Blog

CONVERTITO IN LEGGE IL “DECRETO GREEN PASS”: NUOVI ADEMPIMENTI PRIVACY IN VISTA PER LE AZIENDE

Pubblicato da Francesco Malaguti in Casi Studio, Gestione del capitale umano, Governance e organizzazione, Privacy con Nessun commento

La conversione in legge del D.L. 23/07/2021 n. 105 – tramite Legge 16/09/2021, n. 126 – ha definitivamente approvato il c.d. “decreto Green Pass”, che, come noto, estende l’obbligo di possedere ed esibire la Certificazione verde COVID-19 a tutti i lavoratori pubblici e privati; prevedendo sanzioni e conseguenze specifiche per chi non rispetterà le disposizioni indicate.

L’obbligo di “Green pass” per i lavoratori entrerà in vigore a partire dal 15 ottobre 2021, dando la possibilità a chi non è ancora vaccinato di provvedere almeno alla prima dose (o, in alternativa, se non fosse guarito, al tampone) e ottenere, così, il Certificato verde nel limite dei termini fissati dal decreto. Entro tale data, le aziende sono, quindi, chiamate a definire le modalità operative per effettuare i relativi controlli (anche a campione e, preferibilmente, al momento dell’accesso al luogo di lavoro); al fine di non incappare nelle sanzioni previste (da 400 a 1.000 euro per i datori di lavoro che non abbiano predisposto idonei processi di verifica).

Decreto Green Pass”: verifiche sì, ma nel rispetto della Privacy

Nel definire le modalità operative di controllo, le aziende sono tenute all’osservanza delle prescrizioni in materia di protezione dei dati personali (Regolamento UE 2016/679). La verifica del QR-code presente nel c.d. “Green Pass” comporta, infatti, un trattamento di dati personali, poiché fornisce informazioni sensibili relative al soggetto interessato (dipendente).

Il trattamento di dati personali “comuni” comporterebbe, già di per sé, l’esigenza di calibrare le attività di verifica attraverso l’adozione di misure di sicurezza idonee a garantire la tutela della riservatezza del dipendente. In questo specifico caso, trattandosi di dati appartenenti a categorie particolari (“dati relativi alla salute” – Art. 9 Reg. UE 2016/679), tale esigenza risulta ancora più marcata. In tale contesto, quindi, i princìpi della Privacy non devono essere messi in secondo piano.

I nuovi adempimenti Privacy in capo alle aziende

Sul piano operativo, i nuovi adempimenti Privacy in capo alle aziende possono essere sintetizzati in tre step:

1) nominare i soggetti autorizzati: per prima cosa, I datori di lavoro devono individuare con atto formale gli addetti interni incaricati dell’accertamento e della contestazione delle eventuali violazioni. Tale processo è obbligatorio ai sensi dell’Art. 29 del GDPR, per il quale chiunque tratti dati personali sotto l’autorità del titolare “non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”;

2) definire le istruzioni operative: contestualmente all’atto di nomina, i soggetti autorizzati alle verifiche dovranno ricevere dal titolare del trattamento anche le relative istruzioni operative, da seguire nel dettaglio. Questo passaggio è indispensabile ai sensi del predetto Art. 29 e dell’Art. 32 del GDPR (“il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”). Le istruzioni dovranno contenere una serie di informazioni specifiche, tra cui le modalità di lettura del QR-code e quelle per l’eventuale verifica del documento identificativo collegato al possessore del Certificato verde;

3) aggiornare il Registro dei trattamenti: Il titolare del trattamento è, poi, tenuto ad aggiornare il Registro dei trattamenti, al fine di dimostrare il pieno rispetto del principio di Accountability (Art. 5 Reg. UE 2016/679). Il documento dovrà essere integrato con le nuove attività di trattamento legate alla verifica del “Green Pass”, come previsto dall’Art. 30 del Regolamento UE 2016/679.

Oltre a tali adempimenti, il datore di lavoro dovrà, sulla base dell’art.3 , comma 5 del nuovo testo del D.L. 105/2021 (ora Legge) definire le modalità operative per l’organizzazione delle verifiche entro il 15 ottobre 2021.

Al fine di garantire il simultaneo rispetto del nuovo decreto-legge, da un lato, e del GDPR, dall’altro, le imprese sono, quindi, chiamate a calibrare le attività di verifica attraverso l’adozione di misure di sicurezza idonee a garantire la tutela della riservatezza dell’interessato, definendo, di fatto, un punto d’incontro tra le due normative.

Per maggiori informazioni è possibile rivolgersi direttamente ad  Artea: la Società è a disposizione, con i propri specialisti, per rispondere ai Vostri dubbi, domande o chiarimenti in materia.

Scritto da Francesco Malaguti

Francesco Malaguti

Consulente Privacy e Data Protection Officer qualificato, da diversi anni collabora con Artea e con la partner AD&D Consulting. Tra i valori che più lo contraddistinguono spiccano Il forte orientamento alla cura per i dettagli e alla diplomazia, nel costruire rapporti di fiducia con i clienti.

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

  • ARTEA S.r.l.
    Bologna, via Saragozza,185 051 6146706 info@artea.it