Il Green Pass presenta delle criticità per la tutela della privacy dei cittadini

A seguito dell’introduzione del Green Pass su tutto il territorio nazionale con D. L. 23/07/2021, n. 105 e le successive estensioni in ambito lavorativo con D. L. 21/09/2021, n. 127 e D.L. 26/11/2021, n. 172, che istituisce anche il Green Pass rafforzato e il Green Pass base per usufruire dei mezzi pubblici da parte di chi abbia più di 12 anni, sono emersi dei punti di criticità messi in evidenza da Pasquale Stanzione, presidente del Garante per la Protezione dei Dati Personali, il quale ribadisce che “La protezione dei dati è sempre più importante, soprattutto con riferimento alla sicurezza sul lavoro. L’Autorità si è sempre preoccupata di coniugare il profilo della salute pubblica con la privacy, un segno emblematico è rappresentato anche dal Green pass, il cui obiettivo è la tutela della sicurezza individuale e della collettività” (Garante Privacy, Stanzione: “Necessario tutelare la persona dall’invasività delle nuove tecnologie”, “la Stampa”, 16 novembre 2011).

Riguardo agli emendamenti approvati dal Senato alla L. 19/11/2021, n. 165 che converte il D. L. 21/09/2021, n. 127, Stanzione indirizza una segnalazione al Parlamento e al governo in cui “presenta talune criticità, sulle quali è auspicabile un approfondimento ulteriore” in relazione alla possibilità da parte dei lavoratori dei settori pubblico e privato di fornire una copia del Green Pass al datore di lavoro, con la conseguente esenzione dai controlli per tutta la durata della validità del certificato. Nello specifico, il Garante per la protezione dei dati personali segnala che:

1. l’esenzione dai controlli rischierebbe di causare “la sostanziale elusione delle finalità di sanità pubblica complessivamente sottese al sistema del ‘green pass’. Esso è, infatti, efficace a fini epidemiologici nella misura in cui il certificato sia soggetto a verifiche periodiche sulla sua persistente validità […] L’assenza di verifiche durante il periodo di validità del certificato non consentirebbe, di contro, di rilevare l’eventuale condizione di positività sopravvenuta in capo all’intestatario del certificato […]”;
2. la conservazione di una copia del Green Pass da parte di terzi contrasta con il Considerato 48 del Regolamento (UE) 2021/953 (“Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l'accesso durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente regolamento”), che esprime un divieto funzionale a garantire la riservatezza dei dati sulla condizione clinica del soggetto e le scelte compiute in relazione alla profilassi vaccinale. La consegna spontanea del Green Pass da parte del lavoratore al datore di lavoro, quindi, non dovrebbe avvenire poiché “dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e convinzioni personali” nel rispetto delle “garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003)”;
3. la conservazione della certificazione non si ritiene legittima nemmeno “sulla base di un presunto consenso implicito del lavoratore che la consegni, ritenendo il diritto sottesovi pienamente disponibile. Dal punto di vista della protezione dei dati personali (e, dunque, ai fini della legittimità del relativo trattamento), il consenso in ambito lavorativo non può, infatti, ritenersi un idoneo presupposto di liceità, in ragione dell’asimmetria che caratterizza il rapporto lavorativo stesso (C 43 Reg. UE 2016/679)”;
4. e infine che “la conservazione dei certificati imporrebbe l’adozione, da parte datoriale, di misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, con un non trascurabile incremento degli oneri (anche per la finanza pubblica, relativamente al settore pubblico)” (Pasquale Stanzione, Segnalazione al Parlamento e al Governo sul Disegno di legge di conversione del decreto-legge n. 127, GPDP. Garante per la protezione dei dati personali, 11 novembre 2021).

Veronica Scudieri, 5 aprile 2022