Come ben sappiamo, il D.L. n. 127 del 21 settembre 2021 (integrato dal D.L. 139 del 8 ottobre 2021) ha stabilito che dal 15 ottobre 2021 ogni azienda pubblica e privata deve effettuare il controllo della certificazione verde (cd. Green Pass) nei confronti dei propri collaboratori. Il mancato possesso di tale certificazione non consentirà l’accesso alle sedi aziendali e potrà comportare le sanzioni previste dall’art. 9 septies D.L. 52/2021.
Il presente articolo non si pone l’obiettivo di riepilogare tutti gli adempimenti posti dalla “Babele normativa” che accompagna l’emergenza epidemiologica, bensì di porre l’attenzione sul cd. “registro dei controlli”, una sorta di “misunderstanding” che ha avuto particolare risalto nel web a ridosso della sopracitata data e che, per quanto mosso dalle migliori intenzioni, potrebbe risultare un’arma a doppio taglio.
La premessa da cui partire si basa su una rigida interpretazione del Garante della privacy che, considerando il Green Pass uno strumento inerente dati particolari ex art. 9 GDPR (quelli che in passato venivano chiamati dati sensibili) e in omaggio al principio di minimizzazione dai dati, vuole limitare al massimo il trattamento del dato, il quale non deve essere in alcun modo conservato. Non a caso la modalità di controllo prescelta a livello normativo (App “VerificaC19”) non trattiene e conserva alcun dato sul dispositivo con cui si è effettuato il controllo; di più, l’art. 13 comma 5 del DPCM 17 giugno 2021, come modificato di recente, vieta esplicitamente nelle attività di controllo dei certificati la “raccolta di dati dell’intestatario in qualunque forma”.
Come se non bastasse, con il parere del 12 ottobre 2021 il Garante afferma: “L’attività di verifica non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari, in ambito lavorativo, all’applicazione delle misure derivanti dal mancato possesso della certificazione. Il sistema utilizzato per la verifica del green pass non dovrà conservare il QR code delle certificazioni verdi sottoposte a verifica, né estrarre, consultare registrare o comunque trattare per altre finalità le informazioni rilevate”.
Di conseguenza è evidente che il controllo debba limitarsi esclusivamente alla scansione del QR code e non debba estendersi ad altro, nemmeno alla registrazione del nome e cognome del soggetto sottoposto al controllo.
Per questi motivi, tutti i suggerimenti in merito al registro dei controlli facilmente reperibili online in questi giorni sono nei fatti errati, in quanto poggiano sulla premessa di una conservazione del dato che è a monte vietata; pertanto, il “registro dei controlli” risulta ora come ora eccedente rispetto alle finalità del controllo e, per quanto mosso dalle migliori intenzioni di dimostrare l’osservanza degli obblighi normativi e dei controlli imposti, illecito dal punto di vista privacy.
Le norme sono fatte per essere rispettate e quindi è giusto adeguarvisi. Al contempo, a giudizio di chi scrive ci si potrebbe legittimamente chiedere quale possa essere il “rischio per i diritti e le libertà degli interessati” nel momento in cui il datore, direttamente o per il tramite dei suoi incaricati, segni nome e cognome dei controllati – nient’altro – per dimostrare di aver effettuato i controlli in quella determinata giornata. Tale trattamento così descritto è veramente lesivo del bene giuridico riservatezza?
Roberto De Bellis – Centro Studi CGN