
Vulnerability Management Process: come aumentare il livello di sicurezza
13 Settembre 2021
Decreto capienze: novità in tema di privacy e digital forensics
25 Ottobre 2021Il 16 settembre 2021 il Consiglio dei ministri ha approvato il Decreto-legge 127/2021 a proposito dell’obbligo di green pass sui luoghi di lavoro.
A partire dal 15 ottobre 2021 e fino al 31 dicembre 2021 il Green Pass è obbligatorio nei luoghi di lavoro pubblici e privati.
Le novità introdotte dal Decreto sono:
- il Green Pass obbligatorio, ossia l’obbligo di esibire un Green Pass valido per tutte le categorie di lavoratori, pubblici, privati, e volontari (compresi autonomi)
- sospensione dal lavoro e senza stipendio per i lavoratori sprovvisti di Green Pass
- sanzioni per i lavoratori e per i datori di lavoro in caso di violazione delle disposizioni del decreto
Contestualmente al rispetto delle disposizioni contenute nel decreto di cui sopra, le aziende Titolari del trattamento dovranno adeguarsi per evitare di incorrere in sanzioni legate al rispetto della normativa in materia di protezione dei dati personali.
Pertanto, è necessario adottare un corretto approccio operativo finalizzato a prevenire eventuali non conformità nella gestione delle certificazioni verdi.
Indice degli argomenti
Privacy by design nella gestione dei green pass nei luoghi di lavoro
La predisposizione di misure organizzative di controllo sin dalla progettazione del trattamento è infatti un principio previsto dall’art. 25 GDPR (c.d. privacy by design) e si applica anche nella gestione del green pass sui luoghi di lavoro.
Tale principio prevede che, alla determinazione dei mezzi di trattamento e all’atto del trattamento stesso, devono essere messe in atto misure “volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati”.
Dunque la domanda che ogni Titolare deve porsi è: come devo controllare i Green Pass? Quali dati devo trattare? Se e quali dati devo conservare?
In riferimento al sistema di verifica da utilizzare, opera l’esclusività di impiego dell’app “VerificaC19”, sviluppata e promossa dal Ministero della Salute, in quanto rispetta i principi di minimizzazione dei dati personali sanciti dal GDPR.
Ogni sistema alternativo proposto sul mercato, infatti, non è conforme alla legge, in quanto non fornisce le stesse garanzie in materia di protezione dei dati personali.
Particolare attenzione deve essere posta anche alla definizione dei tempi di conservazione degli esiti dei controlli, così come al riscontro dell’effettiva somministrazione delle informazioni agli interessati e che i soli verificatori designati svolgano tali attività sulla base di uno specifico atto autorizzativo.
Gli adempimenti sulla protezione dei dati personali in capo al Titolare
Nel caso concreto della gestione di green pass sui luoghi di lavoro. , il Titolare del trattamento ha l’onere di predisporre tutta la documentazione necessaria per tutelare i dati personali di chi accede al luogo di lavoro svolgendo le seguenti attività:
- individuare e nominare con apposito atto di autorizzazione al trattamento dei dati personali il dipendente incaricato alla verifica del Green Pass, generalmente individuato nella persona con cui l’interessato ha il primo contatto all’ingresso nel luogo di lavoro (es. incaricato alla reception). Nell’atto dovranno essere indicate le regole da osservare per un corretto trattamento dei dati personali nello svolgimento di questo incarico, nel rispetto dei diritti dei soggetti interessati
- fornire adeguata formazione all’incaricato circa l’attività di trattamento dei dati personali che deve effettuare
- aggiornare il registro dei trattamenti, conformemente all’art. 30 GDPR
- fornire un’adeguata informativa sul trattamento dei dati personali all’interno della quale dovrà indicare le finalità e la base giuridica del trattamento (che deve essere individuata nell’obbligo di legge di cui all’art.6, comma 1, lettera c) in ottemperanza dell’art.3 D.L. 127/2021), le modalità di trattamento e il periodo di conservazione dei dati personali trattati.
La modalità di verifica del Green Pass dei dipendenti, o di chiunque acceda al luogo di lavoro in virtù di un rapporto contrattuale con il Titolare, dovrà avvenire con tecniche di screening che tengano conto dell’organizzazione aziendale e del numero dei dipendenti.
Chi controlla il Green pass al lavoro
Il green pass deve essere controllato da persone incaricate dal Titolare del trattamento che devono essere adeguatamente formate e rispettare precise istruzioni del Titolare.
Cosa succede se non ho il green pass al lavoro?
In caso di accertamento che rilevi l’assenza di green passo, la sanzione a carico del lavoratore è una multa che va da 600 a 1.500 euro.
Istruzione operative per l’incaricato alla verifica del Green Pass
Al fine della corretta gestione dei dati personali relativi al green pass nei luoghi di lavoro, il soggetto incaricato alla verifica della Certificazione Verde dovrà attenersi a specifiche istruzioni fornite dal Titolare all’interno dell’atto autorizzativo, tra le quali sono da ricomprendere:
- il divieto di raccogliere dati personali riferiti alla persona controllata
- la possibilità di chiedere un documento di identità al fine di verificare le generalità del portatore della certificazione solo nel caso se ne ravvisasse la necessità
- il controllo dell’autenticità, validità e integrità della certificazione, e conoscere le generalità dell’intestatario, senza rendere, assumere o conservare alcuna informazione
- il divieto di fare copie analogiche o digitali della certificazione verde e/o di documenti di identità e salvare file su supporti elettronici
- il mantenimento di un comportamento decoroso, senza riferire ad alta voce informazioni riguardanti le persone controllate
Conclusioni
La responsabilizzazione delle organizzazioni nella definizione delle modalità operative per svolgere le attività di verifica del Green Pass nei luoghi di lavoro rappresenta certamente un costo operativo e strategico da affrontare.
Un approccio adeguato e consapevole dei principi in materia di protezione dei dati personali può consentire un’ottimizzazione dei costi senza svilire l’efficace attuazione degli obiettivi indicati dalla norma.