Tema caldo del momento è indiscutibilmente la certificazione verde (comunemente definita “green pass”) la cui disciplina è prevista dal combinato degli articoli 9 e 9-bis del d.l. n.52/2021 (convertito poi, con modificazioni, dalla legge n.87/2021). Gli articoli in questione sanciscono le condizioni alle quali la certificazione viene rilasciata: avvenuta vaccinazione contro il SARS-CoV-2, guarigione dall'infezione da SARS-CoV-2, effettuazione di un test molecolare o antigenico rapido con risultato negativo al virus e la validità della stessa (“dodici mesi” come da l. n. 126 del 2021 per la vaccinazione e 72/48 ore per il tampone molecolare/antigenico). Le misure attuative che sono state invece inserite nell’art. 13 del DPCM del 17 giugno 2021 riguardano la piattaforma “Digital Green Certificate”, che a livello nazionale si occupa di processare ed emettere certificazioni verdi valide e l’Anagrafe Nazionale Vaccini, banca dati che detiene i dati personali (ad esempio e-mail, numero di cellulare) forniti dal cittadino nel momento della somministrazione vaccinale. Dal momento in cui il Green Pass, a partire dal 15/10/2021, è divenuto obbligatorio sul posto di lavoro, una serie di quesiti sono venuti a galla. Ci si è infatti interrogati in merito alla tutela dei dati personali che il soggetto è tenuto a fornire al sistema sanitario prima di immunizzarsi, ci si è inoltre chiesti con quali modalità i datori di lavoro fossero legittimati a verificare la detenzione della certificazione verde da parte dei propri dipendenti (controllo al quale, in base a quanto previsto dalla legge, sono tenuti) e quali modalità invece valicassero quella linea piuttosto sottile che avrebbe potuto condurli nel baratro del mancato rispetto della privacy. Appariva da subito inverosimile, soprattutto nelle grandi imprese con un numero di dipendenti non trascurabile (in cui a maggior ragione, quindi, era di primaria importanza rispettare le regole imposte per scongiurare l’inesorabile avanzata del virus), che ogni mattina uno o più soggetti dovessero essere predisposti al controllo dei green pass ai dipendenti. Tuttavia, il datore poteva allora procedere richiedendo a questi ultimi il certificato per poi conservarlo fino a che lo stesso sarebbe stato valido (inizialmente 12 mesi, poi divenuti 9, ulteriormente ridotti a 6 mesi a partire dal 1° febbraio 2022 per avvenuta vaccinazione o 72/48h in caso di tampone)?
Per chiarire eventuali dubbi in merito, il parlamento ha definitivamente approvato con voto di fiducia il Decreto Legge 105/2021 concernente “Misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 e per l’esercizio in sicurezza di attività sociali ed economiche”. Il decreto in questione ha introdotto diverse novità in tal senso: ai fini del rilascio del Green Pass il tampone molecolare può essere eseguito su un campione salivare, conformemente ai criteri previsti con circolare dal Ministero della salute; la durata della validità della certificazione data da vaccinazione viene elevata da nove a dodici mesi e, infine, la validità del certificato di vaccinazione per i soggetti che hanno contratto l’infezione da COVID-19 parte dal quindicesimo giorno successivo all’avvenuta somministrazione ed è in questi casi sufficiente una sola dose di vaccino.
In merito alla tutela dei dati personali si è espresso il Garante della Privacy che ha chiarito che il decreto legge 105/2021 è legittimo nella misura in cui il trattamento dei dati personali sia limitato alla verifica dei dati in esame (avvenuta vaccinazione o referto negativo a seguito di tampone molecolare o antigenico); tale verifica deve avvenire in base alle modalità previste dal DPCM del 17 giugno 2021, il quale, a tutela del cittadino, esclude la possibilità per i datori di lavoro di raccogliere e detenere i dati dell’intestatario del green pass. Il decreto in esame estende l’applicazione della certificazione verde anche a quei soggetti che sono esonerati dalla campagna vaccinale per motivi di salute.
In altre parole, con il parere n. 363 dell’11 ottobre 2021 (Parere sullo schema di decreto concernente “Modifiche al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021, recante «Disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, "Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19"» - 11 ottobre 2021”), ai sensi dell’ art. 58, paragrafo 3, lett. c) del Regolamento GDPR 2016/679 UE, ha ritenuto legittime le modifiche introdotte rispetto al DPCM del 17/06/2021 e ha ritenuto legittima l’attività di verifica da parte del datore di lavoro in merito alla certificazione verde dei dipendenti dell’azienda, purchè tale controllo venga attuato nel pieno rispetto delle modalità previste dal decreto del Consiglio dei Ministri e non entri in antinomia con la tutela dei dati personali. Tuttavia, appare necessario far inoltre riferimento all’ultimo intervento in materia del Garante, datato 13/12/2021, divenuto impellente a seguito dell’ulteriore provvedimento (decreto legge n. 172/2021) in tema di certificazioni verdi e obbligo vaccinale per talune categorie di lavoratori, applicabile a partire dal 15 dicembre 2021. Il Presidente dell’Autorità Garante della tutela dei dati personali Pasquale Stanzione ha prescritto al Ministero della salute di adottare le seguenti misure per tutelare diritti e libertà fondamentali degli individui, tenendo in considerazione la situazione epidemiologica e lo stato emergenziale in cui versa il Paese (e purtroppo non solo) allo stato attuale:
- definire in modo puntuale i soggetti rientranti nella categoria “personale sanitario” sui quali verte l’obbligo vaccinale;
- adottare degli accorgimenti idonei a rendere lampante al soggetto interessato la modalità utilizzata per effettuare controlli (anche tramite l’introduzione sull’app di verifica “VerificaC19” di elementi grafici e visivi che permettano di differenziare le due modalità di verifica, quella “base” e quella “rafforzata”);
- apportare modifiche all’app in modo tale da non mostrare al soggetto impiegato nell’attività di verifica informazioni, diciture o colori che possano svelare la sussistenza di situazioni particolari in merito al rilascio della certificazione verde (es. “Certificazione valida solo in Italia” ovvero “prima dose vaccinale”), essendo questi dei dati meritevoli di tutela e non necessari ai fini dell’attività in questione;
- effettuare una valutazione d’impatto inerente la protezione dei dati personali, tenendo conto che questi fanno riferimento allo stato di salute degli interessati, talvolta anche soggetti fragili, e che pertanto, in quanto tali, potrebbero avere conseguenze discriminatorie, anche indirette, nel contesto lavorativo.
Il Garante ha inoltre richiesto al Ministro, ai sensi dell’art. 157 del Codice di protezione dei dati personali Dlgs n.196/2003, di comunicare, entro 15 giorni dalla ricezione del parere, quali azioni sono state intraprese o si intende intraprendere affinché siano attuate le indicazioni da esso fornite. La situazione appare piuttosto complessa, i dubbi ma soprattutto i punti di domanda sono ancora molteplici e chissà se e quando troveranno risposta certa, tuttavia si auspica il tempestivo intervento da parte dell’esecutivo affinché siano applicate e rispettate le indicazioni fornite dal Presidente dell’Autorità Garante della Privacy e sia operato un bilanciamento proporzionato tra diritti e libertà fondamentali e restrizioni che, ci auguriamo, possano essere ben presto solo un lontano ricordo.