Il Decreto Legge n. 139 dell’8 ottobre 2021, pubblicato sulla Gazzetta Ufficiale n. 241 dell’8 ottobre 2021, recante “Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali”, ed entrato in vigore il 9 ottobre 2021, ha introdotto talune novità in materia di certificazioni verdi per accedere ai luoghi di lavoro (c.d. Green Pass) apportando, nel contempo, alcune rilevanti modifiche al D.Lgs. n. 196/2003 in materia di protezione dei dati personali.
Modalità di verifica del possesso delle certificazioni verdi COVID-19 nei settori pubblico e privato ai fini della programmazione del lavoro (art. 9-octies del D.L. n. 52/2021, introdotto dall’art. 3, D.L. n. 139/2021)
L’articolo in esame prevede che, in caso di richiesta da parte del datore di lavoro, pubblico e privato, derivante da specifiche esigenze organizzative volte a garantire l’efficace programmazione del lavoro, i lavoratori sono tenuti a comunicare al datore di lavoro se sono in possesso della certificazione verde ai sensi di quanto previsto dagli artt. 9-quinquies e 9-septies, con un preavviso necessario a soddisfare le predette esigenze organizzative.
In sostanza, il Legislatore ha previsto che, in presenza di specifiche esigenze organizzative (i.e. organizzazione del lavoro in turni) il datore di lavoro può richiedere al lavoratore di comunicare preventivamente se è in possesso della certificazione verde al fine di garantire l’efficace programmazione dell’attività.
Secondo i primi commentatori della norma, la mancata comunicazione anticipata da parte del lavoratore del possesso del Green Pass, potrebbe comportare conseguenze di natura disciplinare.
Disposizioni in materia di protezione dei dati personali (art. 9, D.L. n. 139/2021)
1. Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 2-ter del D.Lgs. n. 196/2003)
L’art. 9, comma 1, lettera a) del Decreto in esame ha introdotto alcune semplificazioni alla disciplina del trattamento dei dati con finalità di interesse pubblico prevista dal D.Lgs. n. 196/2003.
In particolare, è stato aggiunto il comma 1-bis all’art. 2-ter del D.Lgs. n. 196/2003 per effetto del quale il trattamento dei dati personali da parte di un’amministrazione pubblica, nonché da parte di una società a controllo pubblico “in house”, è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti, fatta eccezione per i trattamenti correlati ad attività svolte dalle società pubbliche in regime di libero mercato.
Inoltre, la disposizione precisa che la finalità del trattamento, se non è espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata direttamente dall’amministrazione pubblica o dalla società “in house” in coerenza al compito svolto o al potere esercitato.
In tali ipotesi, gli enti e le società interessante sono tenute, in ogni caso, ad assicurare adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento ed a fornire ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati ed ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.
La disposizione in esame precisa, altresì, che le amministrazioni pubbliche ricomprese nell’ambito di applicazione della stessa norma sono:
a) tutte le Amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale, l’Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300 nonché il CONI;
b) le Autorità indipendenti;
c) gli Enti e soggetti indicati a fini statistici nell’elenco oggetto del comunicato dell’ISTAT;
d) le Società “in house”.
2. Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico (art. 2-quinquesdecies del D.Lgs. n. 196/2003)
L’art. 9, comma 1, lettera b) del Decreto in esame ha abrogato l’art. 2-quinquesdecies del D.Lgs. n. 196/2003 volto a disciplinare i trattamenti svolti per l’esecuzione di un compito di interesse pubblico che, potendo presentare un rischio elevato, richiedono la consultazione preventiva con l’Autorità Garante per la Protezione dei dati personali, ai sensi di quanto previsto dall’art. 36, paragrafo 5, del Regolamento Europeo n. 679/2016.
Si precisa che, in merito al trattamento che “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, l’art. 35, paragrafo 3, del Regolamento Europeo n. 679/2016 ne chiarisce il concetto, fornendo i seguenti esempi:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali concernenti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, filosofiche o l’appartenenza sindacale, nonché i dati genetici o biometrici, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale e, infine, i dati relativi a condanne penali ed a reati;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Sostanzialmente, la norma ha abrogato una disposizione che imponeva al titolare del trattamento di consultare l’Autorità Garante prima di svolgere un trattamento per l’esecuzione di un compito di interesse pubblico che poteva presentare rischi elevati. In tal caso, infatti, il Garante poteva prescrivere misure ed accorgimenti a garanzia dell’interessato.
Ad ogni modo, i titolari del trattamento continueranno a dover effettuare una valutazione d’impatto sulla protezione dei dati personali a norma dell’art. 35 del Regolamento Europeo 679/2016.
3. Pareri del Garante Privacy richiesti con riguardo a riforme, misure e progetti del Piano nazionale di ripresa e resilienza (PNRR)
L’art. 9, comma 3, del Decreto in esame prevede che i pareri in esame sono resi nel termine non prorogabile di trenta giorni dalla richiesta, decorso il quale può procedersi indipendentemente dalla loro acquisizione.
(Per leggere il testo del Decreto clicca qui)