La disciplina delle certificazioni verdi sotto il profilo della protezione dei dati, come evidenziato più volte dal Garante per la protezione dei dati personali, implica un trattamento legittimo nella misura in cui si inscriva nel perimetro delineato dalla normativa nazionale vigente, da ultimo il Dl 21 settembre 2021 numero 127, le cui disposizioni avranno efficacia dal 15 ottobre al 31 dicembre fino a nuova modifica.
Nel documento web 6/09/2021 n. 9696958 sul sito https://www.garanteprivacy.it /home/docweb/-/docweb-display/docweb/9696958, nel quale l’Authority interviene per rispondere su quesiti relativi al green pass, questo ribadisce come sia legittimo nella misura in cui si limiti ai soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo in esame (titolarità della certificazione da vaccino, tampone o guarigione), nonché a tutte le operazioni a tal fine necessarie.
Gli studi di amministrazione dovranno attrezzarsi per svolgere i controlli in ingresso allo studio da parte del personale e dei collaboratori, ma dovranno anche attrezzarsi per effettuare dei controlli nei condomìni amministrati che sono luoghi di lavoro e saranno ancor di più in caso di cantieri per gli appalti collegati ai bonus fiscali. Il controllo deve essere quindi effettuato, in ambito condominiale, nei confronti del portiere, degli addetti alla pulizia, dei fornitori, ma anche dello stesso amministratore, in quanto tutti soggetti che svolgono, a diverso titolo, la loro attività lavorativa nel condominio.
Laddove lo studio, per questa attività, si faccia coadiuvare da un dipendente/collaboratore, questo soggetto deve essere nominato sia incaricato dell’accertamento e della contestazione delle violazioni degli obblighi collegati alla certificazione verde, sia addetto al trattamento dei dati, attraverso una nomina scritta che prescrive i limiti e le istruzioni relative al trattamento dei dati personali, come previsto dall’articolo 29 del Gdpr.
Inoltre, occorre disciplinare la conservazione delle informazioni di registrazione, posto che, anche se non è prevista la registrazione delle informazioni del green pass mediante l’app, il soggetto incaricato deve annotare le informazioni e dati personali dei dipendenti controllati.
Il decreto-legge dispone che «prioritariamente, ove possibile» i controlli devono essere eseguiti al momento dell’accesso ai luoghi di lavoro. Ecco quindi che l’amministratore, al fine di minimizzare i trattamenti, deve scrivere un piano motivato, nel quale indicare le modalità in cui si fanno i controlli e specificarne il perché. L’addetto al trattamento dati deve ricevere dettagliate istruzioni sia in relazione all’attività di verifica sia per quella di accertamento delle violazioni.
Dovendosi infatti applicare la numero 689 del 1981 nel caso di sanzioni amministrative, il soggetto accertatore deve verbalizzare l’attività svolta, dando atto dell’identità del trasgressore e delle circostanze di luogo e di tempo della violazione, tutti trattamenti di dati che necessitano un’autorizzazione e istruzioni specifiche ad hoc, così come richiesto dall’articolo 29 Gdpr.
L’amministratore, nel compiere detta attività, non può per giunta evitare di recarsi nel luogo di lavoro perché è esplicitamente vietato farsi inviare la certificazione dall’interessato (ad esempio a mezzo mail). La normativa, infatti, proprio per limitare i trattamenti ed in particolare l’inutile conservazione dei dati personali collegati alla certificazione, impone il limite dell’esclusivo utilizzo per dette operazioni dell’app Verifica C19 che scansiona il Qr code del certificato digitale o cartaceo che sia.
Per evitare rischi di abusi e le correlate sanzioni, è quindi importante che le istruzioni riportate nella nomina siano chiare e precise, a garanzia dello studio di amministrazione e dei dipendenti.
Circa le verifiche sul fornitore esterno, posto che il condominio, è definito «luogo di lavoro», va ricordata la risposta n. 5 del 12 ottobre alle faq della presidenza del Consiglio dei ministri, che recita così:
DOMANDA 5. Da chi devono essere effettuati i controlli sul green pass dei lavoratori che arrivano da società di somministrazione? Dalla società di somministrazione o dall’azienda in cui vengono distaccati?
RISPOSTA. I controlli devono essere effettuati da entrambe, sia dalla società di somministrazione, sia dall’azienda presso la quale il lavoratore svolge la propria prestazione».
Per lo svolgimento di questa nuova incombenza l’amministratore potrà svolgerla in via diretta, ovvero attraverso l’ausilio di collaboratori/dipendenti di studio.
L’attività in questione comporta inevitabilmente dei trattamenti di dati, ed ecco allora che il titolare di studio dovrà tenere aggiornato il registro dei trattamenti annotando quelli nuovi, che concernono l’attività. In primis, nel registro dovranno essere individuati gli interessati al trattamento che potranno essere i dipendenti, i collaboratori/stagisti, i volontari e i dipendenti di ditte esterne/fornitori, i lavoratori somministrati e tutte le persone che accedono ai locali per svolgere attività professionale e lavorativa.
Andrà anche specificata la finalità del trattamento che sarà collegata al prevenire il contagio e la diffusione del Covid-19 nei luoghi di lavoro (studio e condominio). Particolare attenzione la si deve tenere nello specificare le modalità in base alle quali viene effettuato il trattamento, andando a menzionare come il Titolare del trattamento avrà il compito di verificare il possesso e la validità della certificazione verde esclusivamente attraverso l’uso dell’app Verifica C19, senza effettuare finalità diverse o ulteriori rispetto a quelle espressamente previste dalla legge, che consistono unicamente nell’accertamento e contestazione delle violazioni collegate alla verifica sulla presenza o meno del green pass nel luogo di lavoro.
Meglio riportare nel registro delle attività di trattamento che questo viene effettuato soltanto da personale autorizzato e appositamente istruito.
L’amministratore, quindi, deve indicare nel registro delle attività di trattamento che gli unici dati che con la predetta attività di verifica e controllo tratta, sono il nome e cognome, data di nascita e identificativo univoco del certificato, nonché l’esito negativo o positivo della verifica, nel quale ultimo caso il soggetto accertatore, dovendo predisporre apposito verbale in ottemperanza alla legge 689/1981, andrà a trattare anche la data e il luogo della violazione ed effettuerà anche il trattamento della “trasmissione”del verbale alla Prefettura, tenendone una copia.
Questi aspetti devono essere tutti indicati nel registro che dovrà contemplare o fare riferimento a procedure interne allo studio che disciplinano questi passaggi.
È altresì il caso di indicare come, laddove vi sia il sospetto sull’identità dell’interessato, il soggetto accertatore potrà richiedere l’esibizione di un documento di riconoscimento per un raffronto con i dati raccolti dalla scansione del Qr code. Posto infine che il registro delle attività dei trattamenti, deve considerarsi come una sorta di “lastra” sui trattamenti effettuati, andando a riportare la storia del dato all’interno dello studio, da quando entra a quando viene cancellato o distrutto, nonché riportando nel dettaglio, chi, come, quando, quanto tempo e perché quella determinata informazione personale viene trattata, è necessario indicare che il soggetto “autorizzato al trattamento”, laddove vi fosse, sia stato debitamente formato ed istruito ai sensi dell’articolo 29 Gdpr.
Ultimo aspetto che l’amministratore non deve trascurare è l’indicazione nel registro dei tempi di conservazione dei dati in questione. Ecco che, allora, occorre evidenziare come l’esito positivo del controllo (certificazione verde in regola), deve essere registrato per documentare l’esecuzione delle dovute verifiche ad opera dell’amministrazione per la tutela dei luoghi di lavoro, così come imposto dalla normativa. Dette informazioni possono essere conservate fino al termine dello stato d’emergenza previsto dalle autorità pubbliche competenti. Diverso è il caso dei dati relativi ad eventuali risultati negativi sui controlli (green pass non in regola o assente): questi vanno annotati nel registro dei controlli in quanto saranno motivo valido per impedire l’accesso nelle aree di lavoro e possono essere conservati anche per un tempo maggiore, consistente nella prescrizione del diritto ad agire, posto che potrebbero comportare contestazioni o l’insorgere di contenziosi legali.
L’utilizzo di questi dati per le finalità di difesa in giudizio, in ossequio al principio di minimizzazione, andrà limitato solo a determinati soggetti dello studio ed esclusivamente per quelle finalità.
Per aiutare l’amministratore nell’attività di adeguamento in relazione a questo nuovo incombente, Privacy and Legal Advice, ha strutturato le procedure e la modulistica includendola, solo per gli associati ANAMMI, nel servizio che eroga per l’adeguamento del Condominio alla normativa sul trattamento dei dati personali.
Dettagli sulla convenzione visionabili nel sito web al link https://www.anammi.it/accordi-e-sinergie/privacy-and-legal-advice-2018.html
A.N.AMM.I.
Segreteria Nazionale