Raccolta di spunti in materia Green Pass (14 ottobre 2021)

Riassumo qui i ragionamenti svolti nelle ultime ore, e pubblicati rapidamente su LinkedIn – oltre che inviati ai poveri clienti che navigano a vista, e che ringrazio sempre per la pazienza dimostrata in queste giornate turbolente!

Riporto qui la personale linea guida seguita: buonsenso, conoscenza delle norme (almeno, per come sono scritte), e interpretazione secondo l’obiettivo che ciascuna regola mira a raggiungere. Se non serve per tale scopo, una attività è superflua e inutile.

Checklist del 14/10 (pomeriggio)

Devo aver completato (e firmato o reso comunque ufficiale!) il mio protocollo utile sia sul fronte requisiti dell’art. 9-septies DL 52/2021 che per gestire gli aspetti privacy (non pochi). Uno fra tanti, tutto il flusso di comunicazione in caso di verifiche negative (tra verificatore, direzione, HR, consulente del lavoro per le paghe, referenti di funzione che gestiranno le assenze, e altri).

Devo aver dato le istruzioni ai “verificatori” che da domani inizieranno le attività di controllo, come organizzate su carta all’interno del protocollo: mi sono anche accertato che gli sia tutto chiaro, e che i loro nomi siano inseriti in una lista che potrei dover fornire all’autorità che viene a controllarmi.

Ho messo a disposizione di tutti i verificatori la informativa privacy in merito al trattamento dei dati (possibilmente, un documento snello – si può fare su una facciata: sono poche le informazioni essenziali, dato che ad es. ai dipendenti ho già fornito una precedente informativa generale!)

Se mi voglio sentire sicuro, ho previsto un verbalino da far compilare ai verificatori con dati SOLO STATISTICI sui controlli svolti: niente dati personali (tranne il loro nome e firma..)

Ho infine nominato e istruito i miei fornitori a supporto per gli specifici trattamenti previsti (consulente del lavoro per le paghe, vigilanza, altri)

Sono a posto? Forse.

Se non l’ho già fatto, potrei mandare una mail a tutti, lavoratori consulenti e fornitori, per ricordargli che domani entra in vigore l’obbligo? Si, per trasparenza (soprattutto verso i lavoratori), ma state certi che ciascun fornitore ne avrà ricevute molte, e sarà informato di sicuro della cosa.

Le fonti sono i Decreti Legge (ancora da convertire), i DPCM come da ultimo aggiornati (e non ancora interamente pubblicati), le FAQ del Governo (non ancora fonte di legge, almeno per ora!) e le posizioni espresse dall’Autorità Garante.

Spunti di mercoledì 13/10

A poche ore dall’entrata in vigore della obbligatorietà del possesso della certificazione verde Covid-19 per l’accesso ai luoghi di lavoro, arrivano gli ultimi aggiornamenti (e qualche cantonata, a cui siamo tutti esposti in questo periodo convulso)

FAQ del Governo, in cui si legge che “il datore di lavoro deve (…) effettuare una segnalazione alla Prefettura ai fini dell’applicazione della sanzione amministrativa” in caso di verifica di un lavoratore sprovvisto del Green Pass. In che modo? E poi, sempre o solo se il lavoratore è entrato (e non se lo si respinge all’ingresso)? Non è chiaro, nè chiarito. Ma si “colora” l’art. 9-septies ultimo comma di una lettura che prima veniva considerata esclusa (quella del “soggetto incaricato dell’accertamento” individuato – inizialmente – solo nella forza pubblica).

Il Garante Privacy a approvato lo schema di DPCM di aggiornamento dell’uso di VerificaC19 e app complementari: SI ai totem e altri meccanismi automatizzati, nel rispetto del GDPR, SI alla piattaforma unica per la verifica massiva ma sempre con determinate cautele e con minimizzazione dei dati trattati. Nuovamente un chiaro NO alla conservazione dei dati estratti dalla verifica del Green Pass, per “schedature” del personale.

Confindustria ha pubblicato diverse (interessanti) note di aggiornamento e modelli, che hanno però creato una certa confusione, insieme a qualche passaggio di un articolo del Sole24ore. Chiariamoci: NO alla conservazione dei dati personali dei verificati, SOLO annotazione di eventuali situazioni di assenza del Green Pass per la finalità – esclusivamente – di gestione delle conseguenze lavoristiche e organizzative. Quindi i diversi “verbali” circolati come modelli vanno depurati delle colonne relative ai dati personali (la finalità di questi report è, in effetti, solo quella di comprovare la consistenza delle verifiche, se svolte a campione).

Nuove linee guida di Confindustria: focus sull’Organismo di Vigilanza

Ecco come sono cambiate le indicazioni di Confindustria, approvate dal Ministero, dal 2014 ad oggi.

In questo articolo riportiamo:

  • i riferimenti delle nuove Linee Guida;
  • le principali novità del documento;
  • un focus sugli aspetti di rilievo per l’Organismo di Vigilanza (“OdV”).

La recente pubblicazione

L’8 giugno 2021 il Ministero delle Attività produttive ha approvato le nuove ed aggiornate “Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del D. Lgs 8 giugno 2001 n. 231”, redatte e presentate da Confindustria Nazionale, in adeguamento di quelle già esistenti e frequentemente utilizzate come parametro per la predisposizione di idonei Modelli.

La pagina informativa è raggiungibile a questo link, dove è possibile scaricare sia il position paper generale che quello relativo alla c.d. “Parte Speciale” del Modello di Organizzazione, Gestione e Controllo (“MOGC”), ovvero dove sono solitamente inseriti i protocolli e le procedure operative aziendali.

Le novità

Il documento, anche grazie al patrimonio di giurisprudenza e dottrina maturato dal 2014 ad oggi (con frequenti richiami nel testo), si è arricchito di novità puntuali e interessanti, che trovano origine sia in modifiche normative che in aspetti prettamente operativi.

In particolare, sono stati introdotti dei “case studies” per i nuovi reati presupposto, come aggiunti dalla data di redazione delle precedenti Linee Guida (2014) ad oggi, e una trattazione approfondita della materia del whistleblowing, che sarà peraltro oggetto di riforma a breve, vista l’emanazione della Direttiva UE n. 2019/1937 a cui farà seguito – in forza della Legge di Delegazione Europea n. 53/2021 – un Decreto Legislativo di recepimento.

Sono altresì presenti importanti chiarimenti in merito ad aspetti operativi, tra cui:

  • l’adeguamento del Codice Etico,
  • l’approfondimento delle modalità dei flussi informativi da e verso il Collegio Sindacale,
  • le modalità formative/informative del personale, e
  • il rapporto con i sistemi certificativi ISO.

Diverse sono, infine, le indicazioni “aggiornate” che riguardano l’Organismo di Vigilanza o OdV, anche a fronte della ben nota carenza di indicazioni puntuali in materia, da parte del Legislatore.

Ricadute pratiche in tema di Organismo di Vigilanza

Le Linee Guida, prima di tutto, sottolineano e meglio definiscono i requisiti di autonomia e indipendenza, di professionalità e di continuità di azione che devono caratterizzare l’OdV.

A tal fine, viene fatta notare l’opportunità di tenere rigorosamente distinti i compiti di controllore (l’OdV) e controllata (l’organizzazione aziendale), evitando sovrapposizioni rischiose in caso di componenti dell’Organismo che appartengano all’azienda, come c.d. membri interni.

In proposito, il paper sottolinea piuttosto come possibile l’opzione di investire delle funzioni di OdV il Collegio Sindacale, o – in caso di funzioni interne già esistenti – si ricorda la compatibilità (anzi, per certi versi l’opportunità) tra il richiamato ruolo di membro OdV e “Comitato Controllo e Rischi” o Internal Audit.

Le Linee Guida ricordano poi di garantire costantemente, e nel modo più efficace (pur senza duplicazioni) un razionale e costante flusso di informazioni proprio tra il Collegio Sindacale e l’OdV, in quanto entrambi accomunati – almeno in parte – da compiti di controllo e vigilanza.

Infine, giova sottolineare come le nuove indicazioni di Confindustria contengano una importante puntualizzazione sulla (insussistenza di) responsabilità penale dell’OdV, derivante dalla sua natura di organo non titolare di obblighi di controllo, quanto piuttosto di poteri di verifica, e così ben lontana dal rivestire posizione di garanzia azionabile in sede di giudizio.

_____________________________________________

Photo by Unknown for Enfold Theme

Green Pass e gestione dei dati personali

Il 6 settembre scorso è stata pubblicata dal Garante la Nota oggetto di questa news, di cui riportiamo:

  • i riferimenti in tema di gestione del c.d. “Green Pass”,
  • le principali indicazioni fornite dal Garante italiano, e
  • le modalità operative di gestione delle verifiche demandate alle aziende.

Le novità di settembre 2021

Nella giornata di ieri, 6 settembre 2021, il Garante italiano ha pubblicato una Nota Istituzionale, raggiungibile a questo link, in relazione ad “alcuni quesiti” presentati all’Autorità nel corso delle ultime settimane in relazione agli aspetti pratici e operativi di quanto previsto dal D.L. 105 del 2021, che ha introdotto l’obbligatorietà di verifica del c.d. “Green Pass” (o certificazione verde a carattere sanitario).

Appare evidente l’interesse generale di tali quesiti, e soprattutto delle relative risposte dell’Autorità (che, per quanto non aventi forza di legge, restano comunque di assoluta rilevanza interpretativa): per tale ragione, è utile riportarne di seguito una sintesi.

Il contenuto della Nota pubblicata

In primo luogo, il Garante ricorda la legittimità del trattamento di dati personali (anche, eventualmente, di tipo sanitario e quindi “particolari”) qualora si resti nel perimetro fissato dalla normativa di volta in volta vigente: ad esempio, alla data di redazione della Nota, gli artt. 9 e 9-bis del D.L. 52/2021 (convertito con modificazioni dalla legge n. 87/2021) che riportato i casi in cui è prevista l’obbligatorietà di controllo del Green Pass.

Il Garante procede altresì a ricordare – prima di tutto, al Legislatore – che dovrà essere a brevissimo oggetto di ulteriore produzione normativa la regolamentazione dell’uso e verifica delle certificazioni alternative al Green Pass, per i soggetti cui è impedita la vaccinazione e/o che sono comunque esentati dal presentare la certificazione verde nei casi di controllo obbligatorio.

In generale, il Garante conclude ricordando a ogni soggetto qualificabile come “Titolare del trattamento” (e quindi a ogni esercizio e/o attività che ricade nell’onere di verificare il Green Pass) che la normativa si regge – anche in materia di sanzioni – su principi come quello di c.d. “minimizzazione“, e quindi di riduzione ove possibile e al massimo dei dati personali trattati (consultati, salvati o anche solo brevemente visualizzati): il rispetto dello spirito della normativa dovrebbe nella maggior parte dei casi porre al riparo l’esercente (come detto, “Titolare” del trattamento) dalle sanzioni pecuniarie, astrattamente molto salate, previsto dal Reg. UE 2016/679 o “GDPR”.

Le modalità operative di rispetto delle indicazioni del Garante

In primo luogo, vale quindi la pena ricordare che il controllo del Green Pass è previsto solo e soltanto nei casi previsti dalla legge: per questa ragione, sarà necessario confrontare sempre l’evento o la situazione in cui ci si trova con l’elencazione sopra individuata, per poter stabilire se è (o meno) lecito procedere alla verifica.

Inoltre, la verifica dovrà necessariamente essere effettuata tramite l’app ufficiale “VerificaC19”, e non a mezzo di altre applicazioni – pure presenti sugli store iOS e Android – che permettono invece di “salvare” i Green Pass scansionati: tali diverse applicazioni – ferma la loro discutibile liceità – dovranno esclusivamente essere usate qualora un privato ritenga di voler memorizzare il proprio QR Code e/o quello di familiari, per praticità e solo per uso personalissimo.

Infine, sono importantissime le istruzioni fornite ai dipendenti e/o incaricati della verifica: opportuno che esse siano scritte, semplici e possibilmente soggette a dimostrazione della loro chiara sottoposizione all’operatore incaricato.

_____________________________________

Photo by sentidos humanos on Unsplash