Green pass obbligatorio per tutti i lavoratori

E’ stato approvato e pubblicato in Gazzetta Ufficiale il Decreto Legge 21 settembre 2021 n. 127 che entra in vigore oggi, 22 settembre 2021, in sostanza confermando quanto già varato dal Consiglio dei Ministri il 16 settembre scorso in merito all’introduzione dell’obbligo del Certificato Verde Covid-19 per i lavoratori, il cosiddetto “green-pass”, necessario per accedere a tutti i luoghi di lavoro. A partire dal 15 ottobre e fino al 31 dicembre 2021 (che ad oggi è il termine dello stato di emergenza), sarà infatti obbligatorio esibire il Certificato Verde Covid-19 per poter accedere ai luoghi di lavoro per tutti i lavoratori privati compresi i lavoratori autonomi nonché gli eventuali lavoratori esterni alle aziende, quali ad esempio manutentori, artigiani, professionisti e appaltatori in genere. Il lavoratore sprovvisto del Certificato Verde Covid-19, a partire dal 15 ottobre non potrà accedere ai luoghi di lavoro e verrà considerato assente ingiustificato senza retribuzione fino alla presentazione di una valida certificazione.

Controlli
I controlli sul corretto possesso del Certificato Verde Covid-19 sono demandati ai rispettivi datori di lavoro. Possibilmente tali controlli saranno da effettuarsi all’accesso al luogo di lavoro ed è prevista anche la possibilità di effettuare controlli a campione. Entro il 15 ottobre i datori di lavoro dovranno pertanto definire le modalità per l’organizzazione di tali verifiche. Il lavoratori che accedono ai luoghi di lavoro sprovvisti di un valido Certificato Verde Covid-19 o documentazione equipollente, sono passibili di provvedimenti disciplinari da parte dell’azienda.

Sanzioni
Il lavoratore che verrà sorpreso all’interno dei luoghi di lavoro senza un valido Certificato Verde Covid-19 rischia una sanzione amministrativa dai 600 ai 1.500 euro senza altre conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro.  Le sanzioni per i datori di lavoro che non metteranno in pratica le misure di controllo previste entro il 15 ottobre vanno dai 400 ai 1.000 euro. Gli accertamenti delle violazioni potranno essere effettuati dalle autorità di pubblica sicurezza e le sanzioni verranno irrogate dal Prefetto.

Vaccinazioni
Si tenga presente che il green pass verrà generato a partire dal 12° giorno dopo la somministrazione della prima dose e sarà valido a partire dal 15° giorno fino alla dose di richiamo. Unica eccezione per i guariti dal Covid-19, per i quali il Certificato Verde Covid-19 viene attivato immediatamente, a partire dal giorno stesso della somministrazione della prima dose di vaccino.

Tamponi
In alternativa alla vaccinazione, per ottenere il Certificato Verde Covid-19 è possibile sottoporsi al tampone nasofaringeo o salivare. In questo caso il Green-pass ha una validità di 48 ore se si ottiene con il test rapido antigenico, mentre invece il tampone molecolare ha una validità di 72 ore. E’ prevista l’applicazione di un prezzo calmierato per i tamponi che verranno effettuati presso farmacie e le strutture convenzionate con il Servizio Sanitario Nazionale e autorizzate dalle Regioni alla somministrazione dei test. I tamponi saranno gratuiti solo per chi è esentato dalla vaccinazione presentando apposita certificazione medica.

Chi controlla
I controlli sul corretto possesso del Certificato Verde Covid-19 sono demandati al datore di lavoro e possibilmente saranno da effettuarsi all’accesso al luogo di lavoro, anche a campione. Entro il 15 ottobre i datori di lavoro devono definire le modalità per l’organizzazione di tali verifiche. Il decreto prevede espressamente un atto di nomina formale con cui il datore di lavoro individui il soggetto o i soggetti incaricati di accertare il rispetto dell’obbligo Certificato Verde Covid-19 imposto dalla normativa.

Implicazioni sulla tutela della privacy
Sebbene il decreto non preveda nulla di esplicito in merito alle implicazioni sulla tutela dei dati personali sarà opportuno prendere in considerazione tale nuovo trattamento nell’ambito degli adempimenti di cui al GDPR. L’addetto al controllo incaricato dal datore di lavoro dovrà essere considerato un autorizzato al trattamento da parte di quest’ultimo, dovrà ricevere precise istruzioni sui limiti a cui il trattamento dei dati contenuti nel Green pass è soggetto. Sarà quindi opportuno formalizzare un atto di designazione del controllore incaricato quale lavoratore “autorizzato al trattamento”, avendo cura di chiarire formalmente le modalità attuative concrete con cui il controllore dovrà effettuare le verifiche ed in che modo registrarne l’esito. Inoltre sarà opportuno definire la procedura da applicarsi in caso di esito di verifica negativa del Green pass o di mancanza dello stesso, avendo cura di garantire il diritto alla riservatezza e dignità del lavoratore. E’ pertanto auspicabile infine una integrazione dei documenti privacy in uso alle aziende, quali il registro dei trattamenti e l’informativa sulla privacy per i lavoratori dipendenti, anche redigendone una ad hoc e apponendola in bacheca o in prossimità del luogo in cui l’addetto effettua la verifica.

Chiarimenti attesi
Siamo in attesa dei preannunciati chiarimenti tecnici da parte del Governo che dovrà emanare delle specifiche linee guida operative a supporto delle aziende.

 

Link a collegamenti esterni

App VerificaC19 – Informazioni per gli operatori

 

Nuovo provvedimento del Garante sulle misure di protezione dei dati personali

E’ stato pubblicato in Gazzetta Ufficiale n. 269 del 19 novembre 2018, il Provvedimento del Garante per la protezione dei dati personali n. 467 dell’11 ottobre 2018 con il quale si indicano le tipologie di trattamenti di dati personali per le quali viene richiesta la valutazione d’impatto sulla protezione dei dati, secondo quanto stabilito dall’articolo 35 comma 4 del Regolamento UE 679/2016 “GDPR”.

Nello specifico, i trattamenti in questione sono i seguenti:

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Prossima entrata in vigore del nuovo Regolamento Europeo sulla “Privacy”

Uno studio del Censis del 2013 registrava come il 96% degli italiani ritenesse la riservatezza un “diritto inviolabile” del cittadino, e come il 93% degli italiani temesse di vedere attaccata la propria privacy on line. A tale preoccupazione, per il 53% degli intervistati si accompagnava una richiesta di regole di protezione più stringenti. Anche per soddisfare questa esigenza, il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, che entrerà in vigore il 25 maggio 2018. Il Regolamento Europeo “GDPR” (General Data Protection Regulation), si inserisce all’interno di quello che è stato definito il “Pacchetto europeo protezione dati”. Il Regolamento Europeo, già vigente senza bisogno di recepimento da parte degli stati membri, aveva stabilito un periodo di due anni prima della sua piena entrata in vigore per consentire agli stati membri ed alle organizzazioni di adeguarsi alle nuove disposizioni. Il Regolamento Europeo riguarda tutte le aziende dell’UE che trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE stessa.

Organizzazione del trattamento
Una delle novità di maggior rilievo è l’introduzione della nuova figura del “Data Protection Officer” (DPO), che va ad affiancarsi alle figure del “titolare”, del “responsabile” e dell’ “incaricato” del trattamento dei dati.
Il DPO dovrà essere individuato all’interno delle aziende pubbliche nonché in quelle ove i trattamenti comportano dei rischi specifici, come ad esempio quelle operanti su larga scala e quelle che trattano i c.d. “dati sensibili”.
Ogni azienda obbligata dovrà rendere noto il proprio DPO che dovrà essere contattabile da tutti gli “interessati” indicando i dati di contatto nell’ “informativa”; dati che dovranno essere trasmessi anche al locale “Garante per la protezione dei dati personali”.

Registro dei trattamenti
Altra novità è l’introduzione dell’obbligo di tenere un “registro delle attività di trattamento” svolte dalle organizzazioni, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”. Quest’ultimo adempimento è necessario in caso di trattamenti automatizzati, compresa la “profilazione”, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

Il Regolamento Europeo ha inoltre introdotto:

  • il “diritto all’Oblio”, ovvero le organizzazioni devono garantire la possibilità per gli interessati di decidere che i propri dati siano cancellati e non sottoposti ad ulteriormente trattamento.
  • il diritto alla “portabilità dei dati”, ovvero l’interessato ha il diritto di ricevere i dati personali che lo riguardano e deve poterli trasmettere a un altro titolare del trattamento senza impedimenti;
  • il principio di “accountability”, per il quale bisogna dimostrare di aver adottato delle politiche privacy e delle misure adeguate in conformità alle prescrizioni del Regolamento;
  • il principio della “privacy by design” per il quale devono essere attuate adeguate misure tecniche e organizzative nella progettazione e nell’esecuzione del trattamento dei dati;
  • il principio di “privacy by default” stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini;
  • la necessità di prevedere delle specifiche procedure di emergenza in caso di “data breach” ovvero nel caso in cui i dati trattati per fornire i servizi subissero gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

Sanzioni
Il Regolamento Europeo ha aumentato le sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato totale annuo dell’organizzazione, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

Privacy Audit
Fermo restando che devono essere emanati ancora alcuni chiarimenti applicativi, si comunica che Linea Service può fornire un servizio di “Privacy audit”, ovvero un intervento tecnico a cura di personale specializzato nella sicurezza dei dati, allo scopo di fotografare lo stato di fatto della Vostra organizzazione ed implementare le necessarie misure per adeguarsi alle nuove prescrizioni del Regolamento Europeo. Qualora interessati al nostro servizio vi invitiamo a mettervi in contatto con lo studio.

Buon lavoro.