GREEN PASS: ADEMPIMENTI, DIVIETI E SANZIONI.
L’introduzione dell’obbligo di Green Pass in azienda prevede che il datore di lavoro adotti alcune misure privacy necessarie affinché le procedure di verifica della certificazione verde Covid-19 avvengano nel rispetto della normativa vigente in tema di protezione dei dati personali.
Sotto il profilo della protezione dei dati personali, in merito allo schema di DPCM del 12 ottobre – recante le modifiche al decreto del Presidente del Consiglio dei Ministri 17 giugno 2021 sulle modalità di verifica del possesso del Green Pass – si è espresso, con parere favorevole, il Garante che ha confermato le corrette modalità di trattamento dei dati personali connesse alla verifica del certificato verde.
Ma come possono essere trattati lecitamente i dati relativi ai controlli del Green Pass?
Quali le attività da evitare?
I datori di lavoro devono rispettare una serie di adempimenti:
- predisporre un’informativa relativa al trattamento dei dati personali ai sensi dell’art. 13 GDPR da comunicare preventivamente agli interessati. È confermata la possibilità di rendere l’informativa in modo generalizzato, tramite apposizione in prossimità del luogo ove verranno svolte le verifiche da parte dei soggetti incaricati o tramite pubblicazione nella intranet aziendale (ove esistente) in ogni caso con modalità tali da poter essere facilmente visibile a tutto il personale che accede in azienda;
- individuare, nominare con atto formale e autorizzare gli incaricati alla verifica e all’accertamento delle violazioni, ai sensi degli articoli 29 e 32 del GDPR e dell’art. 2-quaterdecies del Codice Privacy, fornendo apposite istruzioni sul trattamento dei dati personali degli interessati. Tra le diverse istruzioni da fornire all’autorizzato, sarebbe opportuno includere anche i seguenti divieti: DIVIETO di raccogliere, conservare o acquisire copia del Green Pass; DIVIETO di trattare dati diversi e ulteriori rispetto ai dati anagrafici dell’interessato; DIVIETO di richiedere all’interessato dati relativi alla salute, ivi incluse informazioni circa l’evento sanitario che ha generato il Green Pass o la motivazione clinica della eventuale esenzione alla vaccinazione;
- aggiornare il registro dei trattamenti ai sensi dell’art 30 del GDPR, prevedendo i trattamenti di visualizzazione dati dei dipendenti e di tutti gli altri (ad esempio fornitori) che accedono ai luoghi di lavoro.
Quali sono le conseguenze per i datori di lavoro in caso di violazione della normativa sulla protezione dei dati personali, nelle verifiche del Green Pass?
L’art. 83 del GDPR distingue due tipi di violazioni e di sanzioni:
- violazioni di “minore gravità”, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (ad esempio violazioni relative al Registro del trattamento dei dati);
- violazioni che prevedono sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (ad esempio violazioni dei principi di base del trattamento, violazioni dei diritti degli interessati in base agli articoli da 12 a22 del GDPR).
Ai sensi dell’art. 83 del GDPR, le sanzioni – irrogate esclusivamente dal Garante per la Privacy – dovranno essere sempre effettive, proporzionate e dissuasive, sulla base delle dimensioni aziendali, della natura, della gravità, della durata della violazione e così via.
Le violazioni della privacy possono, altresì, comportare anche un danno per l’interessato (i cui dati sono stati violati) che potrà avanzare richiesta di risarcimento.
In merito alla questione Green Pass, il trattamento illecito dei dati personali può comportare:
- la reclusione da 6 a 18 mesi, se dal fatto deriva nocumento;
- la reclusione da 6 a 24 mesi, se il fatto consiste nella comunicazione e/o diffusione;
- la reclusione da 1 a 3 anni, se il fatto è ammesso in atto per trarre profitto per sé o altri o per arrecare danno.