I mercoledì della privacy: impatto dell’obbligo green pass, come modificare il registro dei trattamenti

Il Dl 21 settembre 2021 numero 127 irrompe come un ennesimo fulmine a ciel sereno in capo all'amministratore di condominio. Questi, infatti, oltre a dover verificare la regolarità del green pass all'interno del proprio studio (onere che compete a tutti i professionisti), deve attivarsi per verificarlo anche nei condomìni che amministra.Un'attività in più, che per giunta deve essere svolta nei confronti di una moltitudine di soggetti interessati, a partire dal vero e proprio dipendente (normalmente il portiere). Circa le verifiche sul fornitore esterno, posto che il condominio, è definito «luogo di lavoro», va ricordata la risposta n. 5 del 12 ottobre alle faq della presidenza del Consiglio dei ministri, che recita così:
DOMANDA 5. Da chi devono essere effettuati i controlli sul green pass dei lavoratori che arrivano da società di somministrazione? Dalla società di somministrazione o dall'azienda in cui vengono distaccati?
RISPOSTA. I controlli devono essere effettuati da entrambe, sia dalla società di somministrazione, sia dall'azienda presso la quale il lavoratore svolge la propria prestazione».

L’aggiornamento del registro dei trattamenti
Lo svolgimento di questa nuova incombenza l'amministratore potrà svolgerla in via diretta, ovvero attraverso l'ausilio di collaboratori/dipendenti di studio.L'attività in questione comporta inevitabilmente dei trattamenti di dati, ed ecco allora che il titolare di studio dovrà tenere aggiornato il registro dei trattamenti annotando quelli nuovi, che concernono l'attività.In primis, nel registro dovranno essere individuati gli interessati al trattamento che potranno essere i dipendenti, i collaboratori/stagisti, i volontari e i dipendenti di ditte esterne/fornitori, i lavoratori somministrati e tutte le persone che accedono ai locali per svolgere attività professionale e lavorativa.

Andrà anche specificata la finalità del trattamento che sarà collegata al prevenire il contagio e la diffusione del Covid-19 nei luoghi di lavoro (studio e condominio). Particolare attenzione la si deve tenere nello specificare le modalità in base alle quali viene effettuato il trattamento, andando a menzionare come il Titolare del trattamento avrà il compito di verificare il possesso e la validità della certificazione verde esclusivamente attraverso l'uso dell'app Verifica C19, senza effettuare finalità diverse o ulteriori rispetto a quelle espressamente previste dalla legge, che consistono unicamente nell'accertamento e contestazione delle violazioni collegate alla verifica sulla presenza o meno del green pass nel luogo di lavoro.Meglio riportare nel registro delle attività di trattamento che questo viene effettuato soltanto da personale autorizzato e appositamente istruito.

Controllo solo in loco
L'amministratore, nel compiere detta attività, non può per giunta evitare di recarsi nel luogo di lavoro perché è esplicitamente vietato farsi inviare la certificazione dall'interessato (ad esempio a mezzo mail). La normativa, infatti, proprio per limitare i trattamenti ed in particolare l'inutile conservazione dei dati personali collegati alla certificazione, impone il limite dell'esclusivo utilizzo per dette operazioni dell'app Verifica C19 che scansiona il Qr code del certificato digitale o cartaceo che sia.L'amministratore, quindi, deve indicare nel registro delle attività di trattamento che gli unici dati che con la predetta attività di verifica e controllo tratta, sono il nome e cognome, data di nascita e identificativo univoco del certificato, nonché l'esito negativo o positivo della verifica, nel quale ultimo caso il soggetto accertatore, dovendo predisporre apposito verbale in ottemperanza alla legge 689/1981, andrà a trattare anche la data e il luogo della violazione ed effettuerà anche il trattamento della “trasmissione”del verbale alla Prefettura, tenendone una copia.

I contenuti del registro
Questi aspetti devono essere tutti indicati nel registro che dovrà contemplare o fare riferimento a procedure interne allo studio che disciplinano questi passaggi.È altresì il caso di indicare come, laddove vi sia il sospetto sull'identità dell'interessato, il soggetto accertatore potrà richiedere l'esibizione di un documento di riconoscimento per un raffronto con i dati raccolti dalla scansione del Qr code. Posto infine che il registro delle attività dei trattamenti, deve considerarsi come una sorta di “lastra” sui trattamenti effettuati, andando a riportare la storia del dato all'interno dello studio, da quando entra a quando viene cancellato o distrutto, nonché riportando nel dettaglio, chi, come, quando, quanto tempo e perché quella determinata informazione personale viene trattata, è necessario indicare che il soggetto “autorizzato al trattamento”, laddove vi fosse, sia stato debitamente formato ed istruito ai sensi dell'articolo 29 Gdpr.

La conservazione dei dati
Ultimo aspetto che l'amministratore non deve trascurare è l'indicazione nel registro dei tempi di conservazione dei dati in questione. Ecco che, allora, occorre evidenziare come l'esito positivo del controllo (certificazione verde in regola), deve essere registrato per documentare l'esecuzione delle dovute verifiche ad opera dell'amministrazione per la tutela dei luoghi di lavoro, così come imposto dalla normativa. Dette informazioni possono essere conservate fino al termine dello stato d'emergenza previsto dalle autorità pubbliche competenti. Diverso è il caso dei dati relativi ad eventuali risultati negativi sui controlli (green pass non in regola o assente): questi vanno annotati nel registro dei controlli in quanto saranno motivo valido per impedire l'accesso nelle aree di lavoro e possono essere conservati anche per un tempo maggiore, consistente nella prescrizione del diritto ad agire, posto che potrebbero comportare contestazioni o l'insorgere di contenziosi legali.

L'utilizzo di questi dati per le finalità di difesa in giudizio, in ossequio al principio di minimizzazione, andrà limitato solo a determinati soggetti dello studio ed esclusivamente per quelle finalità.Nuova normativa, nuovi incombenti e nuove procedure collegate dunque, anche in relazione al trattamento dei dati personali. Ancora una volta, quindi, l'amministratore è chiamato ad attuare il principio della privacy by default (articolo 25 Gdpr), ovvero di predisporre le procedure tecniche ed organizzative ancor prima di avviare la nuova attività. Informative corrette, nomine ed istruzioni agli incaricati al trattamento, e registro delle attività di trattamento: tutto dovrebbe essere pronto entro il 15 ottobre.