Green pass e privacy: Le novità introdotte dalla Legge n. 165/2021

Il 20 novembre 2021 è stata pubblicata in Gazzetta Ufficiale la legge 19 novembre 2021, n. 165 che ha convertito, con modificazioni, il Decreto-legge n. 127/2021 il quale, recependo le istanze di
semplificazione da avanzate del mondo del lavoro, ha portato nuove importanti novità che, tuttavia,
rischiano di comprimere il diritto alla riservatezza dei lavoratori pubblici e privati oltre che comportare nuovi gravosi adempimenti per i datori di lavoro.

Il nuovo comma 5 dell’art. 9 quinquies e dell’art. 9 septies del D.L. n. 52 del 22 aprile
del 2021.
La novità è di quelle a forte impatto sulla privacy dei lavoratori perché, contrariamente a quanto era possibile fare fino a qualche giorno fa, “Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde COVID-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro”.
Il Garante Privacy, nella segnalazione al Parlamento e al Governo sul Disegno di legge di
conversione del D.L. 127/2021 dell’11 novembre 2021 aveva evidenziato alcune criticità circa le nuove disposizioni al tempo in corso di approvazione esplicitate dal Considerando 48.

Conseguenti adempimenti privacy a carico del datore di lavoro.
1) Modificare la procedura interna di gestione dei controlli nonché la formazione da fornire agli incaricati o responsabili del trattamento che hanno ricevuto la delega ad eseguire i controlli, i quali dovranno essere portati a conoscenza dei nominativi dei lavoratori che hanno scelto di consegnare il green pass e continuare i controlli solo sugli altri (stabilendo le modalità con le quali gli interessati potranno avere accesso a queste informazioni).
2) Aggiornare l’informativa sul trattamento dei dati personali da mettere a disposizione di quelle categorie di persone che devono essere controllate (dipendenti, fornitori, consulenti, titolari di cariche politiche), con la modifica in particolare del termine di conservazione dei dati a meno che non sia già prevista come nel caso dei dipendenti).
3) Aggiornare il registro dei trattamenti prevedendo anche la conservazione del relativo certificato GREEN PASS e menzionare le misure di sicurezza a difesa del trattamento che potrà essere effettuato in formato cartaceo o elettronico (in questo secondo caso se il dato risiede su una piattaforma cloud o di un fornitore terzo, si dovrà valutare se ciò comporta un trasferimento
di dati al di fuori dello SEE o se si opta per un database con le date di scadenza salvato in locale, si dovranno comunque applicare adeguate misure di sicurezza);
4) Valutare, sentito il DPO ove nominato, se effettuare una DPIA ai sensi dell’art. 35 GDPR sul processo di verifica dei green pass, considerati i nuovi trattamenti che emergono dalla modifica normativa.

Conclusioni
Sarà compito dei titolari del trattamento garantire la riservatezza di quei dati ponendo in essere misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.
Ora ci aspettiamo si applichi questo principio anche alla Videosorveglianza rendendo piena applicazione quanto stabilito dal GDPR 6769/2016 senza dover chiedere permessi a terzi perchè in possesso di richiesta del dipendente.