Il Garante Privacy torna sul tema del rispetto della normativa sul trattamento dei dati personali nella procedura di verifica del green pass, pubblicando alcune precisazioni.
Nello specifico si ricorda che la sola applicazione autorizzata al controllo delle certificazioni è quella messa a disposizione dal Ministero della salute e che non rispetta le norme l’utilizzo di altre applicazioni che trattano i dati in maniera non conforme a quanto previsto per legge.
Le uniche modalità alternative per il controllo sono:
- l’utilizzo di un pacchetto di sviluppo per applicazioni rilasciato dal ministero della Salute (con licenza open source), da integrare nei sistemi di controllo degli accessi,
- l’utilizzo del servizio presente sul portale Inps (Greenpass 50+), a disposizione dei datori di lavoro con più di 50 dipendenti.
Il rispetto delle procedure prevede i seguenti adempimenti.
Il datore di lavoro è tenuto a redigere un’apposita informativa sul trattamento dei dati personali. Il documento deve essere consegnato ai soggetti oggetto delle verifiche o deve essere esposto in prossimità dei punti di accesso perché i soggetti interessati possano prenderne visione.
Si ricorda che i dati personali trattati in fase di verifica sono:
- generalità del lavoratore,
- validità, integrità e autenticità del green pass o di una certificazione equivalente,
- eventuali informazioni in merito allo stato di soggetto esente da vaccinazione anti Covid-19, riportate nella certificazione di esenzione dalla vaccinazione.
Il trattamento viene svolto per adempiere alla finalità di prevenzione dal contagio da Covid-19 (articolo 9-septies del Dl 52/2021) e a quella di controllo dell’autenticità, validità e integrità della certificazione verde Covid-19 o della certificazione equivalente, compresa quella di esenzione dalla vaccinazione anti Covid.
La base giuridica su cui si fonda il trattamento è l’adempimento di un obbligo legge.
Altro passaggio che il datore di lavoro deve compiere riguarda la nomina degli incaricati alle verifiche del green pass.
Questi soggetti devono essere incaricati allo svolgimento dei trattamenti dei dati personali connessi all’esercizio delle verifiche di cui sopra e gli devono essere fornite le istruzioni per i controlli.
Se la verifica del green pass è effettuata da un soggetto esterno (ad esempio quando il controllo è effettuato da una società esterna cui sia appaltato il servizio di custodia e vigilanza), costui dovrà essere nominato responsabile esterno del trattamento in base all’articolo 28 del Gdpr.
In conseguenza di ciò, il datore di lavoro deve anche aggiornare il Registro dei trattamenti (articolo 30 del Gdpr), includendo i trattamenti di visualizzazione dati dei dipendenti e di tutti gli altri soggetti che accedono ai luoghi di lavoro.
Il Garante ribadisce che il controllo dei green pass non deve comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari all’applicazione delle conseguenti misure.
Pertanto, resta dubbia la possibilità di redazione di elenchi dei soggetti sottoposti a verifica.
Di sicuro non sono leciti:
- la conservazione del QR code delle certificazioni verdi, né di altre metodologie di estrapolazione dello stesso;
- la conservazione di copie cartacee dei green pass, né di screenshot o fotografie del green pass.
Per chiarimenti, aggiornamenti o approfondimenti consigliamo di consultare l’apposita sezione del sito del Garante Privacy.
