AREA SISTEMI DI GESTIONE AZIENDALE | PRIVACY – Green pass sì o green pass no? Le coordinate privacy nella gestione della Carta verde

Un puzzle ancora in via di definizione.

Ogni estate è da sempre contraddistinta da un particolare motivo canoro. La famosa canzone dell’estate. E se non fosse per la tragicità della situazione pandemica che stiamo vivendo – che lascia davvero poco spazio all’ironia – anche in ambito privacy potremmo candidare a ritornello estivo 2021 quello de “Green Pass sì o Green Pass no?”. E sì, perché questo è il tema del momento che accende la discussione in un mondo del lavoro che cerca di orientarsi in una sovrapproduzione normativa che conta ormai atti e provvedimenti di diversa natura con citazioni di norme pregresse in premessa, che arrivano a superare anche le 3 cartelle.

In questo approfondimento, cercheremo di fissare alcuni concetti di fondo che dobbiamo tener presente in termini privacy quando, nelle nostre imprese, dobbiamo fare i conti con la gestione dei green pass. Una gestione, quelle delle carte verdi, che solleva inevitabilmente problematiche organizzative che sono tanto più complesse quando si hanno di fronte organizzazioni come quelle che gestiscono servizi socio sanitari e educativi a committenza pubblica, spesso dislocate in territori e regioni diverse e che tra l’altro impiegano personale con profili non sempre riconducibili alle professioni sanitarie: le stesse che, sovente, si trovano anche ad organizzare eventi ed attività aperti al pubblico.

Ricordiamo, come doverosa premessa, che oggi dobbiamo confrontarci con un concetto di privacy più evoluto, che non è solo sinonimo di riservatezza (“to be alone”) delle persone, ma che abbraccia il più ampio diritto a controllare la circolazione dei propri dati personali. Un’impresa che punta a garantire la compliance alla normativa in materia di protezione dei dati personali dei propri utenti e lavoratori deve aver cura di mettere in atto tutti quei processi e quelle misure tecniche ed organizzative che sono potenzialmente adeguate a garantire la gestione dei rischi che minacciano la protezione e la libera circolazione dei dati.

Il primo aspetto da verificare è se la nostra impresa svolga servizi e attività tra quelle indicate dal D.L. n. 105 del 23 luglio 2021 per l’accesso alle quali sia richiesta la certificazione verde COVID 19. Senza pretesa di esaustività in questo spazio, ne richiamiamo solo alcune per rimandare alla completezza dell’art. 3 del decreto citato: servizi di ristorazione al chiuso; spettacoli aperti al pubblico, eventi e competizioni sportive; musei, altri istituti e luoghi della cultura e mostre; piscine, centri natatori, palestre, sport di squadra, centri benessere, anche all’interno di strutture ricettive, limitatamente alle attività al chiuso; sagre e fiere, convegni e congressi; centri culturali, centri sociali e ricreativi, limitatamente alle attività al chiuso e con esclusione dei centri educativi per l’infanzia, i centri estivi e le relative attività di ristorazione; strutture sanitarie e RSA.

Il secondo aspetto riguarda la consapevolezza della natura dei dati personali che l’impresa va a trattare. Il Green Pass, quale documento che certifica non solo l’avvenuta vaccinazione ma anche altre situazioni abilitanti come esiti di tampone negativo o avvenuta guarigione da Covid 19, contiene dati personali definiti come di natura “particolare” o ex sensibili per cui si richiede in generale un più elevato livello di protezione. Questo significa innanzitutto che, a livello organizzativo, non tutti possono accede a queste informazioni. L’impresa che dovrà organizzare il processo di controllo dei green pass dovrà provvedere a che le persone preposte siano autorizzate a farlo con uno specifico incarico e specifiche istruzioni. Questo implica, pertanto, che la nomina dovrà essere corredata dalle informazioni gestionali per la corretta supervisione dell’ingresso degli utenti, nel rispetto delle disposizioni vigenti e che il lavoratore delegato dovrà avere idonea formazione, al pari di un incaricato al trattamento del dato ai sensi dell’art. 29 del GDPR.

Il terzo aspetto riguarda la corretta identificazione degli interessati dalle attività di controllo. Si tratta dei fruitori di servizi che hanno più di 12 anni d’età e di coloro che non sono affetti da patologie che li esonerano sulla base di una specifica certificazione medica. Sono coloro che sono soggetti alla necessità di possedere e di esibire la “certificazione verde COVID-19”: un obbligo di possesso da un lato e un dovere di esibizione dall’altro.

Il controllore potrà trovarsi nella condizione che venga esibita una certificazione medica diversa dal green pass che raccoglie dati particolari della persona. Il Ministero della Salute ha recentemente disciplinato, con circolare n. 35309 del 4 agosto 2021, la situazione dei soggetti per i quali la vaccinazione anti SARS-CoV-2 venga omessa o differita in ragione di specifiche e documentate condizioni cliniche che la rendono in maniera permanente o temporanea controindicata. In luogo della certificazione verde, questi soggetti potranno esibire la certificazione di esenzione dalla vaccinazione per consentire l’accesso ai servizi.

Nell’identificazione dei soggetti interessati dall’attività di controllo, un approfondimento specifico deve essere riservato ai lavoratori a cui dedicheremo uno specifico paragrafo. Nessuna menzione viene fatta dal D.L. 105 nei loro confronti per cui ad oggi non solo non vige l’obbligo di presentare il Green pass, ma neppure la possibilità che il datore di lavoro lo richieda. L’unica eccezione riguarda attualmente il personale sanitario e quello del mondo della scuola come ulteriore misura di sicurezza al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell’erogazione in presenza del servizio essenziale di istruzione. Il decreto-legge introduce, dal 1° settembre al 31 dicembre 2021 (attuale termine di cessazione dello stato di emergenza), la “certificazione verde COVID-19” per tutto il personale scolastico. Questo tema sarà oggetto del paragrafo successivo.

Il quarto aspetto riguarda le modalità e gli strumenti con cui deve avvenire il controllo. Già il DPCM del 17 giugno 2021 all’art.13 – poi richiamato dal D.L. n. 105 del 23 luglio 2021 e ribadito nella circolare del Ministero dell’Interno del 10 agosto – ha stabilito che il controllo del possesso del green pass deve essere effettuato mediante la lettura del QR-code, utilizzando esclusivamente l’applicazione “VerificaC19”, che consente di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione e senza conservare i dati relativi alla medesima oggetto di verifica. La norma prima, e un parere del Garante della privacy dopo, hanno chiarito che il soggetto addetto alla verifica può richiedere anche un idoneo documento di identità dell’intestatario: una circostanza da intendersi discrezionale, salvi i casi di abuso o elusione delle norme, come ad esempio quando appaia manifesta l’incongruenza con i dati anagrafici contenuti nella certificazione verde.

Il quinto aspetto riguarda la possibilità di raccogliere i dati dell’intestatario del green pass. Per quelle attività che si basano su iscrizioni e frequenza continuative degli stessi beneficiari, alcune imprese hanno ipotizzato di predisporre una modulistica che consenta di raccogliere il dato al momento dell’iscrizione/adesione ad un determinato servizio o acquisire una copia del pass da archiviare, anche in un eventuale gestionale. Questa procedura sarebbe tuttavia in netto contrasto con l’art. 13 del DPCM del 17 giugno 2021 che prevede che il controllo sia consentito tramite applicazione “VerificaC19” e nello specifico con il suo comma 5 che precisa, inoltre, che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”. Dovremmo capire tuttavia, nelle prossime ore, se in analogia con quanto previsto in un parere tecnico del Ministero dell’Istruzione sul decreto relativo all’esercizio in sicurezza per le attività scolastiche, si possa procedere almeno alla registrazione dell’avvenuto controllo. Almeno per quelle attività continuative di cui beneficiano quotidianamente gli stessi fruitori.

GREEN PASS E LAVORATORI.

Concentriamoci in questa sessione sul rapporto tra datore di lavoro e lavoratori rispetto alla gestione dei green Pass. Il primo aspetto da considerare è che, in analogia con quanto previsto in tema di vaccinazione dei dipendenti, il datore di lavoro deve assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” e, nell’affidare i compiti ai lavoratori, occorre tener conto “delle capacità e delle condizioni degli stessi in rapporto alla loro salute e sicurezza”. In questo quadro e nell’ambito delle attività di sorveglianza sanitaria, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori e a verificare l’idoneità alla “mansione specifica” è il medico competente. Il datore di lavoro, infatti, non può acquisire ‒ neanche con il consenso del dipendente o tramite il medico competente ‒ i nominativi del personale vaccinato o la copia delle certificazioni vaccinali e quindi ….del Green pass. La regola non subisce eccezioni neppure nell’ambito di contesti lavorativi come quello sanitario caratterizzato da esposizione diretta ad agenti biologici. Anche in questi casi, solo il medico competente può trattare i dati personali relativi alla vaccinazione dei dipendenti e, in caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica. Il Garante della Privacy non ha al momento dato indicazioni specifiche al riguardo sulla gestione del green Pass dei lavoratori. Aspettiamo conferma in merito soprattutto in considerazione del fatto che spesso, le cooperative che gestiscono servizi pubblici sono chiamate a fornire elenchi vari del personale con dati particolari su richiesta delle stesse committenze pubbliche in ragione degli adempimenti contrattuali, tra l’altro su indirizzi email generici pubblicati sui siti degli enti

GREEN PASS NEL MONDO DELLA SCUOLA

Per quanto concerne il mondo della scuola, un parere tecnico del Ministero dell’Istruzione rispetto al Decreto-legge n. 111/2021 “Misure urgenti per l’esercizio in sicurezza delle attività scolastiche, universitarie, sociali e in materia di trasporti” prevede che per assicurare i controlli sul possesso del green pass nel mondo della scuola non sia necessario acquisire copia della certificazione del dipendente, a prescindere dal formato in cui essa sia esibita, ma ritenendosi sufficiente la registrazione dell’avvenuto controllo con atto interno recante l’elenco del personale che ha esibito la certificazione verde e di quello eventualmente esentato. Il tema rimane chi e come si debba effettuare questo controllo, anche nel rispetto della privacy. I dirigenti attraverso una nuova piattaforma? È l’ipotesi che ci anticipa oggi [26 agosto] il Corriere della Sera e che rappresenta di per sé una novità rispetto alle previsioni del decreto appena citate. In questo quadro, pensiamo al personale di molte delle nostre cooperative che rappresentano un supporto importante al mondo della scuola. Personale che non ha come datore di lavoro il dirigente scolastico. Da chi dovrà essere controllato il possesso del green pass? Non certo dal datore di lavoro che non può richiederlo al dipendente e che dovrebbe avvalersi del medico competente… o forse di personale interno delegato? In entrambe le soluzioni con aggravio di costi e un’organizzazione sproporzionata, soprattutto per realtà complesse su più sedi ….. Il paradosso di questo problema emerge ancora di più se pensiamo che il green pass di quello stesso dipendente – per esibire il quale tanto stiamo discutendo- viene controllato dal personale del ristorante ..magari di fronte la scuola!

La foto è tratta dalla mostra A scena aperta, esposizione fotografica sul teatro sociale organizzata dal Consorzio Parsifal e dalla cooperativa Altri Colori.