Si avvicina la dead line del 15 ottobre 2021, che avvia l’obbligo anche per gli Studi professionali della verifica del green pass di chiunque svolga attività lavorativa nello studio.
La disposizione – decreto legge 21 settembre 2021 n. 127 – è valida fino al 31 dicembre 2021, data di cessazione dello stato di emergenza. La verifica è esclusa per i clienti dello studio, anche se Confprofessioni spinge, insieme ad altre associazioni interessate, verso l’inclusione.
Si ricorda che il possesso del green pass, essendo volutamente generica la norma che lo istituisce, è richiesto per chiunque svolga un’attività lavorativa nel settore privato; quindi: non solo i dipendenti dello studio, anche gli stessi liberi professionisti.
Studi professionali, obbligo di green pass e diritto alla privacy. Informativa periodica Cndcec
Con l’Informativa periodica n. 7 del 1° ottobre 2021, il Cndcec affronta anche il tema del diritto alla privacy dei soggetti coinvolti, dal momento che la verifica è affidata al datore di lavoro (o ai suoi delegati individuati con atto formale), il quale dovrà definire entro la data di avvio anche le modalità di verifica.
Nasce l’App “Verifica C19”
La Sogei sta mettendo a punto per i privati l’App “Verifica C19”, con cui accertare l’autenticità del green pass.
L’App, che legge in modalità offline il QR del certificato, non prevede la memorizzazione o la comunicazione a terzi delle informazioni scansionate. È prevista, invece, la possibilità di posticipare il controllo nel caso in cui non possa essere effettuato subito.
Nell’Informativa periodica, Cndcec e Fnc rispondono alla domanda se l’eventuale richiesta, per casi particolari, del documento di identità, ai fini della verifica di corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’App, “possa in qualche modo violare il diritto alla privacy dei soggetti coinvolti”.
Si ricorda che ai datori di lavoro non è consentito conoscere lo stato vaccinale dei lavoratori e non è consentito tenere un elenco dei vaccinati o non vaccinati (per non dover controllare i loro green pass ogni giorno).
Sia il Garante privacy che il Consiglio di Stato – ordinanza n. 5130/2021 – hanno stabilito che il decreto del Presidente del Consiglio dei Ministri 17 giugno 2021 non viola il diritto alla riservatezza sanitaria, dal momento che l’attuale sistema di verifica del possesso del certificato verde non rende conoscibili ai terzi dati diversi da quelli strettamente necessari.
Diversamente, la richiesta, ad esempio, di copia del documento e/o dell’indicazione della data di scadenza e la successiva conservazione di tali elementi è una violazione della vigente disciplina in materia di protezione dei dati personali.
Quanto agli Studi professionali (in generale, ai datori di lavoro), nel lavoro di ricognizione è spiegato che: ai sensi del GDPR art. 4 punto 7 solitamente sono qualificati come titolari del trattamento, ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Essi sono, quindi, tenuti al rispetto delle prescrizioni in materia di protezione dei dati personali.
Ne discende l’esigenza di regolare le attività di verifica attraverso l’adozione di misure di sicurezza capaci di garantire la tutela della privacy dell’interessato.
Ed ecco il percorso suggerito
1. Prevedere che tutti i soggetti delegati alla verifica siano incaricati con atto formale, contenente anche le istruzioni sull’esercizio di tale attività.
L’atto dovrà essere redatto ex art. 29 del Regolamento europeo 679/2016 (GDPR) che recita: “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.
Oltre alle necessarie istruzioni, l’incaricato/delegato dovrà essere adeguatamente formato; ed è consigliabile conservare copia della documentazione probante la formazione effettuata.
2. È opportuno individuare spazi idonei a garantire la riservatezza dei dati, così come individuare strumenti (quali smartphone ecc.) il più possibile dedicati, in modo da non dover usare, anche se non è vietato, gli strumenti personali del datore di lavoro o dei delegati.
L’attività di verifica non dovrà comportare, in alcun caso, la raccolta dei dati dell’intestatario (comma 5, dell’art. 13, del DPCM 17 giugno 2021); il consiglio è che il titolare del trattamento fornisca adeguata informativa contenente i dati minimi previsti dell’art. 13 GDPR.
3. Il processo di verifica del green pass dovrebbe essere annotato sul registro dei trattamenti ai sensi dell’art. 30 GDPR, con indicazioni quali: il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; eccetera.
Si ricorda che il registro dei trattamenti è da tenere in forma scritta, anche in formato elettronico.
In ultimo, nell’Informativa è evidenziato che per essere ottemperanti alla normativa non basta predisporre la giusta documentazione ma è anche obbligatorio creare un corretto flusso organizzativo ed operativo.
In soccorso, l’articolo 37 del GDPR ha istituto la figura professionale del Responsabile della protezione dei dati (c.d. DPO, Data Protection Officer), che può essere un dipendente oppure un esterno con contratto di servizi.
Sitografia
www.press-magazine.it
