Tanti gli interrogativi che ruotano intorno alla campagna vaccinale attualmente in atto a seguito della realizzazione dei piani vaccinali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro è stata prevista dal “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”, firmato in data 6 aprile 2021 dal Governo e dalle parti sociali, e dalle allegate “Indicazioni ad interim per la vaccinazione anti-SARS-CoV-2/COVID- 19 nei luoghi di lavoro”, al fine di perseguire la duplice esigenza di concorrere alla rapida attuazione della campagna vaccinale e, in pari tempo, accrescere i livelli di sicurezza nelle realtà̀ lavorative pubbliche e private.
Come affermato in detto provvedimento da parte del Garante, la vaccinazione nei luoghi di lavoro, “rappresenta un’opportunità̀ aggiuntiva rispetto alle modalità̀ ordinarie dell’offerta vaccinale che sono e saranno sempre garantite, nel rispetto delle tempistiche dettate dal piano nazionale di vaccinazione, qualora il lavoratore non intenda aderire” a tale modalità di vaccinazione presso i luoghi di lavoro.
Si ricorda che qualora non siano rispettati i basilari principi sanciti dal GDPR in tema di trattamento di dati personali, ciò darà adito al lavoratore di richiedere il risarcimento di eventuali danni patiti per la mancata protezione dei suoi dati come stabilito dal Regolamento 679/16, nonché in forza della normativa in materia di diritto del lavoro (es. in tema di discriminazione o di indagini sul lavoratore) per il ristoro degli eventuali danni anche non patrimoniali arrecati al dipendente da tali condotte.
Un argomento che parimenti suscita molte domande è il cd. green pass.
I dubbi di legittimità sono stati sollevati dallo stesso Garante il quale ha indicato precisamente – nel suo avvertimento formale del 23 aprile scorso – quali siano le criticità̀ del Decreto-legge del 22 aprile 2021, n. 52 (artt. 2 e 9, nonché́ degli allegati relativi ai dati della c.d. Certificazione Verde anche detto Green Pass).
Il Garante innanzitutto ritiene essere stato violato il principio che impone la richiesta della necessaria consultazione preventiva dell’Autorità̀ Garante da parte delle Istituzioni e del Governo.
Ancora, ha valutato non idonea la base giuridica per il trattamento dei dati relativi all’emissione, gestione e utilizzo della Certificazione Verde, in quanto il decreto-legge non rappresenta una condizione di legittimità̀ per l’introduzione e l’utilizzo del Green Passa livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies).
Ancora, non sembrerebbe non essere stato rispettato il principio di minimizzazione dei dati, secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento), in quanto la Certificazione in commento richiede ulteriori informazioni, oltre al dato di avvenuta vaccinazione nonché la previsione di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.
Altro principio violato dal decreto-legge del 22 aprile 2021, 52, è quello di principio di esattezza dei dati: secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità̀ per le quali sono trattati (art. 5, par. 1, lett. d) del Regolamento).
Il sistema transitorio non consentirebbe infatti di aggiornare verificare le condizioni del soggetto inserite ad una tal data attestate senza poter modificarle (es. sopraggiunta positività̀) rispetto al momento dell’inserimento delle primarie informazioni sul proprio stato di salute.
Anche il principio di trasparenza sembrerebbe non essere rispettato in quanto non risultano così chiare non solo le finalità̀ del trattamento ma anche le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo di un green pass, che e che possono accedervi e controllarne la validità e l’autenticità (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento).
Ancora, il decreto-legge in esame sarebbe in contrasto anche con il principio di limitazione della conservazione, data la natura di misure temporanee e sostituibili dalle soluzioni adottate dall’UE.
Il Garante precisa anche che l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, determina un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento.
Alla luce di tali perplessità, è fermo l’obbligo per il datore di lavoro in di garantire la riservatezza del lavoratore e organizzare il piano vaccinale aziendale solo con l’ausilio di un consulente GDPR che sia in grado di fornire ogni delucidazione sulla normativa di settore, in attesa che l’EDPB a livello europeo si pronunci sulle certificazioni in maniera definitiva.