Articoli

Green pass obbligatorio per tutti i lavoratori

E’ stato approvato e pubblicato in Gazzetta Ufficiale il Decreto Legge 21 settembre 201 n. 127 che entra in vigore oggi, il 22 settembre 2021, in sostanza confermando quanto già varato dal Consiglio dei Ministri il 16 settembre scorso in merito all’introduzione dell’obbligo del Certificato Verde Covid-19 per i lavoratori, il cosiddetto “Green-pass”, per poter accedere a tutti i luoghi di lavoro. A partire dal 15 ottobre e fino al 31 dicembre 2021 (che ad oggi è il termine dello stato di emergenza), sarà infatti obbligatorio esibire il Certificato Verde Covid-19 per poter accedere ai luoghi di lavoro per tutti i lavoratori privati compresi i lavoratori autonomi e gli eventuali lavoratori esterni alle aziende quali ad esempio manutentori e appaltatori in genere. Il lavoratore sprovvisto del Certificato Verde Covid-19, a partire dal 15 ottobre non potrà accedere ai luoghi di lavoro e verrà considerato assente ingiustificato senza retribuzione fino alla presentazione di una valida certificazione.

Controlli
I controlli sul corretto possesso del Certificato Verde Covid-19 sono demandati ai datori di lavoro. Possibilmente tali controlli saranno da effettuarsi all’accesso al luogo di lavoro, anche a campione. Entro il 15 ottobre i datori di lavoro dovranno pertanto definire le modalità per l’organizzazione delle verifiche.

Sanzioni
Il lavoratore sorpreso all’interno dei luoghi di lavoro senza un valido Certificato Verde Covid-19 deve essere segnalato al Prefetto e rischia una sanzione amministrativa dai 600 ai 1.500 euro senza altre conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro.  Le sanzioni sono irrogate dal Prefetto. Le sanzioni per i datori di lavoro che non metteranno in pratica le misure di controllo previste entro il 15 ottobre vanno dai 400 ai 1.000 euro.

Vaccinazioni
I lavoratori indecisi al vaccino hanno poco tempo per mettersi in regola. Si tenga presente infatti che chi intende fare la prima dose di vaccino per ottenere la certificazione verde, ha tempo solo fino alla fine di settembre per essere in regola al 15 ottobre. Il green pass verrà generato dal 12° giorno dopo la somministrazione della prima dose e sarà valido a partire dal 15° giorno fino alla dose di richiamo. Unica eccezione per i guariti dal Covid-19, per i quali il l Certificato Verde Covid-19 sarà attivo a partire dal giorno stesso della somministrazione della prima dose.

Tamponi
In alternativa alla vaccinazione, per ottenere il Certificato Verde Covid-19 è possibile sottoporsi al tampone nasofaringeo o salivare. In questo caso il Green-pass ha una validità di 48 ore se si ottiene con il test rapido antigenico, mentre invece l’utilizzo del tampone molecolare consente di prolungarne la validità fino a 72 ore. E’ prevista l’applicazione di un prezzo calmierato per i tamponi che verranno effettuati presso farmacie e le strutture convenzionate con il Servizio Sanitario Nazionale e autorizzate dalle Regioni alla somministrazione dei test. I tamponi saranno gratuiti solo per chi è esentato dalla vaccinazione mediante apposita certificazione medica.

Chi controlla
I controlli sul corretto possesso del Certificato Verde Covid-19 sono demandati al datore di lavoro, possibilmente da effettuarsi all’accesso al luogo di lavoro, anche a campione. Entro il 15 ottobre i datori di lavoro devono definire le modalità per l’organizzazione delle verifiche. Il decreto prevede espressamente un atto di nomina formale con cui il datore di lavoro individui il soggetto incaricato di accertare il rispetto dell’obbligo Certificato Verde Covid-19 imposto dalla normativa. I soggetti incaricati dei controlli per conto dei datori di lavoro dovranno trasmettere al Prefetto gli atti relativi alle eventuali violazioni riscontrate.

Implicazioni sulla tutela della privacy
Sebbene il decreto non preveda nulla di esplicito in merito alle implicazioni sulla tutela dei dati personali sarà opportuno prendere in considerazione tale nuovo trattamento nell’ambito degli adempimenti di cui al GDPR. L’addetto al controllo incaricato dal datore di lavoro dovrà essere considerato un autorizzato al trattamento da parte di quest’ultimo, dovrà ricevere precise istruzioni sui limiti a cui il trattamento dei dati contenuti nel Green pass è soggetto. Sarà quindi opportuno formalizzare un atto di designazione del controllore incaricato quale lavoratore “autorizzato al trattamento”, avendo cura di chiarire formalmente le modalità attuative concrete con cui il controllore dovrà effettuare la verifica. Inoltre sarà opportuno definire la procedura da applicarsi in caso di esito di verifica negativa del Green pass o di mancanza dello stesso, avendo cura di garantire il diritto alla riservatezza e dignità del lavoratore. E’ pertanto auspicabile infine una integrazione dei documenti privacy in uso alle aziende, quali il registro dei trattamenti e l’informativa sulla privacy per i lavoratori dipendenti, anche redigendone una ad hoc e apponendola in bacheca o in prossimità del luogo in cui l’addetto effettua la verifica.

Chiarimenti attesi
Attendiamo entro la fine di settembre i chiarimenti tecnici da parte del Governo che emanerà delle linee guida specifiche.

Prossima entrata in vigore del nuovo Regolamento Europeo sulla “Privacy”

Uno studio del Censis del 2013 registrava come il 96% degli italiani ritenesse la riservatezza un “diritto inviolabile” del cittadino, e come il 93% degli italiani temesse di vedere attaccata la propria privacy on line. A tale preoccupazione, per il 53% degli intervistati si accompagnava una richiesta di regole di protezione più stringenti. Anche per soddisfare questa esigenza, il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, che entrerà in vigore il 25 maggio 2018. Il Regolamento Europeo “GDPR” (General Data Protection Regulation), si inserisce all’interno di quello che è stato definito il “Pacchetto europeo protezione dati”. Il Regolamento Europeo, già vigente senza bisogno di recepimento da parte degli stati membri, aveva stabilito un periodo di due anni prima della sua piena entrata in vigore per consentire agli stati membri ed alle organizzazioni di adeguarsi alle nuove disposizioni. Il Regolamento Europeo riguarda tutte le aziende dell’UE che trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE stessa.

Organizzazione del trattamento
Una delle novità di maggior rilievo è l’introduzione della nuova figura del “Data Protection Officer” (DPO), che va ad affiancarsi alle figure del “titolare”, del “responsabile” e dell’ “incaricato” del trattamento dei dati.
Il DPO dovrà essere individuato all’interno delle aziende pubbliche nonché in quelle ove i trattamenti comportano dei rischi specifici, come ad esempio quelle operanti su larga scala e quelle che trattano i c.d. “dati sensibili”.
Ogni azienda obbligata dovrà rendere noto il proprio DPO che dovrà essere contattabile da tutti gli “interessati” indicando i dati di contatto nell’ “informativa”; dati che dovranno essere trasmessi anche al locale “Garante per la protezione dei dati personali”.

Registro dei trattamenti
Altra novità è l’introduzione dell’obbligo di tenere un “registro delle attività di trattamento” svolte dalle organizzazioni, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”. Quest’ultimo adempimento è necessario in caso di trattamenti automatizzati, compresa la “profilazione”, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

Il Regolamento Europeo ha inoltre introdotto:

  • il “diritto all’Oblio”, ovvero le organizzazioni devono garantire la possibilità per gli interessati di decidere che i propri dati siano cancellati e non sottoposti ad ulteriormente trattamento.
  • il diritto alla “portabilità dei dati”, ovvero l’interessato ha il diritto di ricevere i dati personali che lo riguardano e deve poterli trasmettere a un altro titolare del trattamento senza impedimenti;
  • il principio di “accountability”, per il quale bisogna dimostrare di aver adottato delle politiche privacy e delle misure adeguate in conformità alle prescrizioni del Regolamento;
  • il principio della “privacy by design” per il quale devono essere attuate adeguate misure tecniche e organizzative nella progettazione e nell’esecuzione del trattamento dei dati;
  • il principio di “privacy by default” stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini;
  • la necessità di prevedere delle specifiche procedure di emergenza in caso di “data breach” ovvero nel caso in cui i dati trattati per fornire i servizi subissero gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

Sanzioni
Il Regolamento Europeo ha aumentato le sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato totale annuo dell’organizzazione, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

Privacy Audit
Fermo restando che devono essere emanati ancora alcuni chiarimenti applicativi, si comunica che Linea Service può fornire un servizio di “Privacy audit”, ovvero un intervento tecnico a cura di personale specializzato nella sicurezza dei dati, allo scopo di fotografare lo stato di fatto della Vostra organizzazione ed implementare le necessarie misure per adeguarsi alle nuove prescrizioni del Regolamento Europeo. Qualora interessati al nostro servizio vi invitiamo a mettervi in contatto con lo studio.

Buon lavoro.