Col DL 127 dal 15 Ottobre tutte le aziende, private e pubbliche, dovranno controllare il Certificato Verde Covid19 o Green Pass per consentire l’ingresso ai lavoratori. In questa Mini-Guida trovi consigli pratici, adempimenti, procedure, sanzioni e i documenti essenziali per le aziende private.
Il DL 127 del 21 Settembre 2021 è l’ennesimo provvedimento, e speriamo anche l’ultimo, emesso dal Governo per garantire maggiore sicurezza nei luoghi di lavoro e contenere il contagio da COVID19 incentivando la campagna vaccinale.
In definitiva il DL 127 estende tutti o in parte quei provvedimenti già previsti dal DPCM del 17 Giugno 2021 (poi Legge 87) a tutte le aziende, sia pubbliche che private.
A differenza dei compiti assegnati agli esercizi pubblici, alle aziende spetta qualche incombenza in più in quanto, trattandosi di lavoratori dipendenti e collaboratori anche esterni, ci sono implicazioni giuridiche ed organizzative per quanto riguarda gli aspetti relativi alla Privacy ed alla Valutazione dei Rischi.
In questa guida sintetica ci occupiamo solo del lato trattamento dati e tutto quello che comporta per quanto riguarda gli adempimenti e le procedure da adottare per essere conformi alle normative Privacy in particolare al Regolamento UE 2016/679 o GDPR
Cosa dovranno fare le AZIENDE PRIVATE dal 15 Ottobre 2021
La normativa di riferimento è l’Art. 3 del D.L. 127 che definisce ambiti, procedure e sanzioni in merito al controllo del Green Pass ai lavoratori del settore privato.
In definitiva COSA SI DEVE FARE per il controllo del Green Pass?
1. Controllo del Certificato Verde Covid19 Green Pass
Ormai tutti sappiamo che cos’è il Certificato Verde Covid19, che chiamiamo Green Pass per semplicità, anche perché la maggior parte di noi ne è in possesso e lo usa abitualmente anche solo per sedersi al bar o al ristorante per consumare.
Ma sappiamo esattamente in cosa consiste il controllo del Green Pass?
Il Certificato Verde Covid19, viene rilasciato dalla Piattaforma nazionale del Ministero della Salute e contiene un QR CODE, ovvero una sorta di codice a barre quadrato bidimensionale ed è valido in tutta la UE compresa Svizzera, Islanda, Norvegia e Lichtenstein.
Il controllo ha come unico scopo la verifica dell’autenticità, della validità e dell’integrità del Certificato Verde Covid19 al fine di stabilire l’accesso ai luoghi di lavoro.
Il controllo avviene all’ingresso in azienda mediante una scansione di questo codice effettuato esclusivamente e unicamente tramite l’APP ufficiale “VerificaC19” della Piattaforma Nazionale DGC, liberamente scaricabile in rete da qualsiasi dispositivo mobile, smartphone o tablet.
Il controllore, semplicemente attiva l’APP sul suo smartphone, meglio se aziendale, e attiva la lettura del codice QR CODE di cui ne vediamo le schermate principali:
Il risultato della scansione potrà essere uno dei seguenti:
Come si può notare la tipologia dei dati che appaiono al controllore utilizzando questa procedura NON RIENTRA nella categoria dei dati sanitari o Particolari (ex sensibili), per i quali sarebbe vietato il trattamento da parte del datore di lavoro se non in casi particolari.
I dati sanitari, in senso stretto del termine, sono: tipo di vaccino, esito da tampone o guarigione da Covid, ovvero le tre condizioni per ottenere il pass, oltre alla scadenza di validità che sono contenuti in un’area del Certificato verde non accessibile tramite l’APP VerificaC19 ma invero accessibili solo dal documento cartaceo o dal pdf.
Se qualcuno già accarezzava il fatto di fare delle fotocopie del Green Pass o prepararsi degli elenchi con scadenze e nomi, per esempio se si viene a conoscenza che il titolare ha un esito da tampone o da vaccino, rimarrà deluso.
Infatti, la cosa assolutamente da EVITARE è raccogliere o trattare qualsiasi tipo di dato inerente al certificato Verde Covid19, sia digitalmente che in cartaceo o in qualsiasi altra forma.
Citiamo integralmente l’Art.13 comma 5 del DPCM del 17 Giugno
“L’attività di verifica delle certificazioni NON COMPORTA, in alcun caso, la RACCOLTA dei DATI dell’intestatario IN QUALUNQUE FORMA.” Art.13 c.5 Dpcm 17 Giugno 2021
Su tale questione si è espresso chiaramente anche il Garante nelle FAQ pubblicate sul suo sito subito dopo l’entrata in vigore del DPCM del 17 Giugno, ribadendo l’assoluta illegittimità di qualsiasi trattamento non suffragato da idonea base giuridica.
In effetti ci sono stati diversi casi, ad esempio in alcune palestre, che registravano i dati di scadenza del Green Pass per velocizzare gli ingressi saltando i controlli e che sono state punite con disposizioni di sospensione e sanzioni.
Controlli A CAMPIONE e Linee Guida sul Green Pass
Siccome il legislatore è ben consapevole che non sempre è possibile controllare tutti i lavoratori prima dell’ingresso in azienda, ha previsto ulteriori possibilità come il CONTROLLO a CAMPIONE, da eseguirsi sia all’ingresso ma anche posticipato rispetto all’ingresso, ovvero quando il lavoratore è già all’interno del luogo di lavoro.
In ogni caso l’azienda deve aver già predisposto un Piano di Controllo prima del 15 Ottobre, a cura del RSPP e del RLS, da integrarsi nel DVR (Documento di Valutazione dei Rischi), la cui mancanza può andare incontro a sanzioni.
Il Piano di Controllo o Piano Organizzativo dovrà stabilire se applicare i controlli a campione in base alle esigenze aziendali, come applicarli, con che criteri stabilire le campionature come, ad esempio, la percentuale dei lavoratori campionati per volta, la rotazione oraria/giornaliera/settimanale per aree e reparti, nonché e come procedere una volta rilevata la presenza di lavoratori privi di green pass valido senza ledere la loro dignità e riservatezza.
Purtroppo il testo del DL 127 non fornisce indicazioni più precise su modalità e criteri con cui devono essere svolti i controlli a campione per cui ci si aspetta l’uscita di Linee Guida e/o FAQ più precise, anche per non dar adito ad azioni discriminatorie, provvedimenti disciplinari e sanzionatori.
2. A CHI si rivolge il controllo previsto dal DL 127 per le aziende private
Il D.L. 127/2021, a differenza del DPCM del 17 Giugno 2021 riguardante tutti i cittadini che accedono a determinate categorie di esercizi, riguarda la sola categoria dei lavoratori, sia in ambito pubblico che privato.
La definizione esatta viene data all’Art. 1 comma 2 del decreto che recita così:
“La disposizione di cui al comma 1 si applica altresì a tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso le amministrazioni di cui al comma 1, anche sulla base di contratti esterni.”
Sulla base di questa definizione dipendenti, soci ed amministratori, consulenti e collaboratori a partita IVA, apprendisti e stagisti, agenti di commercio ed intermediari sono sicuramente interessati dal controllo.
Oltre a questi possiamo sicuramente citare anche:
- membri di organi di controllo (es. DPO, ODV, Ispettori; Certificatori e Controllori);
- autisti e corrieri;
- personale in appalto e sub-appalto (es. manutentori, servizi di pulizie, servizi di vigilanza, portineria, gestione mensa, servizi di vending);
- altri fornitori esterni quali tecnici di assistenza, consulenti;
- Volontari e Formatori (che sono citati nel decreto).
La lista potrebbe essere anche più ampia in quanto la definizione che fornisce il decreto si presta ad un allargamento ma, attendiamo per questo ulteriori precisazioni e linee guida.
Chi può essere escluso dal controllo Green Pass?
Al momento non ci sono indicazioni precise in base ai soggetti da escludere, eccetto gli esenti dalla vaccinazione Covid19 ma, possiamo dire con una buona dose di certezza che, chiunque esuli da categorie assimilabili a lavoratori, ovvero coloro che usufruiscono di servizi come clienti, potenziali clienti, pazienti di uno studio medico, assistiti di uno studio legale o commercialista, clienti di un negozio (barbiere, centro estetico etc), non devono essere sottoposti a controllo.
Esenti alla vaccinazione: si applica anche a loro il controllo del Green Pass?
Il decreto esclude, indicando al comma 3, quei soggetti che sono ESENTI dalla VACCINAZIONE COVID19, per i quali non è previsto controllo tramite Green Pass in quanto non inclusi, almeno per ora, nella Piattaforma DGC e quindi privi di Green Pass. E’ in corso però in questi giorni un inserimento nella piattaforma anche di questa categoria che probabilmente potrà essere controllata tramite la stessa APP utilizzata per il Green Pass.
Al momento gli esenti dal Vaccino Covid19 sono dotati di un solo documento di certificazione medica, contenente i seguenti dati:
- i dati identificativi del soggetto interessato (nome, cognome, data di nascita);
- la dicitura: “soggetto esente alla vaccinazione anti SARS-CoV-2. Certificazione valida per consentire l’accesso ai servizi e attività di cui al comma 1, art. 3 del DECRETO-LEGGE 23 luglio 2021, n 105″;
- la data di fine di validità della certificazione, utilizzando la seguente dicitura “certificazione valida fino al _________” ;
- i dati relativi al Servizio vaccinale delle Aziende ed Enti del Servizio Sanitario Regionale;
- timbro e firma del medico certificatore (anche digitale);
- il numero di iscrizione all’ordine o codice fiscale del medico certificatore.
Non potendo catalogare i dati sopra riportati come Dati Sanitari, in quanto non contengono il motivo della esenzione, si deduce che il loro trattamento da parte del datore di lavoro sarebbe lecito.
Quello che non è chiaro è se il trattamento possa essere compreso fra quelli già ammessi nell’ambito dei dati trattati dal Titolare in merito al rapporto di lavoro oppure debba essere considerato un trattamento a parte, e quindi da inserire nel Registro dei Trattamenti e nell’Analisi dei Rischi.
E’ comunque al vaglio in questi giorni una procedura che consenta un controllo “sicuro” come il Green Pass anche per questa categoria entro il 15 Ottobre.
3. CHI è ABILITATO a fare il controllo del Green Pass
Il D.L. 127/2021 è abbastanza lapidario su CHI deve e può eseguire i controlli in azienda.
Non individua soggetti e ruoli ben precisi ma, l’Art.3 comma 5 dello stesso decreto stabilisce che questi soggetti debbano essere individuati dal Titolare e incaricati con un documento formale di delega.
Verosimilmente potrebbero essere selezionati fra i dipendenti stessi oppure potrebbero essere delegati soggetti esterni come, per esempio Istituti di Vigilanza coi quali però dovrà essere stipulato anche un accordo ulteriore come Responsabile esterno in base all’Art.37 del GDPR.
4. Il Documento di DELEGA per CHI controlla il Green Pass
Appurato che non ci può essere controllo del Certificato Verde Covid19 senza un documento che attesti formalmente l’incarico per chi controlla, vediamo adesso come deve essere questo documento.
Innanzitutto, il DPCM del 17 Giugno indica all’Art. 13 comma 3, che questi incaricati debbano essere anche istruiti.
Ciò vuol dire che la delega o nomina, oltre ad indicare le generalità di chi verifica il Green Pass, deve anche contenere le istruzioni affinché possa svolgere correttamente il proprio compito, senza contravvenire alle normative, in particolare la Privacy.
Queste istruzioni possono anche essere parte integrante del Piano di Controllo o viceversa, magari sotto forma di check-list, e dovrebbero indicare quali comportamenti tenere nei vari casi come, ad esempio, nel caso si rilevi un Green Pass non valido o la cui autenticità sia dubbia e si debba richiedere un documento di riconoscimento.
Le istruzioni da inserire possono riguardare ad esempio:
- il tipo di dispositivo da utilizzare, meglio se aziendale, anzi direi meglio vietare proprio l’utilizzo di dispositivi personali;
- quali persone controllare e quali no in base all’Art.3 c.2 e c.3 del D.L. 127/2021;
- cosa si deve fare in caso di rifiuto a fornire il Green Pass, o il documento d’identità;
- come attivare le procedure di segnalazione assenza in caso di esito negativo;
- come svolgere i controlli a campione, se previsti dal piano di controllo aziendale o nel DVR;
- la durata del trattamento ovvero dal 15 Ottobre al 31 Dicembre salvo proroghe;
- Altre istruzioni………..
L’istruzione che non deve sicuramente mancare è quella, come già detto al punto 1 citando il comma 4 dell’Art.13 del DPCM 17 Giugno, di vietare qualsiasi tipo di raccolta dati come, ad esempio: copia, conservazione, annotazione, elenchi o invio e ricezione dei dati via email o peggio ancora via whatsapp.
Consentire di fare delle COPIE del Green Pass è assolutamente da EVITARE!
Il modello di documento, dal punto di vista formale, è ne più ne meno una “Nomina Autorizzato al Trattamento”, come quella prevista dall’Art.29 del GDPR in quanto, di Trattamento Dati stiamo parlando aggiungendo anche la parola “Delega” in quanto il D.L. 127/2021 cita espressamente l’incarico in questa forma.
Rispetto ad una Nomina Autorizzato al Trattamento Dati generica la Delega Green Pass si differenzia sostanzialmente nelle istruzioni di cui agli esempi precedenti.
Cliccando sul bottone puoi visualizzare un modello completo di “Delega Incaricato Green Pass” e scaricarlo in PDF:
4. Necessario fornire l’INFORMATIVA al Trattamento dati sul controllo del Green Pass
Diversamente da quanto previsto dal DPCM del 17 Giugno in merito ai controlli di avventori o fruitori di servizi pubblici, il controllo del Certificato Verde Covid19 in azienda implica di per se un Trattamento Dati nei confronti dei dipendenti, anche se non ne devo tenere traccia alcuna, e pertanto si deve fornire un’INFORMATIVA in base all’Art.13 del GDPR.
Il solo fatto che, un incaricato dal Titolare dell’azienda, controlli autenticità, validità ed integrità del Green Pass, e che quindi venga a conoscenza di dati personali (non sensibili) ivi contenuti quali nome, cognome e data di nascita, significa che devo fornire agli Interessati le dovute informazioni su, tipologie e categorie dei dati trattati tramite la lettura del Green Pass, le finalità, le modalità, la durata del trattamento (dal 15 Ottobre al 31 Dicembre salvo proroghe) e i tempi di conservazione (in questo caso zero), i dati del Dpo e del Titolare del trattamento, i diritti e come esercitarli etc., tutto secondo quanto previsto dall’Art.13 del Regolamento UE 2016/679 o GDPR.
Come finalità del trattamento, si può indicare “misure per il contenimento del contagio da Covid19 e per consentire l’accesso al luogo di lavoro” mentre, come Base Giuridica si può usare l’Obbligo di Legge.
Nell’informativa, dove si descrivono le modalità di trattamento, sarebbe bene indicare anche in sintesi le istruzioni che sono state date agli incaricati in merito ai controlli così da evitare di dover redigere un ulteriore documento.
Dovrà essere fornita o comunque resa facilmente accessibile a tutti i soggetti coinvolti nel controllo, magari affiggendone una copia in prossimità del luogo dove si effettueranno i controlli e nella bacheca aziendale a disposizione dei dipendenti prima del 15 Ottobre.
Non è necessario fornire l’informativa ad ogni controllo successivo ma solo la prima volta purché il controllato sia sempre lo stesso.
5. SANZIONI e PROVVEDIMENTI DISCIPLINARI Green Pass
Sanzioni per l’AZIENDA
L’Art.3 del D.L. 127/2021 stabilisce anche che la mancata adozione delle misure organizzative entro il 15 ottobre 2021 comporta la sanzione amministrativa per le aziende da 400 a 1.000 €uro. La stessa sanzione è prevista nel caso che non si osservino gli obblighi di verifica quindi, per esempio, se si consente l’accesso al luogo di lavoro senza controllare o con Green Pass non valido.
Sanzioni e provvedimenti per il LAVORATORE
Per i lavoratori invece è prevista una sanzione da 600 a 1.500 €uro accedano al lavoro senza Green Pass o con Green Pass non valido.
Il lavoratore che non ha presentato un Certificato Covid19 valido sarà considerato dallo stesso giorno assente ingiustificato, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro fino a che non presenti un Certificato Covid19 valido e per tutta la durata del decreto ovvero fino al 31 Dicembre 2021, salvo ovviamente ulteriori proroghe.
Gli accertamenti e le contestazioni in relazione agli obblighi dei lavoratori spettano ai Datori di Lavoro o alle Autorità Competenti e gli estremi delle violazioni devono essere notificate al Prefetto che irrogherà le sanzioni in base al Comma 10 dell’Art.3. Purtroppo, come e con quali strumenti devono essere trasmesse queste segnalazioni al Prefetto non è ancora chiaro, e ci aspettiamo l’uscita di ulteriori decreti attuativi o Linee Guida che facciano chiarezza su questi aspetti più pratici ma importanti.
Per le aziende con meno di 15 dipendenti ci sarà la possibilità di sospendere e sostituire temporaneamente il lavoratore a partire dal 5° giorno di assenza ingiustificata, per un periodo massimo di 10 giorni rinnovabile una sola volta (Art. 3 comma 7 D.L. 127/2021).
6. Aggiornamento del REGISTRO dei TRATTAMENTI e ANALISI dei RISCHI
Gli ultimi adempimenti riguardano le normative relative alla Privacy ed in particolare il Regolamento UE 2016/679 o GDPR.
Anche se in realtà, come abbiamo già detto ampiamente, il controllo del Certificato Verde Covid19 vieta qualsiasi raccolta di dati, dobbiamo comunque considerare l’adempimento come un vero e proprio trattamento primo perché comunque il datore di lavoro, direttamente o tramite i suoi delegati può visualizzare i dati personali contenuti nel Certificato Verde Covid19 e secondo perché, nel caso il lavoratore venga meno ai suoi obblighi sarà costretto a procedere ulteriormente con notifiche e procedure che avranno come conseguenza dei provvedimenti sanzionatori o delle conseguenze sulla gestione della retribuzione.
Il dubbio semmai da sciogliere è se il trattamento possa essere incluso nei trattamenti già previsti per la gestione del rapporto di lavoro oppure se debba essere trattato a parte.
Questo secondo caso, ovvero l’inserimento di un nuovo trattamento “Controllo Certificato Covid19” comporta sicuramente l’aggiornamento del Registro dei Trattamenti e la redazione di una nuova Analisi dei Rischi Privacy o PIA relativa a quel trattamento.
La Valutazione d’Impatto Privacy o DPIA sarà invece necessaria per le aziende, soprattutto le più grandi e strutturate, che si dotano di sistemi automatici di rilevamento, come ad esempio totem e tornelli automatici magari funzione di segnalazione dell’esito negativo al reparto HR per il quale è da stabilire se il Trattamento è lecito secondo il principi di Privacy By Design e By default in base all’Art.35 del GDPR.
Conclusioni e considerazioni sul DL127/2021 controllo del Green Pass
Purtroppo la normativa attualmente disponibile non consente di affrontare in maniera sufficientemente esaustiva tutti gli aspetti pratici, in particolare le modalità e i criteri con cui si devono o possono essere eseguiti i controlli a campione.
Altro aspetto molto delicato è chi e come devono essere effettuati gli accertamenti degli illeciti e le comunicazioni al Prefetto che dovrà poi elevare le sanzioni ai lavoratori.
Per non parlare dei risvolti etici e personali che implicherebbero queste azioni se dovessero essere eseguite da parte dei verificatori stessi che coinvolgerebbero i propri colleghi.
Per tutti questi motivi ci attendiamo nei prossimi giorni dei chiarimenti o attraverso un ulteriore decreto o mediante Linee Guida e FAQ che possano rispondere ai quesiti lasciati aperti dai vuoti normativi.
La presente Mini-Guida è da considerarsi quindi “Work in Progress”, da valutare ed adattare alla propria situazione aziendale, e sarà aggiornata, appena possibile in base alle evoluzioni ed ai correttivi normativi successivi.
Spero con questo articolo di avervi fornito uno strumento che vi aiuti ad affrontare con più certezze questo adempimento, di cui ne avremmo volentieri tutti fatto a meno ma che, ci auguriamo contribuisca, insieme alle altre misure messe in atto finora, a tornare presto alla completa normalità sia nella vita lavorativa che privata.
Articolo aggiornato al 8 Ottobre 2021