L’applicazione del GP nei luoghi di lavoro introdotta con il D. L. 127/2021 rappresenta un esercizio di equilibrismo legale notevole, poichè riesce a tenere assieme i diritti costituzionali ed il rispetto delle leggi vigenti (ad esempio il T.U. Sicurezza del 2008, gli artt. 32 e 41 della Costituzione, l’art. 2087 del Codice Civile …) con le esigenze che nascono dalla lotta alla pandemia.
Con la conversione in legge del D.L. 127, il Parlamento ha accolto un emendamento che consente al dipendente di consegnare al datore di lavoro il proprio GP in corso di validità al fine di evitare il controllo quotidiano, fino a scadenza del documento.
In estrema sintesi, per i lavoratori che hanno il GP derivante da vaccino, è sufficiente verificare la validità una sola volta ed acquisire e conservare il GP fino a scadenza.
Il Garante per la Protezione dei Dati Personali ha immediatamente segnalato al Parlamento che questo emendamento, pur semplificando le operazioni di verifica, comporta un elemento di disturbo ad un equilibrio così difficile da mantenere per le garanzie richieste, perchè:
- Il datore viene a conoscenza delle libere scelte in ordine alla vaccinazione (in base alla validità del GP si capisce se deriva da tampone o vaccino) o sullo stato di salute (se il GP deriva da guarigione);
- Il consenso eventualmente prestato dal lavoratore o il consenso implicito che deriva dal deposito non è compatibile con il rapporto di lavoro (analogamente a quanto già segnalato nell’ambito della videosorveglianza qualche anno fa, il datore di lavoro è il soggetto più forte rispetto al dipendente), e con le garanzie derivanti dagli artt. 5 e 8 dello Statuto dei Lavoratori, art. 10 del D.Lgs. 276 del 2003, art. 88 del GDPR e 113 del D. Lgs. 196/2003.
- Si rischia l’elusione della finalità per il quale il GP è stato creato, ossia combattere la pandemia (se il lavoratore si ammala di Covid, il GP verrebbe sospeso ed andrebbe sostituito).
- La conservazione dei GP consentirebbe potenzialmente l’impiego di quei dati anche per altre finalità (che possono essere anche discriminatorie).
Nonostante i rilievi del Garante, per semplificare il controllo dei GP è possibile ad oggi, acquisire i documenti direttamente dai propri dipendenti, almeno fino alla prossima puntata della vicenda. Ci sono delle cautele da prendere e degli adempimenti da portare a termine?
Certamente sì: è necessario che sia il lavoratore a chiedere di depositare il proprio GP, il quale deve ricevere anche una corretta informativa sulla privacy.
Il datore di lavoro dovrà poi aggiornare il registro di trattamento, (ai sensi dell’art. 30 GDPR) inserendo il trattamento di conservazione.
Last but not least, le misure di sicurezza devono essere adeguate ad un trattamento così importante, anche in considerazione del valore che le certificazioni avrebbero sul “mercato nero” online dei GP che nel frattempo si è venuto a creare.