Rapporti di lavoro

Green pass, potrebbe essere utile tenere un registro sui controlli

Non si possono registrare i dati dei green pass dei lavoratori. Probabilmente è invece legittimo e anzi utile inserire in un registro tenuto dal datore di lavoro i dati anagrafici del controllore e del controllato, il giorno, l’ora e il luogo del controllo (previa informazione da conferire all’interessato sul trattamento dei dati personali).

di Francesco Conti e Cecilia Moioli

Dal 15 ottobre e, al momento, sino al 31 dicembre 2021, tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa, di formazione o di volontariato, nel mondo del lavoro pubblico e privato, sono obbligati ad esibire il green pass per accedere al luogo nel quale si svolge l'attività lavorativa .
Al datore è posto in capo il dovere di stabilire le procedure da osservare per le modalità del controllo, fermi alcuni principi stabiliti dalla legge.
Molto si è già scritto sul tema. Restano però, alcuni dubbi interpretativi e questioni di interesse pratico, che forse non hanno ricevuto l’attenzione che meritano.

La frequenza del controllo: a tutti o a campione?

La normativa attribuisce al datore di lavoro la facoltà di scegliere se il controllo del green pass debba essere effettuato sulla totalità dei dipendenti, oppure solo a campione.
Nonostante sia formalmente lasciata libertà di scelta al datore di lavoro, chi scrive ritiene che sia tuttavia da preferire la modalità di controllo sulla totalità dei dipendenti, laddove ciò sia possibile. Ciò, in quanto la verifica a campione non è pienamente coerente né con l'obbligo generalizzato (ossia per tutti) di possesso del green pass, né con la logica di impedire a chiunque ne sia privo di fare ingresso in azienda.
La scelta del controllo a campione espone quindi il datore ad un rischio sanzionatorio, posto che in caso di controllo negativo da parte di terzi (ovvero in caso di lavoratore trovato sul luogo di lavoro senza idonea certificazione), anche il datore di lavoro potrebbe incorrere in una sanzione amministrativa per mancato controllo, ai sensi dell'articolo 9septies comma 4 del citato Decreto Legge.

La legittimità della tenuta di un registro relativo ai soli controlli

Il Decreto Legge impone al datore di lavoro di nominare formalmente uno o più soggetti deputati al controllo effettivo del green pass.
È del tutto pacifico – anche alla luce dei recenti chiarimenti del Garante Privacy – che i datori di lavoro non possano trattenere copia delle certificazioni né registrare i dati in esse contenuti ; si osserva però che dal dovere di impedire l'accesso a chi risulti sprovvisto di green pass, così come dalla necessaria applicazione delle conseguenze di natura giuslavoristica su tali dipendenti, discende necessariamente una forma di trattamento dei dati dell'interessato (ossia il trattamento posto in essere con la comunicazione dell'assenza ingiustificata del lavoratore) da parte dei datori di lavoro.
Sul punto, è il caso di notare che la legge non vieta espressamente, né il Garante si è per ora espresso in argomento, di inserire all'interno di un apposito registro tenuto dal datore di lavoro i dati anagrafici relativi ai soggetti controllati risultati sprovvisti di Green Pass, nonché il giorno, l'ora e il luogo del controllo (chiaramente previa informativa sul trattamento dei dati personali da conferire all'interessato).
Un definitivo chiarimento in tal senso da parte del Legislatore e del Garante sarebbe probabilmente utile.
Ove posta in essere, tale attività dovrebbe quindi essere effettuata al solo fine di tenere traccia dell'avvenuto controllo, ossia per cristallizzare le iniziative effettivamente assunte dal datore di lavoro e prevedendo adeguati meccanismi, anche fisici e informatici, di tutela della riservatezza di tale registro.

La base giuridica del trattamento dei dati

I dati intellegibili in occasione della verifica del green pass sono dati relativi alla salute?
Probabilmente sì. In ogni caso, questa risposta comporta significative conseguenze, tra le quali quelle relative di basi giuridiche che rendono legittimi i relativi trattamenti dati.
Ove si trattasse di dati relativi alla salute, il trattamento dati effettuato in occasione della verifica del green pass rappresenterebbe uno dei casi di scuola nei quali la base giuridica del trattamento è l'adempimento di un obbligo di legge in materia di diritto del lavoro e della sicurezza e protezione sociale (art. 9, 2. b) del Gdpr).
Se, al contrario, non di dati sanitari si trattasse, la base giuridica di tale trattamento dati effettuato sarebbe l'adempimento di un obbligo di legge (art. 6, 1. c) del Gdpr).
Si possono individuare altre basi giuridiche, che rendono legittimo questo tipo di attività? Probabilmente sì, e le cosiddette “informative privacy” dovrebbero darne opportunamente atto.
Tra le basi giuridiche per i trattamenti di dati sanitari, si potrebbe argomentare che il trattamento è lecito in quanto necessario per motivi di interesse pubblico rilevante – art. 9, 2. g) del Gdpr, così come è necessario per la finalità di medicina preventiva o di medicina del lavoro – art. 9, 2. h) del Gdpr; infine, sarebbe probabilmente corretto sostenere che il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione di gravi minacce per la salute a carattere transfrontaliero – art. 9, 2. i) del Gdpr.
Tra le basi giuridiche per i trattamenti di dati non sanitari, si potrebbe invece argomentare che il trattamento è lecito in quanto necessario per l'esecuzione di un contratto del quale l'interessato è parte (contratto di lavoro) – art. 6, 1. b) del Gdpr, così come è necessario per l'esecuzione di un compito di interesse pubblico di cui è investito il titolare (compito del controllo dei green pass al fine di tutelare la salute dei lavoratori) – art. 6, 1. e) del Gdpr.
Tutto quanto sopra non è invece applicabile al trattamento dati svolto in occasione dell'attività esaminata nel precedente punto 2), ossia la tenuta di un registro.
La base giuridica del trattamento posto in essere con la tenuta di tale registro non può essere l'adempimento di un obbligo di legge: nessuna norma impone al datore di lavoro di appuntarsi i nomi dei verificatori, dei soggetti verificati, o le date e gli orari dei controlli. Come detto, infatti, in capo ai datori è solo posto il dovere di effettuare i controlli e di consentire l'accesso ai soli possessori di green pass. Del pari, la base giuridica del trattamento non può essere l'esecuzione di un contratto del quale l'interessato è parte, né la salvaguardia di interessi vitali dell'interessato, o di altra persona fisica, né, infine, l'esecuzione di un compito di interesse pubblico di cui è investito il titolare. Il tutto per la medesima ragione: nessun registro dei controlli è necessario per porli in essere.
La base giuridica del trattamento posto in essere con la tenuta di tale registro potrebbe solo quindi essere, oltre al consenso dell'interessato, il perseguimento del legittimo interesse del titolare del trattamento – art. 6, 1. f) del Gdpr, il tutto ovviamente a condizione che non prevalgano interessi o diritti e libertà fondamentali dell'interessato (ma così non dovrebbe essere se davvero il registro è tenuto solo per appuntare chi è stato controllato, quando, e da chi, senza indicazioni dell'esito di tali verifiche).

Lavoratore che si reca direttamente nel luogo della prestazione di lavoro e non in azienda

Nel caso in cui un lavoratore non presti la propria opera nella sede della sua azienda, ma si rechi direttamente in luogo diverso, il controllo dovrà essere operato dal titolare della struttura presso la quale egli si reca.
Quest'ultimo si dovrà fare carico di tutti gli adempimenti previsti dal Decreto Legge, ed in particolare avrà l'onere di: i) nominare un soggetto incaricato della verifica del green pass; ii) organizzare la verifica del green pass presso la struttura (e predisporre apposita procedura); ii) predisporre apposita informativa privacy da affiggere in prossimità del luogo di controllo.
Chi scrive è conscio che diversi temi qui affrontati siano ancora da approfondire, soprattutto da parte del Garante, ma ha inteso fornire elementi di riflessione che auspica possano rivelarsi utili sia per gli operatori economici, sia per quelli del diritto.

Per saperne di piùRiproduzione riservata ©