Il Garante per la protezione dei dati personali ha espresso, in via d’urgenza, parere favorevole sullo schema di Dpcm che introduce nuove modalità di verifica del green pass in ambito lavorativo pubblico e privato.

Lo schema sottoposto all’Autorità prevede, in particolare, che l’attività di verifica del possesso delle certificazioni verde Covid-19 possa essere effettuato anche attraverso modalità alternative all’app VerificaC19, quali l’impiego di un pacchetto di sviluppo per applicazioni (SDK), rilasciato dal Ministero con licenza open source, da integrare nei sistemi di controllo degli accessi ovvero, per i datori di lavoro pubblici e privati, mediante l’utilizzo di una specifica funzionalità della Piattaforma NoiPA o del Portale istituzionale INPS.

In tale contesto, il Garante ha ribadito il principio fondamentale secondo cui l’attività di verifica non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari, in ambito lavorativo, all’applicazione delle misure derivanti dal mancato possesso della certificazione. Il sistema utilizzato per la verifica del green pass non dovrà conservare il QR code delle certificazioni verdi sottoposte a verifica, né estrarre, consultare registrare o comunque trattare per altre finalità le informazioni rilevate.

Per quanto riguarda la verifica mediante la Piattaforma NoiPa (per le Pa aderenti), il Portale dell’Inps (per i datori di lavoro con più di 50 dipendenti non aderenti a NoiPa) o mediante interoperabilità applicativa, la Piattaforma nazionale-DGC consentirà di visualizzare la sola informazione del possesso o meno di un green pass valido. Potranno essere sottoposti al controllo solo i lavoratori effettivamente in servizio per i quali è previsto l’accesso al luogo di lavoro, escludendo i dipendenti assenti per ferie, malattie, permessi o che svolgono la prestazione lavorativa in modalità agile.

I dipendenti dovranno essere opportunamente informati dal proprio datore di lavoro sul trattamento dei dati attraverso una specifica informativa. Per questo si rimanda alla documentazione operativa per le procedure aziendali già condivisa con il ns. Suggerimento n. 618/100 del 30 settembre 2021.

Come noto, il D.L. 127 del 21 settembre 2021 ha introdotto misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 (cd. Green Pass).

In attesa di linee guida esplicative da parte del Ministero e del Garante per la Protezione dei dati personali, l’impresa, in qualità di Titolare del trattamento (art. 4 GDPR), è tenuta a definire, anche sotto il profilo della tutela della privacy, le modalità di svolgimento di tale verifica, entro il 15 ottobre 2021.

Con l’occasione, si rammentano i principali adempimenti privacy a carico del Titolare del trattamento, nel contesto di verifica del possesso del Green Pass in capo ai dipendenti:

• aggiornare il Registro dei trattamenti(art. 30 GDPR);
• fornire un’informativa dedicata allo specifico trattamento, anche integrando quelle già esistenti, (art. 13 GDPR) che dovrà essere esposta nei pressi del luogo ove viene effettuata la rilevazione per consentire agli interessati di poterla consultare. 
• Incaricare e formare i collaboratori (art. 29 GDPR) che saranno deputati alla verifica del Green Pass per conto del datore di lavoro;
• nominare e verificare eventuali responsabili esterni al trattamentoai sensi dell’art. 28 GDPR (es. società esterne deputate al controllo accessi);
• aggiornare la policy privacy prevedendo una procedura interna per la verifica del Green Pass;
• adottare idonee misure di sicurezza per la protezione dei dispositivi utilizzati per i controlli (es. antivirus).