Ennesima legge, o meglio dovremmo dire ennesimo testo di legge in conversione a un decreto – legge, quello sul Green Pass obbligatorio nei luoghi di lavoro, per accedervi. E nella conversione del testo, questa volta il Legislatore ha introdotto delle novità recependo degli emendamenti di semplificazione che si pongono in netto contrasto con quanto finora si era consolidato: i controlli all’ingresso.
Oggi, e lo capiamo leggendo l’articolato, sussiste infatti la possibilità per il lavoratore, di “richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde da Covid-19”.
Alcuni commenti a caldo sono doverosi. Si tratta di una mera facoltà, rimessa alla libera scelta del lavoratore (sia esso dipendente, collaboratore, consulente, ecc.). In realtà, ad un’attenta lettura, se da un lato è rimessa alla discrezionalità del lavoratore, i problemi che ne discendono non sono pochi.
Specie di carattere organizzativo; infatti, nel rimettere al singolo lavoratore tale opzione, si verrebbero a determinare tutta una serie di ulteriori adempimenti nella gestione in materia di Green Pass.
Andando in netta controtendenza rispetto a quanto finora è accaduto: controlli manuali o automatizzati del certificato verde, senza conservazione alcuna dei dati in esso contenuti.
Ma vediamo nel dettaglio alcune delle più rilevanti conseguenze.
Se da un lato, la consegna di copia del Green Pass semplificherebbe l’accesso riducendo i controlli, dall’altro implicherebbe tutta una serie di gravosi oneri a carico del datore di lavoro, specie con la lente del titolare del trattamento, il quale dovrebbe come minimo prevedere:
- un aggiornamento dell’informativa dovendo indicare, come l’art. 13 del GDPR impone, se non il periodo di conservazione dei dati personali, quanto meno il criterio;
- una modifica dei registri;
- l’adozione di misure di sicurezza stringenti per la raccolta e la conservazione dei certificati relativi al Green Pass. In pratica, se e come conservarli (in formato cartaceo o elettronico); chi autorizzare al trattamento di tali dati; se, come e dove raccogliere tali dati personali, peraltro particolari (ex sensibili);
- una valutazione di impatto sul processo di verifica dei green pass, visti i nuovi trattamenti emergenti a seguito della novità normativa.
Ma non è tutto qui.
Un vero problema resta di fondo: quale base giuridica supporta l’attività del trattamento?
Il consenso all’interno del contesto lavorativo non è una base giuridica adeguata e anzi è invalida per il difetto di libertà di prestazione dello stesso da parte del lavoratore, e richiederebbe – in casi eccezionali e specifici – la predisposizione di specifiche garanzie poste a tutela della libera prestazione dello stesso. Ma trattandosi di dati di categoria particolare il consenso deve essere esplicito e per l’effetto tale ipotesi diventa ancora meno perseguibile.
C’è chi arrischia l’art. 9.2 lett. e), ai sensi del quale si tratta di “dati personali resi manifestamente pubblici dall’interessato”. Ebbene, pur apprezzando il carpiato di interpretazione normativa, è bene precisare che la fattispecie non può ricorrere in quanto non si tratta di una diffusione del dato ma di una comunicazione, e soprattutto perché si andrebbe a giustificare mediante una ricostruzione formalistica quello che nella sostanza altro non è che un consenso invalido.
Nel caso in cui si voglia infine perseguire il tentativo di fondare la liceità sulla necessità per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, o altrimenti per perseguire motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, pur ricorrendo una legge nazionale mancano nel suo interno le misure di garanzia per la tutela dei diritti fondamentali e gli interessi dell’interessato. Non solo. È di chiara evidenza il contrasto con il Regolamento (UE) 2021/953 riguardante il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19, e nello specifico con il considerando n. 48 ai sensi del quale “Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente regolamento.”.
A ciò si aggiunga che già al palesarsi i soli emendamenti nel merito, l’Autorità Garante per la Protezione dei Dati, nella persona del Presidente Pasquale Stanzione, ebbe cura di segnalare al Parlamento, per tempo, le criticità che una condotta del genere avrebbero comportato in termini di privacy, peccato che sia stato del tutto disatteso, come abbiamo modo di apprezzare nell’articolato normativo. Restano anzi tutti i dubbi circa il fondamento di liceità, e si nota un assordante silenzio circa i criteri di conservazione, con tutti i problemi derivanti dalla creazione di tali database.
Le criticità individuate sono tali in quanto dalla non conformità al dettato normativo deriva un grave e diffuso problema di sicurezza. L’Authority aveva infatti anche ricordato che l’obbligo di adozione di misure tecniche e organizzative di sicurezza avrebbe comportato un “non trascurabile incremento degli oneri”, ma sul piano operativo ciò che più preoccupa sarà l’esito di una prevedibile e diffusa trascuratezza nella corretta adozione delle misure di sicurezza. Salvo poi – altrettanto prevedibilmente – trovarsi di nuovo di fronte a incidenti di sicurezza che comporteranno ulteriori diffusioni di database con tutte le implicazioni del caso.
Articolo scritto in collaborazione con Stefano Gazzella
