Chi si occupa a vario titolo, come noi, di GDPR in questi giorni ha molto da leggere e da dire ai propri clienti. Oggi ho letto un articolo interessante che condivido con voi (potete leggere l’originale qui).
I datori di lavoro stanno occupandosi di predisporre i controlli sul Green Pass da rendere effettivi entro il 15 Ottobre e vengono utilizzate differenti modalità. Tra queste molti considerano, per snellire le procedure, la possibilità di ottenere e conservare la certificazione verde dei dipendenti.
L’articolo segnalato arriva alla conclusione che
Il datore di lavoro che decidesse di conservare i dati (in qualsiasi modo, sia tramite copia della certificazione, cartacea o digitale, che tramite raccolta di altri tipi di dati – ad esempio la data di rilascio del Green Pass) realizzerebbe un trattamento illecito, come tale sanzionabile secondo le prescrizioni del GDPR. Tale trattamento sarebbe anche in violazione del principio di proporzionalità presente nella normativa richiamata.
- Su questa posizione sorgono delle perplessità. Il Principio di Proporzionalità è un principio generale dell’Unione Europea che, nell’art. 5(4) del TUE, afferma
In virtù del principio di proporzionalità, il contenuto e la forma dell’azione dell’Unione si
limitano a quanto necessario per il conseguimento degli obiettivi dei trattati.
Nel GDPR si parla di poporzionalità nel Regolamento:
- art.35 nella sezione riguardante la valutazione di impatto – per cui la valutazione deve, tra l’altro, contenere una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- (4) – dove si afferma che Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.
- (156) – in merito all’archiviazione dei dati a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
- (170) – nello specificare la motivazione dello stesso Regolamento i cui obbiettivi non sono raggiungibili dagli stati membri singolarmente, quindi per il principio di sussidiarietà dell’art.5 del TUE si è fatto il Regolamento in ottemperanza al principio di proporzionalità enunciato nello stesso articolo
Quindi si ritorna alle basi del GDPR. Si deve rispondere a queste domande:
– I dati per la verifica del Green Pass sono quelli strettamente necessari a tale verifica?
– Come vanno mantenuti?
– Per quanto tempo?
– C’è una base di leggittimità?
I dubbi che abbiamo noi non sono tanto sulla legittimità o meno della raccolta dati, ma sull’effettiva utilità ai fini di controllo. Ad oggi il contesto in cui si deveono effettuare i controlli è determinato da:
– la realtà organizzativa aziendale dei luoghi di lavoro;
– l’intervallo temporale di attuazione del decreto che, per ora, è solo dal 15 Ottobre al 31 Dicembre;
– quali dati raccogliere
– la volatilità nel tempo del Green Pass stesso
Quest’ultimo punto è vero in due situazioni:
- se il lavoratore ha il green pass perchè ha fatto il tampone, va comunque ricontrollato dopo 48 ore;
- se il lavoratore ha il green pass per il vaccino o perché ha avuto il covid, potrebbe comunque risultare positivo e/o riammalarsi. In questo caso come fa il datore di lavoro a sapere che i dati del Green Pass raccolti non sono più validi?
Da un punto organizzativo per il datore di lavoro è praticamente impossibile aggirare l’ostacolo della verifica continuativa. Quello che stiamo suggerendo ai nostri clienti è di fare le verifiche in questo modo (parlliamo di realtà medio-piccole):
La prima volta, il 15 Ottobre o prima, organizzare una verifica a tappeto su tutti i lavoratori che entrano nel posto di lavoro. Successivamente determinare un campione adeguato e fare le verifiche solo su quello.
Rimane, per il lavoratore che accede al posto di lavoro, l’obbligo di avere il green pass con sé. Perchè deve esibirlo su richiesta.
