Occupazione e pandemia

Il Green pass rafforzato al lavoro richiede più cautela sul fronte privacy

I datori di lavoro devono aggiornare l’informativa e il Registro dei trattamenti. Servono anche l’analisi dei rischi e la formazione dei delegati al controllo

di Daniele Colombo

Covid, restano mascherine al chiuso e green pass

4' di lettura

Aggiornare l’informativa sul trattamento dei dati personali e il Registro dei trattamenti, formare adeguatamente i dipendenti incaricati dei controlli. Sono questi alcuni delicati adempimenti in materia di privacy ai quali i datori di lavoro devono prestare particolare attenzione, dopo l’introduzione dell’obbligo del Green pass “rafforzato”, dal 15 febbraio al 15 giugno, per l’accesso al lavoro degli ultracinquantenni. Mentre per gli altri lavoratori resta in vigore l’obbligo del Green pass “base”.

I nuovi obblighi

L’applicazione del Green pass rafforzato nei luoghi di lavoro è una delle misure più rilevanti e discusse introdotte con il decreto-legge 1 del 7 gennaio 2022 (ora all’esame del Parlamento per la conversione in legge). Per fronteggiare l’emergenza epidemiologica da Covid-19, il provvedimento ha vietato l’accesso sul luogo di lavoro ai lavoratori di età superiore a 50 anni, soggetti al nuovo obbligo vaccinale previsto dall’articolo 4-quater del Dl 44/2021, sprovvisti del green pass “rafforzato”. Quest’ultimo può essere ottenuto solo da chi si è sottoposto alla vaccinazione o da chi ha contratto l’infezione da Coronavirus ed è guarito. Non può invece essere essere rilasciato a chi ha effettuato un test antigenico rapido o un tampone molecolare.

Loading...

Per tutti gli altri lavoratori, di età inferiore a 50 anni e non soggetti all’obbligo vaccinale, continueranno a valere le norme già in vigore, che regolano l’accesso ai luoghi di lavoro e che prevedono il possesso del Green pass “base”, ottenibile tramite test antigenico rapido o tampone molecolare risultato “negativo”, o in seguito a guarigione o vaccinazione.

“No vax” assenti ingiustificati

Il lavoratore “over 50” che dichiara di non essere in possesso della certificazione rafforzata, o ne risulta sprovvisto al momento dell’accesso al luogo di lavoro, sarà considerato assente ingiustificato fino all’esibizione del certificato e, comunque, non oltre il 15 giugno 2022. Sono, invece, escluse sanzioni disciplinari, anche di tipo conservativo (multe, sospensioni), per il lavoratore “no vax”, che manterrà il diritto alla conservazione del rapporto di lavoro.

Tuttavia, il lavoratore sorpreso in azienda senza Green pass, rischia una multa che varia da 600 a 1.500 euro. In questo caso, sono previste anche conseguenze disciplinari, sino al licenziamento.

Gli esentati dall’obbligo vaccinale possono, invece, essere destinati a mansioni diverse - senza decurtazione della retribuzione - in modo da evitare il rischio di diffusione del contagio. L’obbligo, per gli over 50, del Green pass rafforzato per accedere ai luoghi di lavoro si aggiunge all’obbligo di vaccinazione già previsto per alcune categorie di lavori, tra le quali si annoverano le professioni sanitarie, i dipendenti scolastici e di varie strutture sanitarie, i lavoratori degli istituti penitenziari.

Gli adempimenti per la privacy

L'obbligatorietà del Green pass rafforzato per accedere ai luoghi di lavoro, se, da un lato, ha lo scopo di tutelare la salute e la sicurezza sul lavoro, dall’altro, analogamente a quanto già emerso per il Green pass “base”, solleva problematiche di riservatezza e privacy dei lavoratori.

Per non incorrere in possibili violazioni in materia di privacy, che potrebbero portare a contenziosi con i lavoratori o a segnalazioni al Garante (con il rischio di sanzioni elevate) il primo accorgimento che il datore di lavoro dovrà attuare è l’aggiornamento dell’informativa sul trattamento dei dati personali, in base all’articolo 13 del Gdpr, il Regolamento Ue 679/2016. In questo modo, oltre ai dati personali del lavoratore, sarà considerato anche il trattamento dei dati relativo alla validità, integrità e autenticità del Green pass nella forma “rafforzata”.

La finalità del trattamento rimane la stessa: prevenzione dal contagio da Covid-19, e controllo dell’autenticità, validità e integrità della certificazione verde Covid-19 o della certificazione di esenzione dalla vaccinazione o equipollente.

In seguito alle modifiche introdotte dal Dpcm del 17 dicembre 2021 sulla revoca e sul ripristino del Green pass in caso di infezione, l’informativa dovrà essere aggiornata anche in merito al trattamento dei dati relativi a questa casistica.

Obbligo di formazione per i verificatori

Il datore di lavoro, inoltre, dovrà provvedere alla formazione dei dipendenti incaricati delle verifiche sui Green pass, che dovranno anche essere informati su modalità e termini del nuovo trattamento, con tutte le istruzioni operative per eseguire correttamente i controlli.

Ancora, il datore di lavoro dovrà provvedere all’aggiornamento del Registro dei trattamenti, in base all’articolo 30 del Gdpr, prevedendo i trattamenti di visualizzazione dati dei dipendenti e di tutti gli altri, (ad esempio i fornitori) che accedono ai luoghi di lavoro, anche con riferimento al green pass rafforzato. Il Registro dovrà essere aggiornato anche se il lavoratore si avvale della facoltà di consegnare al datore di lavoro la certificazione verde.

Tra gli adempimenti richiesti in seguito all’introduzione del Green pass rafforzato, c'è anche l’analisi dei rischi privacy in base agli articoli 24, 25 e 32 del Regolamento 675/2016, che obbligano il titolare e il responsabile del trattamento a mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato (ad esempio pseudonimizzazione e cifratura dei dati).

Le sanzioni previste dal Gdpr

Violazioni meno gravi - Registro del trattamento

L'articolo 83 del Gdpr, il Regolamento Ue 679/2016 in materia di privacy, distingue due gruppi di violazioni e di sanzioni: nel primo gruppo rientrano le violazioni “di minore gravità”, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Si tratta, ad esempio, delle violazioni relative al Registro del trattamento dei dati.

Violazioni più gravi - Sui principi base

Il secondo gruppo di violazioni comprende gli errori considerati più gravi. Sono puniti da sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Rientrano in questa categoria le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso; le violazioni dei diritti degli interessati in base agli articoli da 12 a 22 del Gdpr (tra i quali gli obblighi di informativa ex articolo 13).

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti