Trattamento di dati personali finalizzati alla verifica del rispetto dell’obbligo vaccinale e del possesso della certificazione verde (green pass)
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
Massima (1) – I trattamenti di dati personali finalizzati alla verifica del rispetto dell’obbligo vaccinale e del possesso della c.d. certificazione verde per l’accesso ai luoghi di lavoro devono necessariamente svolgersi in maniera distinta al fine di assicurare un trattamento lecito, corretto e trasparente, limitato alle finalità determinate, esplicite e legittime, ex art. 5 GDPR.
Massima (2) – I trattamenti effettuati per la verifica dell’obbligo vaccinale, nei casi previsti dalla legge, devono essere tenuti separati da quelli effettuati per la verifica quotidiana del possesso della certificazione verde Covid-19 per l’accesso alle sedi di lavoro, nel rispetto delle condizioni e dei limiti previsti da norme distinte che, in modo diverso, concorrono al contenimento dell’epidemia da Covid-19 e allo svolgimento in sicurezza delle attività lavorative, economiche e sociali.
Massima (3) –Le diverse verifiche – quella relativa all’obbligo vaccinale e quella relativa al possesso della certificazione verde (green pass) – devono, nel rispetto sia dei principi di protezione dei dati che del quadro normativo di settore, essere effettuate con una diversa cadenza. Diversamente dalle verifiche relative al possesso di una valida certificazione verde, non può ritenersi giustificata l’esecuzione di verifiche relative all’assolvimento dell’obbligo vaccinale con cadenza ravvicinata (quotidiana o, comunque, frequente), assicurando in ogni caso il trattamento di dati esatti e aggiornati, ai sensi dell’art. 5, par. 1, lett. d), GDPR.
Provvedimento: GPDP, Docweb n. 9727220 del 13 dicembre 2021
Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9727220
Keywords: Certificazione verde, Covid-19, green pass, obbligo vaccinale, vaccinazione anti-SARS-CoV-2, interessato, valutazione d’impatto, trattamento, base giuridica del trattamento, finalità del trattamento, parere Garante protezione dei dati personali, Piattaforma nazionale – D.G.C., soggetti privacy, titolare del trattamento, responsabile del trattamento, incaricato del trattamento, informativa, minimizzazione dei dati, privacy by design, privacy by default, trasparenza, limitazione della finalità, esattezza, aggiornamento, dati sanitari, lavoratori, controllo sui luoghi di lavoro.
Riferimenti normativi: decreto-legge 1 aprile 2021, n. 44; decreto-legge 22 aprile 2021, n. 52; decreto del Presidente, del Consiglio dei Ministri 17 giugno 2021; decreto-legge 6 agosto 2021, n. 111; decreto-legge 26 novembre 2021, n. 172; l. 20 maggio 1970, n. 300; d.Lgs. 10 settembre 2003, n. 276; artt. 5, 6, 9, par. 2, lett. b) e g), 13, 14, 24, 25, 28, 29, 32, par. 4, 80, 88 del G.D.P.R.; artt. 2-sexies, 2-decies, 2-quaterdecies, 113 del Codice in materia di protezione dei dati personali.
Data del commento: 25 aprile 2022
Massime e Commento di Alice Incerti
1. Il caso
Il Ministero della salute, con nota dello scorso 10 dicembre 2021, ha trasmesso al Garante per la protezione dei dati personali lo schema di decreto del Presidente del Consiglio dei Ministri, da adottarsi, ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, al fine di dare applicazione alle disposizioni di cui al decreto-legge 26 novembre 2021, n. 172. Nella nota di trasmissione sopraccitata, il Ministero della salute richiedeva al Garante un parere in via d’urgenza in considerazione dell’applicabilità, già a decorrere dal 15 dicembre 2021, di alcune delle disposizioni del citato d.l. n. 172/2021 avuto riguardo sia al necessario possesso delle cc.dd. certificazioni verdi Covid-19 che alla vigenza dell’obbligo vaccinale per talune categorie di lavoratori.
Lo schema di decreto, trasmesso all’Autorità Garante, si compone di soli due articoli e di sette allegati. In particolare, è l’art. 1 ad introdurre molteplici modifiche a numerosi articoli del decreto del Presidente del Consiglio dei Ministri del 17 giugno 2021, aggiornandolo alla luce delle recenti disposizioni normative prevedendo l’estensione dell’obbligo vaccinale anti-SARS-Cov-2 per ulteriori categorie di lavoratori e casi in cui la fruizione di servizi, lo svolgimento di attività e gli spostamenti sono consentiti esclusivamente ai soggetti in possesso di una certificazione verde Covid-19 di avvenuta vaccinazione o guarigione (c.d. green pass rafforzato).
2. Le questioni
Il Garante per la protezione dei dati personali osserva come lo schema di decreto in questione miri a disciplinare due tipologie di trattamenti di dati personali, distinguendo quello finalizzato alla verifica del rispetto dell’obbligo vaccinale, previsto per talune categorie di lavoratori, e quello, invece, finalizzato alla verifica del possesso delle cc.dd. certificazioni verdi Covid-19 d’avvenuta vaccinazione o guarigione. L’Autorità osserva come tali trattamenti presentino pericolosità elevate per i diritti e le libertà degli interessati, essendo effettuati peraltro su larga scala ed aventi ad oggetto dati relativi alla salute di interessati, anche vulnerabili, con possibili conseguenze discriminatorie, anche indirette, che potrebbero determinarsi nel contesto lavorativo del soggetto interessato.
L’Autorità evidenzia come sia necessario, al fine di assicurare un trattamento lecito, corretto e trasparente, limitato alle finalità determinate, esplicite e legittime, stabilite dal richiamato quadro giuridico (art. 5, par. 1, lett. a) e b), del Regolamento UE n. 2016/679), che la verifica dell’assolvimento dell’obbligo vaccinale sia mantenuta distinta dalla quotidiana verifica del possesso della certificazione verde Covid-19 per l’accesso ai luoghi di lavoro. Come già chiarito in molteplici occasioni dalla stessa Autorità, infatti, la finalità di accertamento dei requisiti previsti dalle disposizioni di settore per lo svolgimento di talune professioni o mansioni deve comunque essere mantenuta distinta dalle diverse, ancorché complementari, finalità di tutela della salute e della sicurezza dei luoghi di lavoro. Il quadro normativo deve quindi garantire, anche attraverso l’adozione di idonee misure tecniche e organizzative, che i sopraccitati trattamenti siano tenuti separati e che siano posti in essere nel rispetto delle condizioni e dei limiti previsti da norme differenti che, in modo diverso, concorrono al contenimento dell’epidemia da Covid-19 e allo svolgimento in sicurezza delle attività lavorative, economiche e sociali. Pertanto, le diverse verifiche devono, nel rispetto sia dei principi di protezione dei dati che del quadro normativo di settore, essere effettuate con una diversa cadenza assicurando in ogni caso il trattamento di dati esatti e aggiornati (art. 5, par. 1, lett. d), del Regolamento UE n. 2016/679).
2.1. I trattamenti di dati personali finalizzati alla verifica del rispetto dell’obbligo vaccinale previsto per alcune categorie di lavoratori.
Al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nel lavoro e nell’erogazione delle prestazioni di cura e assistenza, l’art. 4 del d.l. n. 44/2021 ha previsto che la vaccinazione anti-SARS-CoV-2 costituisce, per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario, «requisito essenziale per l’esercizio della professione e per lo svolgimento delle prestazioni lavorative». Successivamente, il d.l. n. 111/2021 ha esteso tale obbligo vaccinale a tutti i soggetti, anche esterni, che svolgono, a qualsiasi titolo, la propria attività lavorativa nelle strutture residenziali, socio-assistenziali e socio-sanitarie, nonché nelle strutture semiresidenziali e che, a qualsiasi titolo, ospitano persone in situazione di fragilità. Da ultimo, il d.l. n. 172/2021 ha introdotto dal 15 dicembre 2021 il predetto obbligo vaccinale ad ulteriori categorie di lavoratori, quali il personale della scuola, del comparto difesa (a riguardo, si è poi chiarito che l’ambito di applicazione dell’obbligo vaccinale si riferisce al solo personale militare e non anche a quello amministrativo civile), sicurezza e soccorso pubblico, della polizia locale, degli organismi di cui alla l. n. 124/2007, delle strutture sanitarie di cui all’art. 8-ter, del d.lgs. n. 502/1992 e degli istituti penitenziari. Lo stesso d.l. n. 172/2021 ha inoltre previsto che l’adempimento dell’obbligo vaccinale anti-SARS-CoV-2, a far data dal 15 dicembre 2021, comprende altresì la somministrazione della c.d. dose di richiamo (c.d. booster), secondo le indicazioni e i termini previsti dal Ministero della salute.
Avuto riguardo a tutte le sopraccitate categorie professionali, il Garante osserva come la vaccinazione anti-SARS-CoV-2 costituisce, come più sopra rimarcato e per espressa previsione di legge «requisito essenziale per lo svolgimento delle attività lavorative» e che le verifiche in merito all’adempimento del presente obbligo, da effettuarsi con le modalità di cui al D.P.C.M. 17 giugno 2021, siano rimesse, rispettivamente, ai datori di lavoro, ai responsabili delle istituzioni presso cui tali categorie di interessati prestano servizio, ai dirigenti scolastici e agli altri soggetti tenuti ai predetti accertamenti.
A riguardo, l’Autorità precisa che, in via generale, il trattamento dei dati personali in ambito lavorativo deve avvenire nel rispetto della normativa in materia di protezione dei dati personali, della disciplina nazionale di settore, ma anche delle norme preesistenti che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro, a norma dell’art. 88 del Regolamento UE n. 2016/679, e in particolare delle norme che stabiliscono il divieto per il datore di lavoro di acquisire o comunque “trattare” dati relativi alla salute o alla sfera privata e alle convinzioni personali che «non [siano] attinenti alla valutazione dell’attitudine professionale del lavoratore». Così si esprime, infatti, l’art. 113 del Codice in materia di protezione dei dati personali che rinvia, da un lato, all’art. 8 della l. 20 maggio 1970, n. 300 (c.d. Statuto dei lavoratori) e, dall’altro, all’art. 10 del d.lgs. 10 settembre 2003, n. 276 (c.d. riforma Biagi).
Lo stesso Garante ha peraltro più volte ribadito che, anche nel periodo emergenziale, sulla base della regolamentazione attualmente in vigore e stante la libertà di scelta da parte delle persone in ambito vaccinale, il datore di lavoro non è legittimato a trattare i dati personali relativi alla vaccinazione anti-SARS-CoV-2 dei dipendenti, né è consentito far derivare alcuna conseguenza, positiva o negativa, in ragione della scelta del lavoratore in ordine all’adesione o meno alla campagna vaccinale. Chiaramente tale limitazione non ricorre con riguardo a quelle categorie di lavoratori per i quali la normativa di settore abbia stabilito specifici requisiti professionali ritenuti essenziali per accedere e per svolgere determinate attività lavorative, quale ad esempio il caso della vaccinazione anti-SARS-CoV-2, avuto riguardo alle ipotesi in cui il legislatore nazionale ha, in modo selettivo, ritenuto giustificato, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, porre tale vaccinazione come specifico requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni in ragione della “natura” delle attività di cui trattasi e del “contesto” in cui vengono espletate le stesse. In tal modo, si è peraltro già espresso il Consiglio di Stato, III sezione, con sentenza n. 7045 del 20 ottobre 2021, rimarcando come «la vaccinazione obbligatoria selettiva (…) risponde ad una chiara finalità di tutela non solo – e anzitutto – di questo personale sui luoghi di lavoro (…) [ma anche dei] pazienti e degli utenti» di tali categorie professionali.
In tali casi quindi, il Garante ribadisce come le richiamate norme di settore e la relativa disciplina di attuazione stabiliscano limiti e condizioni per la verifica dell’adempimento dell’obbligo vaccinale dei lavoratori interessati, regolando le modalità per comprovarlo, i casi in cui la vaccinazione del personale possa essere omessa o differita, nonché le conseguenze, anche relative al rapporto di lavoro, in caso di mancata sottoposizione alla vaccinazione. Tali norme costituiscono la base giuridica dei trattamenti di dati effettuati dai datori di lavoro e dagli altri soggetti tenuti ai controlli (artt. 5, 6 e 9, par. 2, lett. b) e g), del Regolamento UE n. 2016/679 ed art. 2-sexies del Codice in materia di protezione dei dati personali).
A riguardo, lo schema di decreto sottoposto al Garante prevede che il Ministero, previa richiesta, renda disponibili, ai datori di lavoro, alle strutture e agli altri soggetti tenuti a effettuare i controlli specifiche funzionalità per la verifica automatizzata del rispetto dell’obbligo vaccinale, sulla base delle informazioni trattate nell’ambito della P.N. – D.G.C., con riguardo ai diversi contesti lavorativi e alle specifiche categorie di lavoratori. Tali funzionalità consentono di effettuare le predette verifiche in relazione ai lavoratori effettivamente in servizio mostrando un’informazione di tipo booleano relativa al rispetto dell’obbligo vaccinale non rendendo, in ogni caso, disponibili le eventuali ulteriori informazioni conservate, o comunque trattate, nell’ambito della PN-DGC. È il caso ad esempio delle funzionalità rese disponibili all’interno del portale istituzionale I.N.P.S., della piattaforma NoiPA, del sistema informativo dell’istruzione e delle diverse federazioni nazionali degli esercenti le professioni sanitarie.
Lo schema di decreto esaminato dal Garante prevede, infine, quale ipotesi residuale, che la verifica dell’adempimento dell’obbligo vaccinale per tutti coloro che, in ragione di un qualsiasi titolo, diverso dal rapporto di lavoro subordinato, svolgano una attività lavorativa nelle strutture sanitarie, residenziali, socio-assistenziali e assimilate o presso gli istituti penitenziari, sia effettuata mediante esibizione da parte dei lavoratori interessati dei documenti rilasciati, in formato cartaceo o digitale, dalle strutture sanitarie pubbliche e private, dalle farmacie, dai medici di medicina generale e dai pediatri di libera scelta, che attestano il rispetto dell’obbligo vaccinale. La medesima modalità di verifica è prevista altresì con riguardo a tutte le categorie di interessati soggetti all’obbligo vaccinale, nelle more dell’aggiornamento delle informazioni trattate nell’ambito della P.N.-D.G.C. A riguardo, l’Autorità Garante rileva che tale modalità di verifica non è espressamente prevista per gli esercenti le professioni sanitarie. Al fine di assicurare agli interessati una condizione di parità rispetto agli altri lavoratori soggetti al medesimo obbligo, il Garante ritiene necessario che la possibilità di comprovare la sussistenza del requisito professionale in questione, anche in caso di mancato aggiornamento della P.N.-D.G.C. sia applicabile anche a questa categoria di interessati (gli esercenti le professioni sanitarie), specie in ragione delle previste conseguenze che la legge riconduce al mancato adempimento dell’obbligo vaccinale.
Il Garante infine esamina le ulteriori misure previste a tutela dei diritti e delle libertà degli interessati in tale particolare tipologia di trattamento di dati personali. In particolare, si rimarca la necessità della corretta individuazione del ruolo assunto dai soggetti coinvolti nei trattamenti connessi alla verifica del rispetto dell’obbligo vaccinale, al fine di assicurare la trasparenza nei confronti degli interessati e di consentire una chiara ripartizione degli obblighi e delle responsabilità previste dal Regolamento UE n. 2016/679. In particolare, viene precisato che i soggetti tenuti ad effettuare i controlli, quali in particolare, datori di lavoro, strutture sanitarie, uffici scolastici regionali e scuole statali, ordini professionali e il Ministero della salute operano in qualità di titolari del trattamento e che gli altri soggetti coinvolti nel processo di verifica sopra descritto (I.N.P.S., Ministero dell’economia e delle finanze, con riguardo alla funzionalità resa disponibile sulla Piattaforma NoiPA, il Ministero dell’Istruzione, con riguardo alla funzionalità resa disponibile tramite il S.I.D.I., e le federazioni nazionali degli ordini degli esercenti le professioni sanitarie) agiscono in qualità di responsabili del trattamento ai sensi degli artt. 5, par. 2, 24 e 28 del Regolamento UE n. 2016/679. Il personale autorizzato alla verifica dovrà, invece, condurre quest’ultima in ragione di un atto formale di incarico recante le necessarie istruzioni da impartire in relazione ai trattamenti connessi alle verifiche a loro affidate (artt. 29 e 32, par. 4, del Regolamento UE n. 2016/679 e 2-quaterdecies del Codice in materia di protezione dei dati personali). Tali verifiche dovranno, precisa il Garante, svolgersi in ragione dell’adozione di misure volte a garantire che vengano trattati i soli dati strettamente necessari alla verifica del rispetto dell’obbligo vaccinale e all’eventuale applicazione delle misure previste, per le diverse categorie di lavoratori interessati, dalle rispettive diposizioni di settore in relazione al mancato assolvimento dell’obbligoin questione, nel rispetto dei principi di minimizzazione e di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) [artt. 5, par. 1, lett. c), 25 e 88 del Regolamento UE n. 2016/679 e art. 113 del Codice in materia di protezione dei dati personali].
Dovrà essere altresì prevista l’adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai possibili rischi derivanti dal trattamento, assicurando, in particolare, che le operazioni di verifica del rispetto dell’obbligo vaccinale da parte dei soggetti tenuti ai controlli, siano oggetto di registrazione in appositi log, da conservarsi per soli dodici mesi, ad eccezione dell’esito delle singole verifiche, nel rispetto dei principi di integrità e riservatezza nonché di protezione dei dati fin dalla progettazione (privacy by desing) e per impostazione predefinita (privacy by default) [artt. 5, par. 1, lett. f), 25 e 32 del Regolamento UE n. 2016/679].
Fondamentale, precisa il Garante, è altresì la descrizione accurata delle operazioni e delle modalità di trattamento al fine di assicurare un trattamento lecito, corretto e trasparente per i soggetti interessati [artt. 5, par. 1, lett. a), 6 e 9 del Regolamento UE n. 2016/679]. Il personale interessato dal processo di verifica (leggasi “interessato del trattamento”) dovrà essere opportunamente informato dal proprio datore di lavoro, ovvero dal soggetto tenuto a effettuare la verifica stessa, sul trattamento dei dati personali che lo riguardano attraverso una specifica informativa od anche mediante una comunicazione resa alla generalità degli interessati [artt. 5, par. 1, lett. a), 13 e 14 del Regolamento UE n. 2016/679].
Il Garante ha infine richiamato l’attenzione sulla necessità di stabilire modalità uniformi per l’annotazione sull’albo dei diversi ordini professionali della sospensione dall’esercizio della professione sanitaria nel caso di accertamento della mancata vaccinazione. In particolare, al fine di evitare la diffusione, anche online, di informazioni particolarmente delicate relative al professionista, tale annotazione dovrebbe essere effettuata con la sola menzione dell’intervenuta sospensione, senza ulteriori specificazioni, dalle quali sia possibile risalire alla violazione dell’obbligo vaccinale.
2.2. I trattamenti di dati personali finalizzati alla verifica delle cc.dd. certificazioni verdi Covid-19 di avvenuta vaccinazione o guarigione.
Com’è noto, il d.l. n. 172/2021, modificando l’art. 9-bis del d.l. n. 52/2021 che disciplina l’impiego delle certificazioni verdi Covid-19, ha indicato le tipologie di servizi, attività e spostamenti per le quali, a decorrere dal 29 novembre 2021, è richiesto il possesso di una certificazione verde Covid-19 di avvenuta vaccinazione o guarigione (c.d. super green pass o green pass rafforzato).
A riguardo, lo schema di decreto sottoposto all’esame del Garante individua le modalità attraverso le quali, nei predetti casi, è possibile effettuare la verifica del possesso di tali tipologie di certificazioni attraverso l’app VerificaC19, il pacchetto di sviluppo per applicazioni e librerie software e le soluzioni da esse derivate. In particolare, fra le misure individuate per tutelare, anche attraverso tale differenziata modalità di controllo delle certificazioni verdi, i diritti e le libertà fondamentali degli interessati, il Garante ha richiesto che, nell’ipotesi in cui venga seleziona la modalità di verifica “rafforzata” nel sistema di verifica automatizzato, il verificatore non visualizzi in alcun modo la condizione (vaccinazione o guarigione) che ha determinato l’emissione della certificazione verde c.d. super. Correttamente, quindi, lo schema di decreto dispone che i soggetti deputati alla verifica del possesso delle certificazioni verdi, oltre a dover essere appositamente autorizzati dal titolare del trattamento, ai sensi degli artt. 29 e 32, par. 4, del Regolamento UE n. 2016/679 e 2-quaterdecies del Codice in materia di protezione dei dati personali, devono anche essere specificamente istruiti in merito alla possibilità di utilizzare la modalità di verifica “rafforzata” esclusivamente nei casi in cui la fruizione di servizi, lo svolgimento di attività e gli spostamenti siano consentiti dalla vigente legislazione ai soggetti muniti delle suddette certificazioni.
Il Garante ha altresì evidenziato l’opportunità di adottare misure tecniche volte a garantire che possa essere facilmente riconoscibile la modalità di verifica utilizzata dal verificatore (“base” o “rafforzata”), con specifici elementi testuali, grafici e visivi come, ad esempio, diciture, simboli e colori differenziati, nel rispetto dei principi di trasparenza e di limitazione della finalità del trattamento.
Nel provvedimento in esame, l’Autorità ha nuovamente evidenziato l’estrema importanza dell’istituto della revoca della certificazione verde, considerando la stessa essenziale per garantire l’efficacia dell’azione di sanità pubblica, realizzata attraverso l’uso delle certificazioni verdi e, al contempo, per assicurare l’esattezza e l’aggiornamento dei dati personali trattati dalla P.N.-D.G.C.: l’eventuale variazione dei presupposti per il rilascio della certificazione verde (quale ad es. la sopraggiunta positività dell’interessato) determina infatti rischi rilevanti, sia in ordine alla correttezza del trattamento dei dati personali, che alla reale efficacia della misura di contenimento pandemico. È sulla base di tali considerazioni che il Garante, già in precedenti pareri adottati in materia, ha reputato proporzionata l’acquisizione da parte della P.N.-D.G.C. dei dati relativi alla positività al SARS-CoV-2 di un interessato in possesso di certificazione verde, proprio al fine di assicurarne la revoca in tempi rapidi.
Lo schema di decreto in esame introduce inoltre diverse misure a tutela della salute pubblica e della sicurezza nei luoghi di lavoro, nell’ipotesi di eventuale consegna da parte del lavoratore al datore di lavoro di una copia della propria certificazione verde Covid-19 prevedendo, comunque, la verifica quotidiana, da parte del datore di lavoro, della perdurante validità della stessa. Più volte il Garante ha rimarcato che l’eventuale assenza di verifiche sulla validità della certificazione verde depositata non consente di rilevare l’eventuale occorrenza di una condizione che ne ha determinato la revoca (quale ad es. l’ipotesi di positività sopravvenuta in capo al lavoratore che ha volontariamente consegnato la certificazione verde), determinando una lesione del principio di esattezza cui deve informarsi il trattamento dei dati personali e, al contempo, una sostanziale elusione delle finalità di sanità pubblica.
A riguardo, in ragione del fatto che la certificazione verde Covid-19 e il QR code contengono numerosi dati personali, anche relativi alla salute degli interessati e, tra questi, anche la specifica causale in ragione della quale è stata rilasciata la certificazione (vaccinazione, guarigione, tampone con esito negativo) nonché altre informazioni di dettaglio (ad esempio, il numero di dosi somministrate, il tipo ed il lotto del vaccino, il tipo di tampone effettuato – antigenico o molecolare – la data del primo tampone con esito positivo), il Garante continua a evidenziare i rischi che la prevista consegna del certificato verde pone rispetto alle garanzie previste dalla disciplina di protezione dati e dalla normativa di settore a tutela della dignità e della libertà nei luoghi di lavoro. Al datore di lavoro dovrebbe infatti essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori, come la situazione clinica e le convinzioni personali. Nei casi in cui il lavoratore si avvalga comunque della facoltà di consegnare la propria certificazione verde, il trattamento dei dati personali da parte del datore di lavoro deve in ogni caso essere limitato alla sola finalità di verifica della perdurante validità della certificazione, nel rispetto del principio di limitazione della finalità [art. 5, par. 1, lett. b) del Regolamento UE n. 2016/679], non essendo ammessi trattamenti per finalità ulteriori rispetto a quelle previste dalla norma (art. 2-decies del Codice in materia di protezione dei dati personali). Lo stesso trattamento dovrà essere effettuato adottando misure tecniche ed organizzative tese ad assicurare l’integrità e la riservatezza dei dati, tenuto conto dei rischi e delle possibili conseguenze per gli interessati nel contesto lavorativo e professionale.
L’art. 9-bis, co. 3, della l. n. 87/2021 ha previsto, inoltre, che le disposizioni relative all’uso delle certificazioni verdi non si applichino ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica, rilasciata secondo i criteri definiti con circolare del Ministero della salute, il cui trattamento in modalità digitale dovrà avvenire nel rispetto di specifiche tecniche, da definirsi con D.P.C.M., al fine di consentirne la verifica digitale e per assicurare contestualmente la protezione dei dati personali in esse contenuti.
Nel provvedimento in esame, il Garante continua a ritenere prioritario intervenire al fine di assicurare che i soggetti esenti dalla vaccinazione per motivi di salute, in caso di accesso ai servizi e alle attività per le quali è richiesta la certificazione verde, possano presentare un documento digitale dotato di QR code che, attraverso l’uso dei sistemi di verifica previsti dalla normativa vigente, riveli le medesime informazioni delle certificazioni verdi Covid-19, ovvero quelle relative all’autenticità, alla validità e all’integrità della stessa e alle generalità dell’interessato, senza che siano anche visibili le informazioni che ne hanno determinato l’emissione. Tali considerazioni risultano ancor più rilevanti in ragione dell’estensione dell’uso delle certificazioni verdi Covid-19 per l’accesso ai luoghi di lavoro.
Lo schema di decreto in esame, infine, al fine di favorire un rapido accesso alle certificazioni verdi Covid-19 generate dalla P.N.-D.G.C., prevede che le suddette certificazioni possano essere rese disponibili agli interessati anche per il tramite di «laboratori pubblici e privati accreditati» e di «professionisti sanitari e operatori di interesse sanitario». Specie per mitigare i rischi di divulgazione non autorizzata e di accesso illecito ai dati personali presenti nelle certificazioni verdi, l’Autorità ritiene necessario che vengano definiti in modo puntuale i soggetti che rientrano in tali categorie prima di procedere all’autorizzazione degli stessi quali intermediari abilitati al recupero dei green pass su richiesta dell’interessato.
3. Precedenti
Il Garante per la protezione dei dati personali, nel mentre dell’emergenza pandemica, ha reso molteplici pareri sugli atti normativi predisposti in merito. Tra i provvedimenti più significatici, in ragione del presente commento, si vedano ad esempio GPDP, Docweb n. 9668064 del 9 giugno 2021, parere sul Decreto Presidente del Consiglio di attuazione della piattaforma nazionale D.G.C. per l’emissione, il rilascio e la verifica del green pass; GPDP, Docweb n. 9683814 del 22 luglio 2021, provvedimento del 22 luglio 2021 – Avvertimento Regione Siciliana; GPDP, Docweb n. 9694010 del 31 agosto, parere sullo schema di decreto concernente Misure recanti modifiche ed integrazioni alle disposizioni attuative dell’art. 9, co. 10, del decreto legge 22 aprile 2021 n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19», ; GPDP, Docweb n. 9707431 dell’11 ottobre 2021, parere sullo schema di decreto concernente «Modifiche al d.P.C.M. 17 giugno 2021, recante Disposizioni attuative dell’articolo 9, comma 10, del d.l. n. 52/2021, Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19»; GPDP, Docweb n. 9717878 dell’11 novembre 2021, segnalazione al Parlamento e al Governo sul Disegno di legge di conversione del decreto-legge n. 127 del 2021 (AS 2394), in relazione alla possibilità di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia della certificazione verde, al datore di lavoro, con la conseguente esenzione, dai controlli, per tutta la durata della validità del certificato; GPDP, Docweb n. 9725434 del 7 dicembre 2021, memoria del Presidente del GPDP Prof. Pasquale Stanzione – AS 2463 – Conversione in legge del d.l. n. 172/2021 recante «Misure urgenti per il contenimento dell’epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali».
4. Bibliografia
Sulla liceità del trattamento, si vedano in particolare F. Bravo, Le condizioni di liceità del trattamento, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia, Torino, 2019, pp. 110 ss.; G. Mulazzani, Il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia, cit., pp. 194 ss.; D. Poletti, Comm. sub. art. 6 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, pp. 191 ss.; F. Cardarelli, Comm. sub. art. 6 GDPR, in R. D’Orazio-G. Finocchiaro- O. Pollicino- G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 1011 ss.
Sui principi applicabili al trattamento dei dati personali, si vedano in particolare G. Malgeri, Comm. sub. art. 5 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 176 ss.
Sul trattamento di categorie di dati particolari, si vedano in particolare A. Thiene-L. Scaffardi, Comm. sub. art. 9 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 239 ss.; F. Cortese, Comm. sub. art. 2-sexies D.lgs. n. 196/2003, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 1043 ss.; A. Cataleta, Categorie particolari di dati: le regole generali e i trattamenti specifici, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia, cit., pp. 204 ss.; A. Mulazzani, Il trattamento di categorie particolari di dati personali, necessario per motivi di pubblico interesse rilevante, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia, cit., pp. 229 ss.Sul trattamento dei dati nell’ambito dei rapporti di lavoro, si vedano in particolare C. Del Federico, Il trattamento dei dati nell’ambito dei rapporti di lavoro, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia, cit., pp. 895 ss.; S. Ciucciovino, Comm. sub. art. 88 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 947 ss.; I. Alvino, Comm. sub. art. 113 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 1386 ss.
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
