Controlli in azienda e Green Pass: novità del 21 settembre 2021

Tenuto conto della novità di ieri – ancora in via di esatta definizione – riguardo alla obbligatorietà di possesso del Green Pass per accedere ai luoghi di lavoro in ambito privato, ho ritenuto utile cominciare a proporre alcuni appunti sul Decreto Legge appena approvato, corredati da spunti operativi dedicati ai naviganti (le aziende). Tutto questo, alla data del 22 settembre 2021, ore 15:30 (caveat per i posteri).

La situazione attuale

E’ stato approvato oggi (21 settembre) il Decreto Legge n. 127/2021 (QUI in Gazzetta Ufficiale), con cui il Governo interviene in via d’urgenza – come siamo ormai abituati a vedere – sulla gestione della pandemia da Covid-19 tutt’ora in atto.

Con l’art. 3 del Decreto Legge si forniscono le disposizioni in “ambito lavorativo privato”: in sostanza, e prima di tutto, per le aziende, gli studi professionali, le ONLUS e tutti gli ambiti “non pubblici” e/o giudiziari (su cui invece rilevano gli artt. 1 e 2).

Giova ricordare che il Decreto Legge dovrà essere convertito in legge entro 60 giorni dalla sua pubblicazione, da parte del Parlamento, con eventuali modifiche.

La norma chiave sarà quindi, salvo modificazioni, l’art. 9-septies del D. L. 52/2021.

Principali tematiche aperte

Primo punto è, ovviamente, la data fatidica di “obbligo” della verifica del Green Pass: il 15 ottobre 2021. Va anche precisato che, al momento – e non poteva essere diversamente – l’obbligo resterà valido fino a tutto il 31 dicembre 2021, termine previsto dello stato di emergenza. Si dubita, naturalmente, che al 1 gennaio 2022 tutto ciò venga meno, in quanto (purtroppo) la situazione pandemica appare ben lontana dall’essere conclusa.

Ruota tutto intorno alla verifica, posta in capo ai datori di lavoro (comma IV), del rispetto dell’obbligo di possedere la “certificazione verde” (o Green Pass) attribuita a chiunque presti lavoro nel settore privato.

Il Decreto prevede:

  • la definizione delle “modalità operative” di verifica del Green Pass (istruzioni ai verificatori, procedure esatte),
  • la sua verifica “anche a campione”,
  • i luoghi di verifica (“prioritariamente, ove possibile, … al momento dell’accesso ai luoghi di lavoro”),
  • le sanzioni – sia per il lavoratore sprovvisto che per il datore che non controlla adeguatamente – in caso di mancato rispetto della normativa in vigore.

Tutto ciò oltre, naturalmente, al rispetto della protezione dei dati personali, su cui sia il legislatore che il Garante si sono già soffermati, e su cui probabilmente torneranno con l’emanazione di un DPCM (il Governo) e di linee guida (l’Autorità), ci si augura non a ridosso del 15 ottobre prossimo.

Si crea allora un quadro sempre più complesso e articolato, rispetto alla ultime news a cui ci siamo rapidamente abituati (QUI alcuni spunti pubblicati nei giorni scorsi).

Azioni operative in vista del 15 ottobre

La formulazione della norma appare il risultato – evidente – di una mediazione, che si è svolta tra diverse sensibilità e potrebbe anche non essere del tutto terminata.

Si lascia infatti al datore di lavoro una certa discrezionalità – utile e pericolosa insieme – su come predisporre i controlli e gestire il flusso di informazioni e dati personali.

La flessibilità è utile, perché in aziende di ampie dimensioni e/o suddivise in diversi luoghi (ad esempio, di produzione) sarà possibile fare verifiche “a campione”, ovvero non puntuali e stressanti ogni giorno, ma predisporre un piano di controlli sensato e adatto alle esigenze.

Una prima proposta di lavoro, ad esempio, potrebbe esser quella di verificare una prima volta tutti i lavoratori, il 15 ottobre, e poi disporre controlli a campione, non potendo sapere quali Green Pass fossero “da vaccinazione” e quali “da tampone” (l’app VerificaC19 non dà informazioni in merito, e non è permesso chiedere dati ulteriori).

Vero è che con i controlli a campione potrebbero sfuggire situazioni di assenza del Green Pass, anche per più giorni consecutivi: e allora, se non in base alla sanzione del Decreto Legge, il rischio per il datore di lavoro – e l’RSPP – sarebbe configurabile certamente in tema D. Lgs. 81/2008, ovvero lato sicurezza sul lavoro. Un bilanciamento di esigenze sarà probabilmente da studiare, caso per caso, escludendo soluzioni “standard”.

Stessa flessibilità viene concessa anche per il luogo di effettuazione delle verifiche: “prioritariamente, ove possibile” al momento dell’accesso ai luoghi di lavoro. Ciò significa che ben potrebbe il datore di lavoro gestire la verifica (sempre a campione, in teoria) anche all’interno dello stabilimento, qualora non vi siano altre possibilità o esse siano particolarmente gravose – anche considerando che andiamo incontro al periodo invernale. Come potrebbe essere sensato creare lunghe file all’esterno di un capannone industriale, magari al freddo, tenendo decine o centinaia di lavoratori per diversi minuti fermi, mentre il personale verifica tramite l’App ufficiale i Green Pass?

Va infatti ricordato, per chiudere le considerazioni pratiche, che non è consentito alcun trattamento di dati ulteriore, rispetto all’uso “manuale” della App ufficiale.

Non sono previsti totem o altri sistemi di memorizzazione, né raccolta su file excel o database di informazioni inerenti il Green Pass (“valido”/”non valido” si è visto in ambito scolastico, solo tramite piattaforma validata dal Garante, e solo con accesso limitato a pochi soggetti ben determinati).

In ultimo, va ricordato anche che la norma di cui all’art. 9-septies impone la verifica non solo verso i propri dipendenti, ma anche sui collaboratori esterni, fornitori e consulenti che accedono ai locali aziendali – in collaborazione con il datore di lavoro di questi ultimi, se presente.

In sostanza, le cautele dovranno essere molte, e ben strutturate.

_____________________________________________

Photo by LYCS Architecture on Unsplash

Green Pass e gestione dei dati personali

Il 6 settembre scorso è stata pubblicata dal Garante la Nota oggetto di questa news, di cui riportiamo:

  • i riferimenti in tema di gestione del c.d. “Green Pass”,
  • le principali indicazioni fornite dal Garante italiano, e
  • le modalità operative di gestione delle verifiche demandate alle aziende.

Le novità di settembre 2021

Nella giornata di ieri, 6 settembre 2021, il Garante italiano ha pubblicato una Nota Istituzionale, raggiungibile a questo link, in relazione ad “alcuni quesiti” presentati all’Autorità nel corso delle ultime settimane in relazione agli aspetti pratici e operativi di quanto previsto dal D.L. 105 del 2021, che ha introdotto l’obbligatorietà di verifica del c.d. “Green Pass” (o certificazione verde a carattere sanitario).

Appare evidente l’interesse generale di tali quesiti, e soprattutto delle relative risposte dell’Autorità (che, per quanto non aventi forza di legge, restano comunque di assoluta rilevanza interpretativa): per tale ragione, è utile riportarne di seguito una sintesi.

Il contenuto della Nota pubblicata

In primo luogo, il Garante ricorda la legittimità del trattamento di dati personali (anche, eventualmente, di tipo sanitario e quindi “particolari”) qualora si resti nel perimetro fissato dalla normativa di volta in volta vigente: ad esempio, alla data di redazione della Nota, gli artt. 9 e 9-bis del D.L. 52/2021 (convertito con modificazioni dalla legge n. 87/2021) che riportato i casi in cui è prevista l’obbligatorietà di controllo del Green Pass.

Il Garante procede altresì a ricordare – prima di tutto, al Legislatore – che dovrà essere a brevissimo oggetto di ulteriore produzione normativa la regolamentazione dell’uso e verifica delle certificazioni alternative al Green Pass, per i soggetti cui è impedita la vaccinazione e/o che sono comunque esentati dal presentare la certificazione verde nei casi di controllo obbligatorio.

In generale, il Garante conclude ricordando a ogni soggetto qualificabile come “Titolare del trattamento” (e quindi a ogni esercizio e/o attività che ricade nell’onere di verificare il Green Pass) che la normativa si regge – anche in materia di sanzioni – su principi come quello di c.d. “minimizzazione“, e quindi di riduzione ove possibile e al massimo dei dati personali trattati (consultati, salvati o anche solo brevemente visualizzati): il rispetto dello spirito della normativa dovrebbe nella maggior parte dei casi porre al riparo l’esercente (come detto, “Titolare” del trattamento) dalle sanzioni pecuniarie, astrattamente molto salate, previsto dal Reg. UE 2016/679 o “GDPR”.

Le modalità operative di rispetto delle indicazioni del Garante

In primo luogo, vale quindi la pena ricordare che il controllo del Green Pass è previsto solo e soltanto nei casi previsti dalla legge: per questa ragione, sarà necessario confrontare sempre l’evento o la situazione in cui ci si trova con l’elencazione sopra individuata, per poter stabilire se è (o meno) lecito procedere alla verifica.

Inoltre, la verifica dovrà necessariamente essere effettuata tramite l’app ufficiale “VerificaC19”, e non a mezzo di altre applicazioni – pure presenti sugli store iOS e Android – che permettono invece di “salvare” i Green Pass scansionati: tali diverse applicazioni – ferma la loro discutibile liceità – dovranno esclusivamente essere usate qualora un privato ritenga di voler memorizzare il proprio QR Code e/o quello di familiari, per praticità e solo per uso personalissimo.

Infine, sono importantissime le istruzioni fornite ai dipendenti e/o incaricati della verifica: opportuno che esse siano scritte, semplici e possibilmente soggette a dimostrazione della loro chiara sottoposizione all’operatore incaricato.

_____________________________________

Photo by sentidos humanos on Unsplash

La profilazione (parte 1)

Vediamo cos’è, come (e se) è legale, l’attività meglio nota come “profilazione”.

In questo articolo e nei successivi proveremo ad addentrarci nella definizione che il GDPR dà del tema, confrontandola poi con l’attività pratica e reale, soprattutto online.

Il contesto

Ne abbiamo tutti sentito parlare: molto spesso, in senso negativo e generale, come un’attività equiparabile alla “sorveglianza di massa” emersa dal caso Snowden.

Il termine usato (profiling nella versione inglese del GDPR) richiama alla mente, immediatamente, l’idea di un “dossieraggio” svolto da oscure organizzazioni che sfuggono al controllo della forza pubblica e, naturalmente, alle leggi vigenti in ambito privacy.

In realtà, la profilazione ha diversi risvolti positivi, se attuata correttamente: basti pensare all’enorme mole di comunicazioni marketing che riceviamo, ogni giorno e/o in ogni sito web che visitiamo, e che non hanno nessun tipo di rilevanza per i nostri gusti e abitudini di consumo. Quelle comunicazioni sono un “disturbo”, sono a tutti gli effetti “spam” per noi, poichè anche solo il tempo speso – perso! – a cancellare la e-mail dalla posta in arrivo, o a togliere il consenso all’invio di newsletter periodiche, costituisce comunque un momento e un’attività evitabile.

Evitabile, se solo chi ci ha inviato il messaggio si fosse domandato (e avesse capito) cosa ci interessa e cosa no, in base a chi siamo, dove siamo, cosa facciamo, eccetera.

La definizione

Per comprendere il concetto di “profilazione” in senso tecnico-normativo, allora, dobbiamo muoverci:

  • da un lato, rimuovendo l’accezione necessariamente negativa, e
  • dall’altro, tenendo ben presente i rischi che un “profiling” spinto della nostra persona e delle nostre abitudini comporta (qualcuno ha detto Cambridge Analytica?).

Soprattutto, per evitare di fare confusione, è assolutamente necessario tenere ben distinti due concetti sicuramente collegati, ma diversi:

  • una cosa è la “profilazione”
  • un’altra è la “decisione automatizzata”, nel senso tecnico previsto dal GDPR.

Partiamo allora dalla definizione di “profilazione” fornita dall’art. 4 GDPR:

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Proprio in riferimento alla c.d. “decisione automatizzata”, giova riportare qui una chiara indicazione fornita dal GDPR:

L’interessato (quindi, qualunque persona fisica) ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.

Tutto ciò, salvo alcuni casi specifici, fissati nel prosieguo del GDPR (azione necessaria per la conclusione di un contratto, autorizzazione di legge, consenso).

Un primo punto fermo: i diritti della persona

Dalla combinazione delle informazioni riportate sopra, si possono trarre alcuni iniziali assunti.

In primo luogo, la modalità principe – legale – per fare profilazione e/o avviare decisioni automatizzate è il “consenso“, ovvero una manifestazione di assenso esplicita, chiara, informata e (va aggiunto) facilmente revocabile e consultabile dalla persona.

In mancanza del consenso, l’azienda che si propone di fare profilazione e/o prendere decisioni automatizzate deve valutare attentamente come si sta comportando, e porre particolare cautela nell’elaborare i dati relativi a ciascuno di noi per creare un profilo di comportamento (spesso, commercialmente appetibile).

A questo punto, la domanda sorge spontanea: ma quando avrei dato il consenso a piattaforme come Facebook o Google per profilarmi e, quindi, inviarmi pubblicità basata sui miei interessi?

La risposta, ad oggi senza che sia stato ancora aperto un contraddittorio serio, è: quando hai creato il tuo account e/o, addirittura, usato le loro piattaforme anche se non eri registrato.

Fate una prova: attivate la navigazione anonima su un qualunque browser web, e poi accedete a www.google.it. Quello che leggerete all’apertura della pagina è il punto di partenza della seconda parte di questo approfondimento.

__________________________________________

Photo by Matthew Henry on Unsplash

Gare pubbliche e dati giudiziari

Ogni azienda che fa business con la Pubblica Amministrazione o con gli Enti Pubblici è abituata a gestire una importante mole di dati dei propri dipendenti e, soprattutto, personale che riveste funzioni apicali. In questo breve approfondimento puntiamo l’attenzione su

  • quali tipologie di dati sono interessate,
  • cosa prevede la normativa in proposito, e
  • alcuni aspetti operativi – necessari – per gestire i dati in compliance con la normativa.

Dati personali “giudiziari”

Ciascun bando di gara richiede la preparazione di una moltitudine di documenti, tra cui – oltre a quelli relativi alla società, all’offerta materiale ed economica e allo “storico” aziendale – anche diversi moduli a firma di persone fisiche. In particolare, vengono richieste informazioni in merito a precedenti penali e pregressi rapporti (anche di familiari) con associazioni illecite.

La partecipazione a gare pubbliche da parte di una società di diritto privato comporta pertanto – necessariamente – il trattamento di “dati giudiziari” di tali persone fisiche, ai sensi dell’art. 10 GDPR.

Non solo, infatti, la normativa prevede le presentazione di ampia documentazione mediante autodichiarazioni e/o moduli: spesso sono anche richiesti i certificati del casellario giudiziale in capo a diversi profili interni alla società, specialmente se aventi potere direzionale o ruoli di responsabilità, come Amministratori, Procuratori o – ad esempio – i componenti dell’Organisimo di Vigilanza ai sensi del D. Lgs. 231/2001.

L’art. 10 GDPR: i dati giudiziari

La ricezione del casellario giudiziale di una persona che riveste un ruolo apicale – per esempio, l’Amministratore Delegato – presenta profili di evidente rilevanza rispetto a quanto previsto dall’art. 10 GDPR, che recita:

Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza (…) deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Va inoltre ricordato che anche il “diniego” di aver commesso reati e/o avere procedimenti penali pendenti, deve essere considerato appunto un “dato giudiziario”, cioè riguardante reati e condanne penali della persona fisica.

Come se ciò non bastasse, alcune Autorità europee – seppur non il nostro Garante – hanno incluso nel novero delle informazioni qualificabili come “dato giudiziario” anche le contravvenzioni e/o sanzioni amministrative, ritenendole degne di tutela assimilabile ai reati veri e propri.

Non si dimentichi infine che, in taluni casi, le informazioni raccolte non saranno solo relative alla persona fisica che riveste una posizione in azienda, ma anche i suoi familiari, conviventi e/o soggetti terzi: la società, quale Titolare del trattamento, si troverà allora a processare dati personali di tutti loro, dovendo quindi predisporre le necessarie misure di gestione, informazione, garanzia e tutela.

Aspetti privacy operativi nelle gare pubbliche

L’impostazione – fortemente garantista – sopra individuata impone allora la ricerca della corretta base giuridica per il trattamento: in questi casi, diversamente da quanto previsto per i “dati particolari” (o precedentemente “sensibili”), non vige alcun divieto generalizzato di processare tali informazioni, ma un diverso obbligo, più stringente e “faticoso” per l’interprete e per il professionista che si trova, in particolare, a gestire il processo ed il relativo flusso di dati.

Si richiede infatti l’individuazione esatta della norma di legge in forza della quale l’azienda (Titolare del trattamento) deve raccogliere le dichiarazioni – ad esempio, la normativa in materia antimafia – e caricarle/sottoporle al soggetto che gestisce il bando.

Una volta individuata la base giuridica corretta, si dovrà procedere a predisporre la documentazione informativa e di compliance atta a garantire che il requisito – tanto vago quanto esigente – della “accountability” aziendale sia rispettato.

A titolo di elenco non esaustivo, potremmo ipotizzare di procedere con:

  • la redazione, prima di tutto, di una informativa per i dipendenti a cui vengono rivolte richieste di dati giudiziari (ex art. 13 GDPR), e – nel medesimo documento o a parte – una informativa anche per i relativi familiari e conviventi (ex art. 14 GDPR); tale testo dovrà anche ricordare la necessaria comunicazione a terzi dei dati, in quanto raccolti con finalità di partecipazione a una gara indetta da un ente pubblico;
  • la predisposizione di una procedura interna di gestione dei dati acquisiti, che preveda la limitazione di accesso alle informazioni secondo stretta necessità da parte degli operatori (persone autorizzate) del Titolare;
  • l’autorizzazione specifica, per gli operatori individuati dalla procedura, al trattamento dei dati giudiziari, in forza di apposite istruzioni (in particolare, divieto di diffusione);
  • la verifica che i dati forniti all’ente siano trattati correttamente anche da esso, in forza di idonea informativa, che si suggerisce di conservare.

___________________________

Credits: photo by Mikhail Pavstyuk on Unsplash