo stesso modo, consentito tenere un elenco dei vaccinati o non vaccinati (magari per non dover controllare i loro green pass ogni giorno).

*Odcec Brescia