Pubblicata lo scorso 20 novembre, la legge n. 165/2021 – di conversione del decreto-legge n. 127/2021 – ha introdotto alcune novità relativamente all’obbligo di possesso della certificazione verde Covid-19 al fine di accedere al luogo di lavoro, a partire dalla possibilità per il lavoratore di consegnare al datore di lavoro una copia della propria certificazione verde Covid-19. In tal modo, i lavoratori interessati – per tutta la durata della validità del green pass – sono esonerati dai controlli – all’accesso e/o a campione – posti in essere dal rispettivo datore di lavoro. Giova sottolineare che detta possibilità è riconosciuta in capo al solo lavoratore e non al datore di lavoro; pertanto, resta fermo il divieto per il datore di lavoro di richiedere al lavoratore una copia della certificazione verde Covid-19.
Sul punto, il Garante privacy, lo scorso 11 novembre, ha inviato una segnalazione al governo e al Parlamento, sollevando alcune perplessità circa le concrete modalità di attuazione di detta disposizione nel rispetto della normativa privacy. In tale sede, il Garante ha rilevato come la possibilità di consegnare il green pass al datore di lavoro rischi di eludere la finalità sottesa all’introduzione dell’obbligo di certificazione verde Covid-19 negli ambienti di lavoro, ovvero l’esigenza di tutela della sanità pubblica. Infatti, a detta del Garante, il green pass risulta efficace a tal fine nella misura in cui sia soggetto a verifiche periodiche sulla sua persistente validità: mediante la consegna dello stesso al datore di lavoro non sarebbe possibile, pertanto, rilevare l’eventuale e sopravvenuta positività al Covid-19 in capo al lavoratore intestatario con conseguente violazione del principio di proporzionalità del trattamento dei dati rispetto alle finalità perseguite.
Ma vi è di più. Così facendo, si assisterebbe altresì ad una violazione del divieto di conservazione del green pass – ribadito anche a livello comunitario dal Regolamento Ue n. 2021/953 – volto a garantire la riservatezza del dato relativo alla condizione clinica del soggetto e al presupposto legittimante il rilascio della certificazione stessa; è evidente come, mediante la consegna del green pass, il datore di lavoro venga reso edotto della data di scadenza dello stesso ben potendo, pertanto, da tale dato dedurre il presupposto legittimante il rilascio dello stesso (vaccinazione, tampone o avvenuta guarigione dal Covid-19). In tal modo – a detta del Garante – la scelta del lavoratore relativamente alla vaccinazione risulterebbe priva delle necessarie garanzie di riservatezza con evidente pregiudizio del diritto all’autodeterminazione individuale del singolo individuo.
A ciò si aggiunga come – generalmente – sia precluso al datore di lavoro venire a conoscenza dei dati sanitari dei propri dipendenti. Profili di illegittimità della disposizione in esame si rinvengono – a detta del Garante – anche in termini di base giuridica del trattamento; infatti, quest’ultima non potrebbe nemmeno evincersi dal consenso del lavoratore il quale decida volontariamente di consegnare il green pass al datore di lavoro. Infatti, è lo stesso Garante ad escludere che il consenso in ambito lavorativo possa ritenersi un idoneo presupposto di liceità del trattamento in virtù dell’asimmetria che caratterizza il rapporto di lavoro.
Orbene, nonostante le condivisibili osservazioni del Garante privacy (le quali, in realtà, si inseriscono nel solco di quanto in precedenza affermato dallo stesso legislatore; basti pensare al divieto di raccolta dei dati dell’intestatario in sede di verifica del green pass previsto dal Dpcm 17 giugno 2021 e tutt’oggi vigente), il legislatore ha ritenuto di approvare in via definitiva la disposizione in commento la quale risulta ad oggi pienamente in vigore. Non si escludono, tuttavia, ulteriori correttivi da parte del legislatore – sulla scia di eventuali successive osservazioni da parte del Garante stesso – volti a ripristinare lo status quo ante in materia di controllo del green pass, alla luce dei legittimi rilievi sollevati dall’autorità privacy.
Pertanto, particolare attenzione dovrà essere posta dal datore di lavoro – in qualità di titolare del trattamento – il quale è chiamato a porre in essere ulteriori misure tecniche ed organizzative rispetto a quelle sin d’ora adottate, al fine di garantire un livello di sicurezza adeguato al rischio.
Gabriele Fava, 2 dicembre 2021