Quali obblighi privacy derivano dalla conservazione del green pass ora possibile?

Una recente modifica normativa consente la conservazione di copia del certificato del green pass con notevoli conseguenze in termini di compliance privacy.

Con la pubblicazione in Gazzetta Ufficiale della Legge 19 novembre 2021 n. 165 di conversione del Decreto Legge sul green pass obbligatorio sul luogo di lavoro è stata introdotta la possibilità per il lavoratore di chiedere al proprio datore di lavoro di consegnare copia del proprio green pass.

Questa condotta era severamente vietata dalla precedente disciplina che consentiva unicamente i controlli tramite la visualizzazione del certificato del green pass, senza la conservazione di alcuna informazione relativa allo stesso.

La consegna del certificato del green pass comporta che, durante la validità dello stesso, i dipendenti siano esonerati dai relativi controlli. Ciò può comportare un notevole vantaggio operativo per il datore di lavoro, ma anche dei gravosi nuovi obblighi ai sensi della normativa sul trattamento dei dati personali che possono essere elencati come segue:

  1. aggiornamento dell’informativa sul trattamento dei dati personali da mettere a disposizione degli individui oggetto dei controlli, con la modifica in particolare del termine di conservazione dei dati;
  2. modifica delle nomine degli incaricati o responsabili del trattamento che eseguiranno i controlli e della procedura interna di gestione dei controlli;
  3. adozione di misure di sicurezza stringenti per la raccolta e la conservazione dei certificati relativi al green pass. In particolare, il datore di lavoro dovrà decidere (i) se conservarli in formato cartaceo o elettronico, (ii) chi avrà diritto di accedere ai certificati e come proteggere questa documentazione dall’accesso di terzi non autorizzati e (iii) se opta per la conservazione in formato elettronico (e.g. su una piattaforma cloud o di un fornitore terzo), valutare se ciò comporta un trasferimento di dati al di fuori dello SEE. Inoltre, poichè non si dovrà chiedere il green pass a chi lo ha già consegnato durante il periodo di validità dello stesso, si dovrà creare anche un database che definisce i relativi termini di durata a cui le sopra citate misure di sicurezza dovranno essere applicabili;
  4. esecuzione di una valutazione di impatto, il c.d. data protection impact assessment o DPIA sul processo di verifica dei green pass, visti i nuovi trattamenti che emergono dalla modifica normativa; e
  5. aggiornamento del registro dei trattamenti, dove si dovrà dar conto non solo della visualizzazione, ma anche della registrazione del green pass e conservazione del relativo certificato.

E’ interessante notare come la norma preveda unicamente il diritto dei lavoratori di consegnare il certificato del green pass, ma non la possibilità per il datore di lavoro di richiederne la consegna. Questo vuol dire che ci potrà essere una sorta di doppio regime applicabile tra chi decide di consegnarlo e chi preferisce farselo controllare ogni giorno. Allo stesso modo, se il lavoratore chiede di consegnare il suo green pass, il datore di lavoro si troverà in difficoltà nel negare questa possibilità.

Questa modifica normativa aveva già comportato la reazione del Garante per la protezione dei dati personali che si era opposto alla stessa, inviando una segnalazione al Parlamento. Tuttavia, il Parlamento ha deciso di procedere in questa direzione, il che rende ancora più rilevante l’esigenza di conformarsi con gli obblighi di compliance privacy nella conservazione del certificato del green pass. Infatti, i rischi di contestazione in caso di data breach che impatti sui certificati green pass sarebbe elevato.

Su di un simile argomento, può essere utile l’infografica “Cosa FARE e cosa NON FARE con il green pass obbligatorio sul luogo di lavoro” di circa un mese fa in cui non tenevamo però conto della recente modifica normativa.