Le aziende devono osservare una serie di adempimentiper tutelare i dati personali. Il Garante mette in guardia da app per il controllo diverse da VerificaC19. Il Garante per la protezione dei dati personali il 1° novembre ha messo in guardia gli utenti dallo scaricare App per la verifica del green pass che trattano dati in violazione delle disposizioni di legge, in alcuni casi trasferendoli anche a soggetti terzi.
Il Garante ha ricordato che la App VerificaC19, rilasciata del Ministero della Salute, è l’unico strumento di controllo delle certificazioni verdi utilizzabile per garantire la privacy delle persone.
Dal 15 ottobre e fino al 31 dicembre 2021 (salvo proroghe), tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa, di formazione o di volontariato, nel mondo del lavoro, pubblico o privato, sono obbligati a esibire il green pass per accedere al luogo nel quale si svolge l’attività lavorativa. Il datore deve stabilire le procedure da osservare per i controlli e nominare gli incaricati alle verifiche che, all’ingresso o a campione, dovranno essere effettuate. Ma come possono essere trattati lecitamente i dati relativi ai controlli del green pass? E come viene tutelata la privacy dei lavoratori e dei collaboratori esterni che accedono ai luoghi di lavoro? I datori devono rispettare una serie di adempimenti anche sul versante della tutela della privacy.
In primo luogo, il datore di lavoro dovrà predisporre l’informativa sul trattamento dei dati in base all’articolo 13 del Gdpr, il Regolamento Ue 679/2016. L’informativa dovrà essere preventivamente comunicata agli interessati o esposta in sede di accesso di modo che l’interessato possa prenderne visione.
I dati personali trattati sono le generalità del lavoratore, la validità, l’integrità e l’autenticità del green pass o di una certificazione equivalente ovvero le informazioni in merito allo stato di soggetto esente da vaccinazione anti Covid-19, riportate nella certificazione di esenzione dalla vaccinazione.
La finalità del trattamento è la prevenzione dal contagio da Covid-19, in base all’articolo 9-septies del Dl 52/2021, nonché di controllo dell’autenticità, validità e integrità della certificazione verde Covid-19 o della certificazione equivalente, compresa quella di esenzione dalla vaccinazione anti Covid.
La base giuridica del trattamento è nell’adempimento di un obbligo legge. Il datore di lavoro, inoltre, dovrà provvedere alla nomina degli incaricati alle verifiche del green pass quali soggetti incaricati allo svolgimento dei trattamenti dei dati personali connessi all’esercizio del compito sopra citato, in base all’articolo 2-quaterdecies del Dlgs 196/2003 e fornendo loro le istruzioni per i controlli. Se la verifica del green pass è effettuata da un soggetto esterno (ad esempio quando il controllo è effettuato da una società esterna cui sia appaltato il servizio di custodia e vigilanza), costui dovrà essere nominato responsabile esterno del trattamento in base all’articolo 28 del Gdpr.
Il datore di lavoro dovrà anche aggiornare il Registro dei trattamenti in base all’articolo 30 del Gdpr, prevedendo i trattamenti di visualizzazione dati dei dipendenti e di tutti gli altri (ad esempio i fornitori) che accedono ai luoghi di lavoro.
Sul tema della privacy, il Garante è intervenuto a proposito della richiesta di parere sul Dpcm del 12 ottobre 2021 (Provvedimento 363 dell’11 ottobre 2021), affermando che il controllo dei green pass non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari all’applicazione delle conseguenti misure.
Da questo punto di vista, quindi, riserva dubbi la pratica di stilare elenchi sui quali indicare i soggetti sottoposti a verifica. Non sarà lecito, poi, conservare il QR code delle certificazioni verdi, né estrarre lo stesso in qualsiasi altro modo. Da questo punto di vista, quindi, non dovranno essere effettuate e trattenute copie cartacee dei green pass, né screenshot, né fotografie del certificato verde. Nel provvedimento 363, inoltre, il Garante dà il via libera alla verifica del possesso del green pass anche con modalità alternative all’uso dell’applicazione VerifcaC19, come l’impiego di un pacchetto di sviluppo per applicazioni rilasciato dal ministero della Salute (con licenza open source), da integrare nei sistemi di controllo degli accessi, o il controllo tramite il portale Inps, utilizzabile dai datori con più di 50 dipendenti.
Informativa (art. 13 del Gdpr) – L’informativa deve essere preventivamente comunicata agli interessati dai controlli. I dati personali trattati sono le generalità del lavoratore, la validità, integrità e autenticità del green pass o di una certificazione equivalente, o le informazioni sullo stato di soggetto esente da vaccinazione. La finalità del trattamento è la prevenzione dal contagi e il controllo della validità delle certificazioni.
Nomina responsabile (art. 28) – Se il controllo del green pass è eseguito da un soggetto terzo, quest’ultimo deve essere nominato responsabile esterno del trattamento, evidenziando le misure che deve osservare per tutelare i dati personali.
Aggiornamento del Registro – Il datore di lavoro deve aggiornare il Registro dei trattamenti prevedendo i trattamenti di visualizzazione dati dei dipendenti e di tutti gli altri lavoratori terzi che accedono al luogo di lavoro
Addetti al trattamento – Il datore deve nominare gli incaricati al trattamento dei dati personali (articolo 2-quaterdecies, Dlgs 196/2003) e fornire loro le istruzioni operative.
Fonte: Il Sole 24 Ore dell’8 novembre 2021