Segnalazione da parte dell’Autorità al Parlamento e al Governo sul Disegno di legge di conversione del Decreto-Legge n. 127 del 2021 (AS 2394), che prevede la possibilità di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia del Green pass al proprio datore di lavoro. 

Lo scorso 11 novembre 2021 il Garante Privacy ha inviato al Presidente della Camera ed al Governo una segnalazione (Doc-Web 9717878) con cui ha messo in evidenza i risvolti negativi che sul piano della protezione dei dati personali potrebbero derivare dagli emendamenti (cfr. 1.400 e 3.0.4, fasc. Commissione) approvati dal Senato al Disegno di Legge di conversione del D.L. n.127/2021.

Le modifiche, infatti, introdurrebbero la possibilità da parte dei lavoratori appartenenti sia al settore pubblico che a quello privato, di consegnare copia del proprio green pass al datore di lavoro al fine di essere esonerati, per tutta la durata di validità del certificato, dai relativi controlli.

Ispirati ad esigenze pratiche funzionali ad evitare che il monitoraggio sul rispetto dell’obbligo di green pass da parte dei lavoratori possa essere di intralcio rispetto alle esigenze organizzative aziendali o dell’ente, tali emendamenti lasciano, tuttavia, emergere non pochi dubbi proprio sulla loro aderenza ai principi espressi dal GDPR.

Ed è proprio su tali aspetti che l’Autorità – rivolgendosi al Parlamento – ha voluto richiamare l’attenzione dell’Organo Legislativo invitandolo ad un ulteriore approfondimento sul tema in vista del previsto secondo passaggio del DDL alla Camera dei Deputati.

Tre sono le direttrici su cui si è articolato il pensiero del Garante sull’argomento.

Innanzi tutto, quella concernente il (mancato) rispetto del principio di esattezza dei trattamenti che verrebbero realizzati con la nuova modalità di verifica del green pass.

Potendo, invero, il certificato verde subire modifiche durante il periodo di relativa efficacia in ragione della mutata condizione clinica del suo intestatario (il quale potrebbe nelle more contrarre il virus), esso deve essere costantemente sottoposto a controllo proprio per rispondere alla necessità di aggiornamento ed attualizzazione delle informazioni sanitarie a costui riferite.

È per tale motivo che, a parere dell’Autorità, il green pass non può rispondere a logiche presuntive finalizzate a blindarne la validità al momento della relativa acquisizione da parte del datore di lavoro, se non a costo di rinunciare a monitorare gli eventuali cambiamenti successivi che potrebbero intervenire prima della sua “naturale” scadenza. 

Con la conseguenza, appunto, di mortificare in tale ipotesi l’innanzi richiamato principio di esattezza di cui all’art. 5, par. 1, lett. d) GDPR.

Sottolinea sul punto il Presidente Stanzione che “la prevista esenzione dai controlli – in costanza di validità della certificazione verde – rischia di determinare la sostanziale elusione delle finalità di sanità pubblica complessivamente sottese al sistema del green pass”.  

È noto, infatti, come la funzione del certificato verde sia quella di contribuire alla strategia di contenimento della diffusione della pandemia da Covid-19, e come tale finalità sia a sua volta strettamente correlata alla possibilità che il green pass sia sottoposto a controlli ricorrenti sulla sua “persistente validità”.

Altra direttrice su cui il Garante ha fondato le proprie considerazioni è quella relativa al principio di proporzionalità dei trattamenti.

Evidenzia al riguardo l’Autorità come “La nuova previsione, nella misura in cui rischia di precludere la piena realizzazione delle esigenze sanitarie sottese al sistema del green pass, rende quindi anche il trattamento dei relativi dati non del tutto proporzionato (perché non pienamente funzionale rispetto) alle finalità perseguite”. 

Infine, ultimo profilo messo in risalto dal documento in commento concerne la compromissione dell’esigenza di riservatezza che le modifiche in discussione potrebbero determinare.

Dal green pass, infatti, possono ricavarsi tanto i dati clinici dell’interessato nell’ipotesi in cui il certificato sia stato ottenuto per effetto dell’avvenuta guarigione da COVID-19, quanto quelli inerenti la decisione assunta dal suo intestatario in ordine alla relativa sottoposizione o meno al vaccino, elementi questi ultimi desumibili dai diversi periodi di prevista validità del green pass (a seconda che lo stesso sia stato rilasciato per effetto di tampone, di guarigione ovvero di vaccinazione).

La circostanza per cui il datore di lavoro possa acquisire e detenere copia del green pass dei propri lavoratori fa sì che “una scelta quale quella sulla vaccinazione – così fortemente legata alle intime convinzioni della persona – verrebbe privata delle necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all’autodeterminazione individuale”

Con il conseguente, inevitabile pregiudizio “sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003)” nonché del Considerando 48 del Regolamento (UE) 2021/953 il quale, con riferimento al green pass in ambito europeo, dispone che “Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati”. 

Avv. Adamo Brunetti