Con l’entrata in vigore della L. 165/2021 che modifica il decreto-legge 21 settembre 2021, n. 127, recante misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening, si prevede la possibilità nel settore pubblico e privato di ricevere, su richiesta del dipendente, la certificazione verde. La consegna del Green Pass al datore di lavoro solleva il lavoratore dalle verifiche quotidiane della certificazione per la durata di validità della stessa. La possibilità introdotta implica l’adozione di una serie di misure tese a proteggere l’integrità e la riservatezza delle informazioni contenute nella certificazione e il rafforzamento delle misure già prese in costanza dell’obbligo di controllo da parte dei datori di lavoro.

Legge 19 novembre 2021, n. 165 – G.U. 20 novembre 2021, n. 277

L’adozione di misure di sicurezza Tra le novità introdotte dalla L. 165/2021 si contempla la consegna (spontanea) della certificazione verde da parte dei lavoratori al Titolare del trattamento ne consegue che l’organizzazione sarà tenuta all’adozione di una serie di misure tecniche e organizzative allo scopo di proteggere la riservatezza dei lavoratori.

Il Titolare del trattamento dovrà, pertanto, individuare una politica capace di garantire l’integrità e la privacy delle informazioni sin dalla fase di ricezione della certificazione.

La necessità di rafforzare le misure tecniche predisposte è stata ribadita anche dalla Autorità Garante per la protezione dei dati personali che con Segnalazione del 11.11.2021 ha dichiarato l’importanza di attuare misure di sicurezza informatiche idonee a prevenire il rischio informatico.

Si allude alla digitalizzazione della fase di consegna e conservazione da parte dell’organizzazione, anche se nulla osta alla consegna cartacea della certificazione. In tal ultima ipotesi, il Titolare dovrà garantire che la fase di consegna e conservazione siano adeguatamente protette attraverso l’adozione di misure idonee (locali aziendali ad hoc e archivi dotati di serratura).

L’attuazione da parte del Titolare di misure tecniche pesa maggiormente sul Titolare qualora, invece, il canale di ricezione e conservazione della certificazione siano digitali. L’azione predisposta, allora, dovrà integrare le misure già all’occorrenza adottate in fase di adeguamento al GDPR soprattutto dal punto di vista informatico. La consegna e la ricezione della certificazione verde dovranno, pertanto, essere parametrate da una politica che tenga conto del livello di sicurezza informatica attuata (e da attuare) e alla corretta individuazione dei soggetti tenuti alla ricezione.

Rientrano nelle misure di sicurezza sia le misure tecniche sia quelle organizzative di cui all’art. 32 del GDPR. Le prime riguardano l’infrastruttura aziendale e fanno riferimento alle politiche di sicurezza adottate affinché il flusso di informazioni sia protetto da eventuali violazioni informatiche che lederebbero la privacy dei lavoratori. Le seconde, invece, riguardano la corretta mappatura dei soggetti che partecipano al trattamento. In particolare, è consigliabile rafforzare la nomina del delegato, figura già prevista dal D.L 52/2021, come modificato dal D.L. 127/2021.

Si tratta della nomina a designato al trattamento di cui agli artt. 29 GDPR e 2 quaterdecies Codice Privacy, la stessa dovrà riportare le azioni da intraprendere e le politiche da rispettare sia nella fase di ricezione che in quella di conservazione.

La nomina a delegati alla ricezione dovrà pertanto riportare istruzioni chiare e precise per i soggetti autorizzati al ricevimento delle certificazioni verdi.

L’insieme di misure adottate dovrà essere poi riportato nel modello privacy aziendale coinvolgendo il DPO o in assenza il Privacy Officer.

Tra le misure da attuare anche l’aggiornamento del registro dei trattamenti ex art. 30 del GDPR, nello stesso andrà indicato il periodo di conservazione che coinciderà con la durata della situazione d’emergenza (ad oggi, 31 dicembre 2021).

L’obbligo di informare gli interessati Il titolare del trattamento, all’atto di ricezione della certificazione, è tenuto a fornire al lavoratore adeguata informativa ai sensi dell’art. 13 del GDPR.

Per quanto attiene la base giuridica, la stessa si rinviene nell’adempimento ad un obbligo di legge (art. 6, lett. c, GDPR) all’articolo 9-quinquies (per il settore pubblico) e all’articolo 9-septies (per il settore privato) del D.L. 52/2021 come modificato dal D.l. 127/2021 che impongono l’obbligo di verifica del Green Pass.

Come sottolineato dall’Autorità Garante nel provvedimento succitato la base giuridica del trattamento nell’ambito dei rapporti di lavoro non può essere rappresentata dal consenso, e il fatto che il lavoratore consegni, su proprio impulso, la certificazione verde non costituisce un consenso implicito.

Tale evenienza solleva, per altro, il Titolare del trattamento da una serie di adempimenti ulteriori che conseguirebbero dalla raccolta del consenso. È ormai noto che nei rapporti di lavoro, il consenso rilasciato dal dipendente non può costituire un’idonea legittimazione in virtù dello squilibrio delle parti nel rapporto di lavoro.

Il lavoratore si potrebbe trovare in una situazione di soggezione che invaliderebbe il consenso espresso.