Mercoledì sera il Senato ha approvato gli emendamenti al decreto legge numero 127 che mirano a introdurre nuove regole in tema di controllo del green pass sul luogo di lavoro. Per evitare di essere controllati tutti i giorni, si permette ai dipendenti che lo desiderano, tanto del settore pubblico che del privato, di consegnare al datore di lavoro il proprio green pass.

Benché apparentemente potrebbe sembrare una modifica poco rilevante le conseguenze sia sulla protezione dei dati personali che nel campo della prevenzione sono rilevanti. È quanto risulta dalla lettera che il garante della privacy ha indirizzato al presidente della Camera Roberto Fico, al ministro della Salute Roberto Speranza e al ministro per i Rapporti con il parlamento Federico D’Incà, essendo la Camera la prossima a essere chiamata ad esprimersi sugli emendamenti per l’approvazione finale.

I punti critici

Per il garante infatti ci sono diversi punti critici che necessitano di essere corretti in seconda lettura alla Camera. Se il decreto venisse approvato con queste modifiche, potrebbe far venire meno potenzialmente proprio quelle esigenze di controllo della diffusione della pandemia che il green pass vuole garantire.

Presumere che lo stato di salute del dipendente che abbia consegnato il green pass non possa modificarsi, non tiene conto del fatto che il dipendente potrebbe risultare comunque positivo. La verifica con l’app VerificaC19 permette di controllare ogni giorno la validità del pass tenendo conto degli aggiornamenti del database dei pass validi. Se un dipendente si ammalasse e lo comunicasse al medico curante, potrebbe comunque recarsi al lavoro all’insaputa del suo datore di lavoro, in mancanza del controllo giornaliero, perché magari il suo green pass consegnato scade dopo sei mesi.

Il secondo punto riguarda il contrasto con il considerando 48 del regolamento europeo 2021/953, che regola l’adozione del green pass in Europa. Il testo prevede infatti che «laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l'accesso durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente regolamento». Lo scopo è di garantire la sicurezza e la riservatezza dei dati sanitari dei dipendenti, si tratti della loro scelta di vaccinarsi o della notizia che siano stati contagiati, anche al fine di evitare discriminazioni sul luogo di lavoro.

La conoscenza della data di scadenza del green pass permetterebbe facilmente di capire in quale situazione il dipendente si trova e a nulla servirebbe il fatto che la consegna del green pass sia libera. Come ci insegna proprio la normativa sulla protezione dei dati personali, e come ricordato dal garante, il consenso sul luogo di lavoro si presume non essere mai legittimante visto lo squilibrio di potere tra il dipendente e il datore di lavoro.

E poiché per il Gdpr il consenso al trattamento dei dati deve essere libero per essere valido, quello dato al datore di lavoro non sarebbe considerato tale. L’incentivo ulteriore poi a non essere più sottoposti a controlli quotidiani porterebbe i dipendenti a consegnare il green pass, cosa che difficilmente sarà fatta invece da chi lo possiede grazie a un tampone.

La questione della cybersicurezza

Da ultimo, segnala il garante, trattandosi di dati sanitari molto delicati, aziende e pubblica amministrazione dovranno dotarsi di misure di sicurezza adeguate per la loro conservazione, cosa non sempre facile soprattutto nelle realtà meno strutturate. Si sa che nelle ultime settimane circolano falsi green pass in rete del tutto validi per il sistema così come altri sono duplicati e scambiati online.

Quel che si vuole evitare dunque è che la conservazione dei green pass in azienda, vista la richiesta di questi pass su mercati alternativi, possa spingere malintenzionati ad usare attacchi informatici contro aziende e pubbliche amministrazioni per impossessarsene.

In generale poi non si può dimenticare che gli attacchi informatici ai danni del settore pubblico e privato sono in costante aumento ogni anno e l’eventuale furto di questi pass, che consentono alle persone di spostarsi e usufruire di una serie di servizi, costituirebbe un problema ulteriore da non sottovalutare e di cui aziende e PA devono tener conto.

Come se non bastasse, possiamo aggiungere i dati sulla digitalizzazione dei paesi membri in Europa pubblicati il 12 novembre in cui vediamo che l’Italia, pur avendo recuperato qualche posizione, si trova ancora ben sotto la media europea.

Salute e privacy

Per il resto il sistema del green pass, per come è progettato oggi, funziona bene perché permette la garanzia delle finalità di sanità pubblica nel rispetto della protezione dei dati personali, dimostrando come non sia necessario scegliere tra salute e privacy e chi propone questa falsa dicotomia sia in torto o in mala fede.

Difficile però anticipare come il governo prenderà queste doverose osservazioni dell’Autorità, stante il recente decreto legge, prossimo ad essere convertito in legge, con cui si amplia la discrezionalità della pubblica amministrazione nello stabilire cosa sia il pubblico interesse e si restringono una serie di poteri del garante della privacy. Tra questi c’è quello di prescrivere alle pubbliche amministrazioni in via preventiva delle misure da adottare a tutela dei cittadini quando le scelte di interesse pubblico potrebbero metterne a rischio i diritti e le libertà fondamentali.

Ora starà alla Camera e al ministro Speranza valutare in modo adeguato le osservazioni del garante.

© Riproduzione riservata