C’era da aspettarselo: il Green pass per lavorare ha ancora nodi privacy irrisolti. Ora lo conferma il presidente dell’autorità garante privacy in audizione al Parlamento.
E del resto già prima che il decreto diventasse legge il Garante privacy rappresentava quelle che, in materia di protezione dati, erano evidenti criticità, acuite dal super green pass che come noto differenzia nei controlli chi ha fatto il vaccino o è guarito da chi ha fatto solo il tampone.
I problemi del green pass per il Garante Privacy
Nell’audizione istituzionale, il presidente dell’Autorità di controllo Pasquale Stanzione definisce il Green pass come «uno strumento non già di controllo, ma di promozione delle libertà, a efficacia dichiaratamente temporanea e strettamente commisurata all’emergenza pandemica, fondato su di un sistema tanto efficiente quanto rispettoso della privacy e della stessa autodeterminazione in ordine alle scelte vaccinali».
Abrogazione della consegna al datore lavoro
Poiché la «facoltà di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia della certificazione verde, al datore di lavoro, consente a quest’ultimo di evincere anche il presupposto di rilascio della stessa», il presidente del Garante per la protezione dei dati personali, chiede ai parlamentari di fare «una riflessione ulteriore su tale norma», valutando «l’opportunità di una sua abrogazione».
Ratio normativa alterata
Il Garante ha rammentato che è stata «… introdotta una norma (derogatoria del divieto di conservazione dei dati connessi alle verifiche sul certificato) suscettibile di alterare profondamente la ratio del sistema, volta appunto a garantire la massima riservatezza al presupposto di rilascio del green pass. Con la previsione, infatti, della facoltà di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia della certificazione verde, al datore di lavoro, si consente a quest’ultimo di evincere anche il presupposto di rilascio» della certificazione»
Situazione clinica del lavoratore
Il datore di lavoro non deve affatto conoscere lo stato di salute del lavoratore. «…La prevista ostensione (e consegna) del certificato verde a un soggetto, come il datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e convinzioni personali, è infatti poco compatibile con le garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa juslavoristica».
Green pass e i due comunicati stampa dall’ufficio del Garante
In data 10 dicembre, il Garante torna a esprimersi con due comunicati stampa, l’uno riguardante il super green pass e l’altro il green pass base.
Sul Green pass rafforzato
Il Garante afferma chiaramente che «il green pass rafforzato non va chiesto nei luoghi dove la legge non lo prescrive»: è perentorio nel dirlo, e lo fa in seguito alle «…segnalazioni di cittadini che lamentano l’uso da parte di […] datori di lavoro dell’app per il green pass rafforzato invece che la versione base. In questo modo chi ha effettuato un tampone e può quindi legittimamente accedere […] al luogo di lavoro, si vede precluso l’ingresso perché la sua certificazione verde risulterà non valida».
L’Autorità prosegue poi rammentando che «…- come previsto per legge e come chiaramente indicato dalle Faq predisposte dal Ministero della salute – non vi è alcun obbligo di possedere il cosiddetto “Super green pass” per […] i lavoratori…»; pertanto «L’uso della app per il Super green pass per queste categorie di soggetti è dunque illegittimo»
Ma non è tutto, l’Autorità conclude ribadendo che ella aveva «…già indicato al Ministero della salute le misure per evitare l’uso non corretto della funzionalità dell’app di verifica riservata ai green pass rafforzati, in particolare per quanto riguarda l’ambiente lavorativo». Ma, quanto pare, a nulla è servito.
Sul Green pass base
Con altro comunicato, sempre lo scorso 10 dicembre, il Garante comunica che «Con riferimento alle notizie riguardanti l’annunciata revoca del green pass alle persone che, già in possesso delle certificazioni verdi, risultino in seguito positive, il Garante per la protezione dei dati personali ricorda di aver segnalato più volte, nei mesi scorsi, al Ministero della salute i profili critici derivanti da un mancato aggiornamento del certificato verde».
E prosegue affermando che «Già nel provvedimento riportante il parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass del 9 giugno 2021 [doc. web n. 9668064] il Garante aveva messo chiaramente in evidenza che “il collegamento con la Piattaforma nazionale-DGC risulta indispensabile per verificare l’attualità delle condizioni attestate nella certificazione, tenendo conto dell’eventuale variazione delle stesse (es. sopraggiunta positività), con significativi rischi anche in ordine alla reale efficacia della misura di contenimento” con la conseguenza che “solo la Piattaforma nazionale-DGC, attuata nel pieno rispetto delle garanzie previste dalla disciplina di protezione dati e conformemente al parere dell’Autorità, ha infatti le caratteristiche per realizzare, superate le criticità in ordine alla specificazione delle finalità del trattamento sopra riportate, il rilevante obiettivo di interesse pubblico sottostante e può considerarsi proporzionata all’obiettivo legittimo perseguito”. Da ultimo, nella segnalazione a Parlamento e Governo dell’11 novembre, l’Autorità ha sottolineato ancora una volta come l’efficacia a fini epidemiologici del green pass dipenda da verifiche periodiche sulla sua persistente validità, attuabili mediante la piattaforma nazionale DGC per il rilascio delle certificazioni, garantendo così l’esattezza e l’aggiornamento dei dati personali».
In altri termini, il Garante non fa altro che segnalare uno scenario che già si sta profilando, vista l’evoluzione epidemiologica presuntivamente compromessa dalle varianti. Nella pratica, abbiamo positivi al Covid, ma con Green pass valido; ovvero soggetti contagiosi, ma potenzialmente accolti all’interno di un ristorante o di un teatro, in treno o in palestra, ecc.
Non v’è tuttavia da stupirsi dal momento che sempre più spesso, tra i nuovi casi Covid rientrano i vaccinati di lungo corso, con una protezione assai ridotta.
Orbene, il ministero della salute parrebbe «pronto ad attivare il sistema di revoca temporanea della certificazione» attendo che «…il Garante della privacy possa dare il via libera nei prossimi giorni».
Senza contare, però, che la revoca del green pass non è prevista, ad oggi, da alcuna norma, men che meno a livello europeo.
Non a caso, al fondo del comunicato in questione, «Il Garante informa che è appena pervenuto dal Ministero della salute la bozza di Dpcm di modifica del Dpcm del 17 giugno 2021, che tocca anche gli aspetti legati alla revoca dei green pass, sul quale esprimerà il proprio parere con la massima urgenza».
Lo attendiamo con ansia.
Green pass, serve modificare l’app di verifica
Quanto poi all’app, per una questione che riguarda tutti i controlli non solo quelli sul lavoro, il ragionamento del Garante è lineare: se nel controllo dei green pass «l’esclusione della raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione è già prevista in via generale dall’art. 13, comma 5, del dpcm 17 giugno 2021, […] va garantito è che il sistema “a regime” consenta, mediante un’opportuna soluzione informatica, di far corrispondere al “verde” della verifica solo le certificazioni da guarigione o vaccino e, al “rosso”, solo quelle da test». Solo così, secondo Stanzione, «si può assicurare che l’applicazione della norma sulla differenziazione delle certificazioni avvenga senza legittimare l’accesso dei soggetti verificatori ai dati contenuti nel pass e, in particolare, ai presupposti di rilascio».
Il presidente Stanzione nell’esprimere tutte le sue perplessità si sofferma da ultimo sui due percorsi nell’app VerificaC19 la quale «dovrà contenere al suo interno due “percorsi” informatici distinti: il primo, tradizionale, che non distingua tra le tipologie di certificazioni e il secondo che, invece, operi questa differenziazione dando tuttavia solo evidenza dell’esito (verde o rosso anche in questo caso, sia pur sulla base di presupposti distinti)».
Ma vieppiù complessa «è la questione della disciplina transitoria, applicabile cioè sino all’entrata in vigore delle modifiche al DPCM 17 giugno. In questa fase, l’articolo 6, comma 2, del decreto-legge autorizza gli interventi di adeguamento necessari a consentire la verifica del possesso delle sole certificazioni verdi da guarigione o da vaccino». E conclude, «… Non posso, dunque, che auspicare l’adozione quanto più possibile tempestiva delle disposizioni attuative, al fine di introdurre quanto prima la disciplina “a regime”, quella definitiva».
Ce lo auguriamo tutti, specie i “privacysti”.
La questione delle esenzioni
Il Garante vuole risolvere la questione esenzioni, che sono ancora cartacee, con poco rispetto della privacy quindi. Chiede anche il “superamento della disciplina transitoria sull’esenzione da obbligo da green pass che dal 4 agosto viene di volta in volta prorogata” si tratta di un “profilo tutt’altro che marginale”. Per evitare una “indebita rilevazione dei dati del destinatario” occorre associare al sistema dell’app VerificaC19 di controllo della validità della certificazione verde rafforzata anche “la sussistenza di un certificato di esenzione basato su un Qr code che rilevi solo il nominativo e la data di nascita”, una misura che, ha concluso Stanzone, dovrebbe introdurre l’iter parlamentare.
A quanto risulta, il ministero della Salute sta preparando un decreto ministeriale per rendere le esenzioni un QR-Code indistinguibile dal green pass e verificabili anche loro tramite l’app VerificaC19, che andrà modificata di conseguenza.
L’Ok del Garante Privacy alle nuove modalità per revoca e uso Super Green Pass
Lo scorso 14 dicembre, il Garante privacy ha espresso, in via d’urgenza, parere favorevole sull’atteso/presunto schema di decreto del Presidente del consiglio dei ministri.
Con riferimento ai luoghi di lavoro, si legge chiaramente nel comunicato che i datori «…dovranno effettuare controlli periodici sulla validità delle certificazioni verdi consegnate dai lavoratori. […]. Nei casi in cui il lavoratore si avvalga della facoltà di consegnare la certificazione verde al datore di lavoro, quest’ultimo è comunque tenuto a effettuare il regolare controllo sulla perdurante validità, mediante lettura del QR code della copia in suo possesso attraverso l’app VerificaC19 o mediante le previste modalità automatizzate…».
Non poche, come vedremo, sono le implicazioni di ciò tanto sul piano teorico, quanto sul piano pratico-operativo.
Riassunto delle puntate precedenti: le criticità privacy green pass sollevate finora
Posto che la novità più eclatante fosse la facoltà del lavoratore di poter consegnare il Green pass al datore di lavoro per evitare controlli quotidiani, il Garante fin da subito ha solevato come questo potesse costituire un vero e proprio “effetto boomerang” creando da un lato onerose complicazioni operative, e attenuando dall’altro lo scopo protettivo del Green pass, ma soprattutto violando i principi del GDPR.
- Elusione delle finalità di sanità pubblica
Già perché un’esenzione dai controlli, in costanza di validità del Green Pass, comporta una inevitabile elusione delle finalità di sanità pubblica complessivamente sottese al sistema del “green pass”.
- Contrasto tra disposizioni
La conservazione del dato è vietata espressamente dal Considerando 48 del Reg. (UE) 2021/953. Senza contare che dal lato operativo/organizzativo, “Naturalmente, poi, la conservazione dei certificati imporrebbe l’adozione, da parte datoriale, di misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento”;
- Limiti travalicati
Infatti, la conoscenza del dato e relativa attività di trattamento è da precludersi rigorosamente al Datore di lavoro, dal momento che la conoscenza di peculiari condizioni soggettive dei lavoratori (come ad es la situazione clinica e convinzioni personali), non sono affatto compatibili con le tutele in materia di protezione dati, e vieppiù in ordine alla normativa juslavoristica (ex artt. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003);
- Consenso recisamente difettoso
La possibile raccolta di un presunto consenso (implicito) fornito dal lavoratore nel caso in cui costui decidesse di consegnare copia della Certificazione verde, non può certo ritenersi legittimo «sulla base di un presunto consenso implicito del lavoratore che la consegni, ritenendo il diritto sottesovi pienamente disponibile. Dal punto di vista della protezione dei dati personali (e, dunque, ai fini della legittimità del relativo trattamento), il consenso in ambito lavorativo non può, infatti, ritenersi un idoneo presupposto di liceità, in ragione dell’asimmetria che caratterizza il rapporto lavorativo stesso»
Come affrontare i nodi privacy del green pass
Insomma, i nodi privacy del green pass non sono pochi, anche in relazione agli adempimenti da parte dell’azienda che decida/abbia deciso di “accettare” di conservare copia dei Green pass, da parte dei lavoratori che ne abbiano già fatta richiesta.
Si pensi, tra questi:
- redazione di una idonea informativa
- effettuazione di valutazione dei rischi, se non anche di impatto
- predisposizione di un registro ad hoc
- aggiornamento dei registri delle attività di trattamento, oltre a tutto il corredato apparato documentale.
Redazione di una idonea informativa
Occorre dare, e prima di tutto redigere, una informativa specifica che tenga conto oltre che delle finalità anche, ad esempio, della conservazione dei dati.
Badiamo bene che la data retention in generale e a maggior ragione in questo specifico contesto, non è proprio una questione da poco. Anzi, tutt’altro è centrale in quanto, se da un lato il GDPR lascia discrezionalità nella misura in cui si debba indicare il periodo ovvero il criterio nell’informativa per esteso, dall’altro è d’uopo che nei registri sia fornita una indicazione temporale più precisa: per essere accountable.
Effettuazione di valutazione dei rischi, se non anche di impatto
Altro problemino non da poco dal momento che, specie se si tratta di dati particolari e su questo vi è poco da discutere come da indicazioni espresse dallo stesso Garante e pubblicate in GU, occorre effettuare anche una valutazione di impatto e prima ancora aggiornare l’analisi dei rischi.
È il caso di dire…buon lavoro!
Predisposizione di un registro ad hoc
Già, trattandosi di un elenco da conservare, non potrà certo non confezionarsi secondo gli altri massimi principi di cui al GDPR, primo tra tutti la minimizzazione dei dati; che tradotto in concreto significa tener conto, nella strutturazione del documento, di questo aspetto al fine di effettuare il trattamento nella misura strettamente necessaria.
Aggiornamento dei registri delle attività di trattamento, oltre a tutto il corredato apparato documentale
Ultimo ma non ultimo, l’ulteriore adempimento concerne l’aggiornamento del registro dei trattamenti ex art. 30 GDPR, oltre a tutto il corredato apparato documentale. Nello specifico, infatti, occorrerà prevedere/integrare una riga di trattamento o quanto di necessario, che contempli questo tipo di attività (di trattamento); non di meno, la macchina privacy – lato organizzativo dovrà mettersi in moto, come si conviene: lettere di nomina/designazione potenziate, individuazione degli autorizzati coinvolti, formazione adeguata, ecc.
I proclami, in conclusione
Concludiamo con un’opinione che “la dice lunga”. Il Presidente proclama che «… il cittadino non sarà lasciato solo […] È ora particolarmente importante – omissis – che, nel prosieguo dell’iter parlamentare, siano mantenute le garanzie necessarie ad assicurare un congruo bilanciamento tra le esigenze di sanità pubblica e la riservatezza individuale, il cui rapporto non è di aut-aut ma, semmai, di sinergia».
Speriamo che tutte queste preziose considerazioni siano prese in seria considerazione da parte del ns Legislatore, agendo per conseguenza.