Con il D.L. n. 127/2021 è stato introdotto l’obbligo di possedere ed esibire, su richiesta, la certificazione verde COVID-19 (cd. Green pass) per accedere al luogo di lavoro, a decorrere dal 15 ottobre 2021.
Tale obbligo riguarda tutto il personale dipendente comunale, gli amministratori comunali e tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso il comune, anche sulla base di contratti esterni (esempio appaltatori, tirocinanti, stagisti, volontari che devono accedere ai locali comunali, ecc.).
Per i dipendenti è previsto in sintesi che:
- il dipendente che comunica di non avere il Green pass o che, se richiesto, non lo esibisca PRIMA DI ACCEDERE al luogo di lavoro, non potrà accedervi e verrà dichiarato assente ingiustificato dal servizio senza retribuzione o altro compenso, senza conseguenze disciplinari;
- il dipendente che, se richiesto, non esibisca il Green pass ALL’INTERNO del luogo di lavoro, è soggetto a sanzione disciplinare e a sanzione amministrativa per un importo da 600 a 1500 euro.
Il Green pass non è richiesto agli utenti che devono accedere agli uffici comunali.
La necessità di porre in essere i controlli pone l’ente locale, ma in generale tutte le organizzazioni nella posizione di dover prendere delle decisioni che sembrano porsi in conflitto con il corretto adempimento della normativa in materia
Adempimenti da porre in essere ai sensi del Regolamento UE 2016/679 (GDPR)
Un errore molto diffuso è ritenere che l’attività di verifica del Green Pass non comporti trattamento di dati personali, e che di conseguenza non sia richiesto alcun aggiornamento della documentazione. Gli interventi dell’Autorità Garante per la protezione dei dati personali smentiscono in modo piuttosto palese questo tipo di interpretazione e anzi richiamano proprio (tanto le istituzioni quanto i privati) al corretto adempimento dei principi del GDPR.
E’ necessario perciò:
- produrre le informative relative all’attività di verifica, conformemente agli artt. 13 e 14 del GDPR;
- aggiornare i registri delle attività di trattamento, conformemente all’art. 30 del GDPR;
- redigere l’atto di designazione dei verificatori, con autorizzazioni ed istruzioni, conformemente all’art. 29 GDPR e, ovviamente, in fase operativa verificare che tali interventi documentali siano operativamente attuati.
Particolare attenzione andrà posta nella definizione dei termini di conservazione delle checklist relative agli esiti dei controlli. Speriamo che il Garante per la Protezione dei Dati Personali dia delle indicazioni al riguardo.
Nonostante sia espressamente vietata la raccolta dei dati, non poche organizzazioni hanno creato banche dati contenenti dei dati delle certificazioni verdi.
Tale tipo di raccolta deve considerarsi illecita.
Così è accaduto, ad esempio, per le palestre, ma non sono le uniche ad aver predisposto tali procedure in aperta violazione del dettato dell’art. 13 comma 5 DPCM 17 giugno 2021 per cui “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.
Che sia il caricamento in PDF o l’anticipazione via e-mail o l’invio di una foto tramite servizio di messaggistica istantanea, tale attività è, fondamentalmente, vietata. Definire un termine breve (o brevissimo) di conservazione o l’applicazione di metodi di cifratura non consente di superare tale limite.
Attività di questo genere comportano la violazione del principio di liceità in quanto non vi è una base giuridica validamente individuabile, nonché del principio di minimizzazione dal momento che sono raccolti dati in eccesso rispetto alle finalità indicate dalla norma. Inoltre, è violato anche il principio di esattezza del dato con riguardo alla validità del Green Pass il quale, pur avendo una data di scadenza, può essere revocato.
E’ ESPRESSAMENTE VIETATA LA RACCOLTA DEI DATI DELLE CERTIFICAZIONI VERDI. NESSUNA BANCA DATI PER LA RACCOLTA DELLE CERTIFICAZIONI VERDI DEVE ESSERE CREATA.
Modalità di verifica
Al momento abbiamo l’esclusività di impiego dell’app VerificaC19, con l’unica eccezione al momento rappresentata dalla piattaforma docenti in ambito scolastico. Ogni sistema alternativo proposto sul mercato non è dunque conforme alle attuali prescrizioni di legge.
E’ assolutamente vietata l’adozione di sistemi integrati di riconoscimento facciale per evitare il “reimpiego” del medesimo Green Pass. L’attività di verifica non solo non deve raccogliere i dati della certificazione verde, ma, ovviamente nemmeno i dati biometrici degli interessati, in carenza di alcun fondamento di liceità per il trattamento di tali informazioni.
I verificatori
Spesso i verificatori non sono né designati né istruiti.
La mancata predisposizione di misure organizzative per la definizione dei ruoli e delle responsabilità dei soggetti verificatori viola la previsione di quell’ “atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica” previsto dall’art. 13 comma 3 DPCM 17 giugno 2021.
Tale disposizione, letta tenendo conto della normativa in materia di protezione dei dati personali è un richiamo della previsione generale stabilita dall’art. 29 GDPR per cui vi è l’obbligo generale, in capo al titolare del trattamento, di autorizzare ed istruire gli operatori che hanno accesso ai dati personali.
La forma che si vorrà dare all’atto di designazione rimane libera, ma è necessario fornire le istruzioni operative circa l’attività concreta da svolgere. Ad esempio: specificando le modalità di compilazione e conservazione di una checklist di controllo con il divieto di annotazione di alcuno dei dati relativi al Green Pass.
Il coinvolgimento del DPO
Con riferimento al DPO, va ricordato che vi è un obbligo specifico previsto dal GDPR, per cui tale soggetto deve essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali
Avvalersi della consulenza e informazione specifica in ambito di protezione dei dati personali già in sede di progettazione delle misure organizzative comporta infatti un minore rischio di incorrere in una o più non conformità.
APPENDICE NORMATIVA
DECRETO-LEGGE 21 settembre 2021, n. 127
Art. 1
Disposizioni urgenti sull’impiego di certificazioni verdi COVID-19 in ambito lavorativo pubblico
1. Al decreto-legge 22 aprile 2021, n. 52, convertito, con modificazioni, dalla legge 17 giugno 2021, n. 87, dopo l’articolo 9-quater e’ inserito il seguente:
«Art. 9-quinquies (Impiego delle certificazioni verdi COVID-19 nel settore pubblico).
1. Dal 15 ottobre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di prevenire la diffusione dell’infezione da SARS-CoV-2, al personale delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, al personale di cui all’articolo 3 del predetto decreto legislativo, al personale delle Autorita’ amministrative indipendenti, ivi comprese la Commissione nazionale per la societa’ e la borsa e la Commissione di vigilanza sui fondi pensione, della Banca d’Italia, nonche’ degli enti pubblici economici e degli organi di rilievo costituzionale, ai fini dell’accesso ai luoghi di lavoro, nell’ambito del territorio nazionale, in cui il predetto personale svolge l’attivita’ lavorativa, e’ fatto obbligo di possedere e di esibire, su richiesta, la certificazione verde COVID-19 di cui all’articolo 9, comma 2. Resta fermo quanto previsto dagli articoli 9-ter, 9-ter.1 e 9-ter.2 del presente decreto e dagli articoli 4 e 4-bis del decreto-legge 1° aprile 2021, n. 44, convertito, con modificazioni, dalla legge 28 maggio 2021, n. 76.
2. La disposizione di cui al comma 1 si applica altresi’ a tutti i soggetti che svolgono, a qualsiasi titolo, la propria attivita’ lavorativa o di formazione o di volontariato presso le amministrazioni di cui al comma 1, anche sulla base di contratti esterni.
3. Le disposizioni di cui ai commi 1 e 2 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute.
4. I datori di lavoro del personale di cui al comma 1 sono tenuti a verificare il rispetto delle prescrizioni di cui ai commi 1 e 2. Per i lavoratori di cui al comma 2 la verifica sul rispetto delle prescrizioni di cui al comma 1, oltre che dai soggetti di cui al primo periodo, e’ effettuata anche dai rispettivi datori di lavoro.
5. I datori di lavoro di cui al comma 4, primo periodo, definiscono, entro il 15 ottobre 2021, le modalita’ operative per l’organizzazione delle verifiche di cui al comma 4, anche a campione, prevedendo prioritariamente, ove possibile, che tali controlli siano effettuati al momento dell’accesso ai luoghi di lavoro, e individuano con atto formale i soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi di cui ai commi 1 e 2. Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalita’ indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell’articolo 9, comma 10. Il Presidente del Consiglio dei ministri, su proposta dei Ministri per la pubblica amministrazione e della salute, puo’ adottare linee guida per la omogenea definizione delle modalita’ organizzative di cui al primo periodo. Per le regioni e gli enti locali le predette linee guida, ove adottate, sono definite d’intesa con la Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281.
6. Il personale di cui al comma 1, nel caso in cui comunichi di non essere in possesso della certificazione verde COVID-19 o qualora risulti privo della predetta certificazione al momento dell’accesso al luogo di lavoro, al fine di tutelare la salute e la sicurezza dei lavoratori nel luogo di lavoro, e’ considerato assente ingiustificato fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021, termine di cessazione dello stato di emergenza, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro. Per i giorni di assenza ingiustificata di cui al primo periodo non sono dovuti la retribuzione ne’ altro compenso o emolumento, comunque denominati.
7. L’accesso del personale ai luoghi di lavoro di cui al comma 1 in violazione degli obblighi di cui ai commi 1 e 2, e’ punito con la sanzione di cui al comma 8 e restano ferme le conseguenze disciplinari secondo i rispettivi ordinamenti di appartenenza.
8. In caso di violazione delle disposizioni di cui al comma 4, di mancata adozione delle misure organizzative di cui al comma 5 nel termine previsto, nonche’ per la violazione di cui al comma 7, si applica l’articolo 4, commi 1, 3, 5 e 9, del decreto-legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35. Resta fermo quanto previsto dall’articolo 2, comma 2-bis, del decreto-legge 16 maggio 2020, n. 33, convertito, con modificazioni, dalla legge 14 luglio 2020, n. 74. Per le violazioni di cui al comma 7, la sanzione amministrativa prevista dal comma 1 del citato articolo 4 del decreto-legge n. 19 del 2020 e’ stabilita in euro da 600 a 1.500.
9. Le sanzioni di cui al comma 8 sono irrogate dal Prefetto. I soggetti incaricati dell’accertamento e della contestazione delle violazioni di cui al medesimo comma 8 trasmettono al Prefetto gli atti relativi alla violazione.
0. Al personale di cui al comma 1 dell’articolo 9-sexies, collocato fuori ruolo presso le amministrazioni di cui al comma 1, si applicano le disposizioni di cui al medesimo articolo 9-sexies, commi 2 e 3, fermo restando quanto previsto dal comma 8 del presente articolo.
1. Fermo restando quanto previsto al comma 12, ai soggetti titolari di cariche elettive o di cariche istituzionali di vertice, si applicano le disposizioni di cui ai commi 1, 3, 4, 5 e 8.
10. Gli organi costituzionali, ciascuno nell’ambito della propria autonomia, adeguano il proprio ordinamento alle disposizioni di cui al presente articolo.
2. Le amministrazioni di cui al comma 1, provvedono alle attivita’ di cui al presente articolo con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica.».