ร appena stato pubblicato il nuovo decreto legge 21 settembre 2021, n. 127 con cui si rende obbligatorio il possesso della certificazione verde COVID-19 (c.d. โgreen passโ) per tutti gli ambienti di lavoro, privati e pubblici, dal 15 ottobre 2021 (e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza).
Ciรฒ significa che tutti i lavoratori che dovessero/volessero entrare nei locali aziendali dovranno essere in possesso di green pass in corso di validitร in quel momento, altrimenti non potranno accedervi.
Ad essi si aggiungono i fornitori (ed i clienti, per quanto riguarda i servizi e le attivitร di cui all’art. 9 bis del DL 22 aprile 2021, n. 52), i collaboratori a partita IVA (qualora accedano al luogo di lavoro), volontari, stagisti e altri soggetti che svolgano la propria attivitร a qualsiasi titolo (anche in base a contratti esterni) in unโimpresa privata.
Di conseguenza, lโazienda dovrร verificare tale circostanza, impedendo lโaccesso a chi non abbia i requisiti di legge.
Occorre chiarire che il datore di lavoro non potrร chiedere ai dipendenti se siano vaccinati, o di fornire altre informazioni sul proprio stato vaccinale o copia di documenti che comprovino lโavvenuta vaccinazione anti Covid-19, ma il controllo sarร istantaneo, in presenza e non comporterร la conservazione del certificato.
Come avviene la verifica?
Tecnicamente, โla verifica delle certificazioni verdi COVID-19 รจ effettuata mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile descritta nell’allegato B (VerificaC19) che consente unicamente di controllare l’autenticitร , la validitร e l’integritร della certificazione, e di conoscere le generalitร dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissioneโ (art. 13, DPCM 17 giugno 2021)
Questa verifica rappresenta ovviamente un trattamento di dati personali, per cui รจ opportuno esaminare quali siano le implicazioni, gli incombenti, obblighi e divieti per le aziende, che si trovano ad essere Titolari di questa (nuova) attivitร di trattamento.
I Titolari del trattamento che effettuino i controlli debbono strettamente osservare le norme di legge, per rispettare i diritti e le libertร delle persone sottoposte al trattamento.
Sotto questo profilo, le regole GDPR che vengono subito in considerazione sono:
- Lโart. 13, per cui il Titolare del trattamento deve informare le persone sullo specifico trattamento cui sono sottoposti i loro dati personali: debbono quindi fornire loro una informativa ad hoc.
- Lโart. 29, secondo cui il Titolare del trattamento deve far sรฌ che i suoi dipendenti che abbiano accesso a tali specifici dati personali e che li trattino sotto la loro autoritร , ricevano una specifica autorizzazione e istruzioni su come agire: occorre quindi che sia redatto e consegnato ai dipendenti un atto di autorizzazione, contenente le istruzioni da seguire.
- Lโart. 30, che impone al Titolare di tenere un registro di tutte le attivitร di trattamento svolte sotto la propria responsabilitร : e poichรฉ i controlli in questione rappresentano sicuramente un nuovo tipo di trattamento, occorre conseguentemente integrare adeguatamente il registro giร a mani del Titolare
- Gli articoli 5 e 25, i quali dispongono che debbano essere trattati soltanto i dati minimi indispensabili e che questo avvenga per impostazione predefinita, in caso di nuova attivitร di trattamento.
Come vedremo, non si tratta perรฒ delle uniche.
Quali sono le azioni da condurre prima del 15 ottobre?
I principali adempimenti per i datori di lavoro in ambito privato si dividono in due gruppi: quelli da effettuare prima del 15 ottobre 2021 (cioรจ prima dellโinizio del trattamento) e quelli obbligatori successivamente.
In base allโart. 3 del โnuovoโ Decreto Legge, i datori di lavoro, entro il 15 ottobre 2021, devono pertanto:
- definire le modalitร ฬ operative per lโorganizzazione delle verifiche, anche a campione;
- individuare, con un atto formale, i soggetti incaricati dellโaccertamento delle violazioni degli obblighi.
Il primo incombente รจ apparentemente nuovo e ulteriore rispetto a quanto previsto dal GDPR: prevede la redazione di un documento che definisca, entro il 15 ottobre 2021, i criteri e le regole dei controlli.
Ma รจ una novitร solo apparente: tale obbligo รจ infatti giร presente e previsto dagli artt. 24, 25 e 32 GDPR, che impongono al Titolare del trattamento di mettere in atto, tra lโaltro, misure anche organizzative adeguate per garantire che il trattamento รจ effettuato conformemente al regolamento e un livello di sicurezza adeguato al rischio.
Il secondo adempimento del Titolare รจ poi lโindividuazione delle persone che saranno incaricate di effettuare i suddetti controlli e la formalizzazione della loro autorizzazione, in ossequio allโart. 29 GDPR e allโart. 13, c. 2, del DPCM citato.
Deve quindi essere redatto un formale atto di autorizzazione al trattamento, contenente le necessarie istruzioni sull’esercizio dell’attivitร di verifica.
Si consiglia inoltre di effettuare una formazione specifica, anche per aggiornare gli incaricati di ogni evoluzione normativa o regolamentare.
Quali sono le azioni da condurre dopo il 15 ottobre?
Il secondo gruppo riguarda gli adempimenti che possono essere soddisfatti anche dopo la suddetta scadenza e sono:
- la redazione di una specifica informativa;
- lโintegrazione o lโaggiornamento del registro dei trattamenti.
Il primo di tali obblighi (e quindi, in totale, il terzo) รจ pertanto quello di informare lโinteressato sul trattamento dei suoi dati personali, effettuato tramite la verifica del Green Pass (art. 13 GDPR).
Tale informativa dovrร essere esposta nel luogo e nel momento in cui verrร effettuata la verifica; ma ben potrร essere pubblicata anche sul sito internet dellโazienda, o inviata via mail prima del trattamento.
ร perรฒ consigliabile informare sin dโora i dipendenti sia dei futuri controlli (appunto dal 15 ottobre in poi), sia delle conseguenze del mancato possesso di green pass.
Da ultimo, รจ necessario integrare il registro dei trattamenti aziendale, con le informazioni per la suddetta attivitร di trattamento.
Si potrร integrare il registro semplicemente allegando una stampa (se cartaceo), ovvero lo stesso documento PDF (oppure, se si utilizza un software per il registro, inserendo i relativi dati).
Quanto indicato dovrร corrispondere realmente alle caratteristiche e modalitร del trattamento effettuato.
Un lavoratore รจ senza Green Pass, come mi comporto?
Se un lavoratore:
- comunichi di non essere in possesso della certificazione verde COVID-19
- o risulti privo del green pass al momento dellโaccesso al luogo di lavoro
Il datore di lavoro deve:
- sospenderlo dalla prestazione lavorativa fino alla presentazione della certificazione verde COVID-19 e, comunque, non oltre il 31 dicembre 2021 (in ogni caso, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro). Per il periodo di sospensione non sono dovuti la retribuzione neฬ altro compenso o emolumento;
- comunicare immediatamente al lavoratore interessato la sospensione;
- trasmettere al Prefetto gli atti relativi alla violazione;
- Per le imprese con meno di quindici dipendenti, dopo il quinto giorno di mancata presentazione della certificazione, il datore di lavoro puรฒ sospendere il lavoratore per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a dieci giorni, e non oltre il 31 dicembre 2021.
Se un lavoratore accede nei luoghi di lavoro in violazione degli obblighi, eฬ punito con la sanzione e restano ferme le conseguenze disciplinari secondo i rispettivi ordinamenti di settore.
Il datore di lavoro รจ sanzionato se:
- non verifica il rispetto delle prescrizioni di legge,
- non definisce, entro il 15 ottobre 2021, le modalitร ฬ operative per lโorganizzazione delle verifiche di cui al comma 4, individuando con atto formale i soggetti incaricati dellโaccertamento delle violazioni
- accedono lavoratori nei luoghi di lavoro in violazione degli obblighi.