Green Pass, tra regole incerte, dubbi applicativi e scarsi controlli
di Antonio Tarsia
Comunque la si pensi, prescindendo dall’utilità (o dalla necessità) di questo strumento ai fini di prevenzione dalla malattia da COVID 19 (ma dichiaratamente anche ai fini di esercitare una sorta di moral suasion verso chi non è ancora vaccinato), la gestione del Green Pass non sarà facile per nessuno: lavoratori, imprese, organi di controllo.
Non tanto e non solo per i tanti dubbi applicativi, in alcuni casi alimentati proprio dalle numerose FAQ, quanto per il numero degli adempimenti che vi appaiono connessi per dare corretto adempimento ad una semplice attività di controllo. Costituita, in estrema sintesi, dal riconoscimento della validità di un codice a matrice (il cosiddetto QR code) che autorizza il cittadino ad accedere ai luoghi di lavoro ed in (molti altri) luoghi pubblici e privati.
Il cosiddetto “certificato verde”, nonostante l’esasperata attenzione al tema da parte dell’Autorità Garante della Privacy – almeno in parte dovuti alle tante sollecitazioni da più parti ricevute – contiene in realtà solo alcuni dati anagrafici che abitualmente (e quotidianamente) rilasciamo senza nulla opporre ai vari social a cui siamo iscritti (nome, cognome, data di nascita) anche per scaricare la più banale delle “APP”; e informazioni che riguardano il vaccino (tipologia e data di vaccinazione, data di guarigione, validità in corso), in conformità a quanto stabilito dal Regolamento Europeo entrato in vigore l’1 luglio 2021.
Questi dati restano noti e in carico alla sola autorità sanitaria che esegue la prestazione sanitaria e non sono conservati – né cedibili – in nessun’altra banca dati. Chi esegue il controllo, poi, si limita a verificare, attraverso una spunta a luce verde, se il “QR Code” che viene esibito è in corso di validità.
Andando per ordine e limitandoci agli adempimenti che le imprese private debbono (o dovrebbero) porre in essere verso i dipendenti/collaboratori – ed altri soggetti che ad altro titolo lavorativo accedono nei luoghi di lavoro – si segnala anzitutto la necessità di integrare l’informativa privacy, attraverso una nuova comunicazione ai dipendenti – che non è certo se possa essere unica ed esposta in luogo visibile nell’ambiente di lavoro o se debba essere nominativa e controfirmata (quantomeno) per ricevuta – la quale indica le modalità di controllo che l’impresa ha adottato (dove, come e quando) e l’eventuale soggetto delegato al controllo stesso (che potrebbe essere una figura interna o anche esterna all’impresa).
Va da sé che la delega dev’essere rilasciata per iscritto e contenere in dettaglio i compiti delegati e dovrà essere inoltre sottoscritta per accettazione da parte del delegato, che risponderà in caso di omissioni o violazioni (anche se non è chiaro in quali limiti e misura). In assenza di precisazioni sul punto, si ritiene comunque che la delega non necessiti di particolari formalità legali (procura notarile), ma è certo che sarebbe opportuno adottare un meccanismo che renda certa ed incontrovertibile la data di rilascio.
A monte di questi due primi adempimenti, l’impresa è chiamata ad integrare altri tre fondamentali documenti aziendali: a) il MOG (Modello Organizzativo Gestionale, ex art. 30 del d.lgs. n. 231 del 2001) individuando “adeguati modelli organizzativi” che descrivano tempi, luoghi e modalità di esecuzione dei controlli (giornalieri, a campione o altro); b) il piano adottato dal comitato aziendale per “l’applicazione e la verifica delle regole contenute nel Protocollo di regolamentazione, con partecipazione delle RSA e del RLS”; ed infine c) il codice disciplinare contenuto nel Regolamento Interno Aziendale, per sanzionare le ipotesi di accesso ai luoghi di lavoro eludendo la sorveglianza ed il controllo, ovvero l’uso fraudolento o contraffatto del Green Pass (cartaceo o informatico che sia). Ma soprattutto, si ritiene, per dare una veste giuridica appropriata all’assenza dal lavoro, prevista senza retribuzione ma senza sospensione dal rapporto di lavoro, che rappresenta una finctio, se non una aberratio juris, oltre che una contraddizione in termini, inventata per evitare di adottare di volta in volta un provvedimento scritto nei confronti dei lavoratori non in regola col Green Pass.
Se questi adempimenti (che potrebbero essere anche più numerosi se, ad esempio, si ritenesse necessario adeguare anche il Documento di Valutazione dei Rischi) saranno effettivamente posti in essere e onorati dai datori di lavoro – considerando la prevedibile (ed auspicabile) breve durata della norma (attualmente prevista al 31 dicembre 2021) – è presto dirlo, anche perché la norma non li richiama esplicitamente, se non, come sopra detto, in qualche FAQ.
Ciò detto, è comunque scontato che qualche aggiornamento o elusione dell’attività di controllo sarà possibile (anzi probabile), anche in caso di predisposizione di tutto l’apparato documentale di cui sopra. Nelle cosiddette “FAQ” che si susseguono in questi giorni, della cui natura giuridica ci si interroga in continuazione, emergono “chiarimenti” ai tanti (legittimi) dubbi posti dalla normativa, che spesso tali non sono, giacché aggiungono elementi di novità non direttamente ricavabili dalla norma stessa.
Per fare alcuni esempi: si afferma (in modo sibillino) che chi lavora sempre in smart working non deve avere il Green Pass, ma che il lavoro agile non può essere utilizzato per eludere l’obbligo di certificazione verde. Quali siano i comportamenti elusivi possibili, non è detto. Dunque le FAQ, che dovrebbero fornire chiarimenti e interpretazioni, debbono a loro volta essere interpretate da chi legge. E scusate il bisticcio.
Si afferma poi che l’obbligo del Green Pass non determini il venir meno delle regole di sicurezza previste da linee guida e protocolli vigenti. Non è chiaro se la FAQ sia stata scritta solo per tranquillizzare chi temeva che le imprese ne avrebbero profittato per un allentamento delle misure di protezione, per ragioni ovviamente produttive. Ma appare comunque un chiarimento superfluo, visto che le regole dei vari “protocolli condivisi” sono destinate a valere, per legge, fino alla fine dell’emergenza sanitaria.
Si sostiene, ancora, che le aziende che effettueranno controlli a campione sul personale non incorrano in sanzioni nel caso che l’Autorità riscontri la presenza di lavoratori senza Green Pass, a condizione che i controlli siano stati effettuati nel rispetto di “adeguati modelli organizzativi”. Ma chi stabilisce se questi modelli sono effettivamente adeguati o no? E soprattutto: quali criteri di verifica saranno adottati per la valutazione di un modello che stabilisca un controllo a campione?
Si sostiene, infine, che le persone che ricevono in casa artigiani per un intervento o una riparazione di routine non siano tenuti a controllare il green pass in quanto “non sono datori di lavoro ma stanno acquistando dei servizi”. Creando il ragionevole dubbio sul fatto che gli artigiani debbano, come gli altri, essere obbligati a possedere il certificato verde, e comprensibili perplessità su questa decisione, essendo noto che è proprio nell’ambito privato e familiare che si produce il maggior contagio. Ma prendiamo atto che, nel caso opposto, alcuni milioni di cittadini dovrebbero scaricare l’APP per il controllo di validità del Green Pass, se vuole ricevere in casa l’idraulico o l’elettricista.
Sarebbe facile contestare la ragionevolezza e la comprensibilità di queste (e altre) FAQ, ma ci si limita solo a poche osservazioni, dando per scontato che questo complicato sistema, se non velocemente (e drasticamente) perfezionato, porterà a facili elusioni.
Il lavoratore trovato senza Green Pass, ad esempio, cercherà di “barattare” col datore di lavoro l’assenza non retribuita con una giornata di lavoro a distanza, ovvero con una giornata di ferie, o infine chiedendo due ore di permesso per correre nella farmacia più vicina a fare un tampone rapido. Tutti questi comportamenti sarebbero, stricto iure, sanzionabili ai sensi dell’art. 3, comma 9 del decreto-legge n. 127 del 2021, essendo assunti (secondo le FAQ) a scopo “elusivo” della norma. Ma è plausibile che nessuno sanzionerà nessuno. Perché non c’è interesse a farlo. E perché i controlli sono delegati agli stessi datori di lavoro.
Ma la parte del leone la farà probabilmente il certificato di malattia, magari di un solo giorno, che non si nega a nessuno, che per legge può coprire anche la giornata antecedente quella di inizio dell’assenza (in cui è avvenuto il controllo). In questi casi chi accerterà il comportamento elusivo? E quale sarà la normativa prevalente? C’è chi sostiene che una volta accertata l’irregolarità (o la mancanza) del green pass l’assenza scatti per legge e duri (senza retribuzione) fino alla presentazione del Green Pass. Sia nel caso di malattia, sia nel caso di proseguimento dell’attività in smart working. Ma c’è chi sostiene il contrario. A meno che un’ennesima FAQ non stabilisca che la malattia (o il lavoro agile) intervenute successivamente al controllo che accerta l’assenza del Green Pass non dia ex se titolo alla mancata copertura assicurativa da parte dell’INPS. Scatenando un nuovo putiferio interpretativo.
Le FAQ, come detto, escludono l’obbligo di controllo da parte del privato cittadino che riceve un artigiano nella sua abitazione in quanto, come detto, non è tecnicamente “un datore di lavoro”. Come già detto, la verità (sottaciuta) è che la regola generale non sarebbe di fatto tecnicamente applicabile in questi casi. Ma resta ovviamente aperta la questione a monte: se le regole di controllo all’accesso valgono per gli appaltatori e gli appaltanti, perché non dovrebbero valere per i committenti e gli esecutori di (pur modesti) contratti d’opera?
Dai tanti webinar organizzati sull’argomento, sembra comunque che il maggior problema che le imprese segnalano in questa fase sia quello di non poter registrare i dati del personale già vaccinato, che consentirebbe di “scavallare” la data di scadenza dell’obbligo procedendo (per questi) ad un unico controllo. In tal modo l’onere resterebbe confinato ai non vaccinati (il 20% della popolazione nazionale dai 12 anni in su).
La questione è già stata posta al Garante, che è intervenuto, con decisione negativa, sanzionando le palestre (cfr. decisione del Garante Privacy del 3 settembre 2021), affermando che non è possibile in alcun modo trattare dati sensibili di natura sanitaria.
La decisione, in realtà, sembra opinabile. Avviene infatti già abitualmente che alcuni dati sanitari, riferiti a dipendenti o anche a clienti delle imprese, finiscano sui tavoli e negli archivi delle aziende. Si pensi agli infortuni sul lavoro o all’occasionale infortunio in azienda (o in negozio), occorso da un utente/cliente di un servizio. Si pensi alle frequentissime ipotesi di clienti di aziende che segnalano anomalie di prodotti alimentari acquistati, che abbiano provocato allergie, problemi addominali, rotture di denti, ecc. Per procedere al risarcimento del danno l’impresa deve necessariamente raccogliere una serie di dati (perizie mediche, certificati, ricevute di farmacia, cartelle cliniche, ecc.) che dimostrino l’entità e la durata dei danni e i costi sostenuti dall’infortunato. Come si procede in tal caso? Semplicemente acquisendo il consenso dell’interessato al trattamento dei dati personali sensibili, che vengono trattenuti per il periodo necessario alla definizione della pratica.
In realtà – e in conclusione – basterebbe poco per risolvere il problema, ma soprattutto per rendere effettivo ed efficace l’uso di uno strumento come il Green Pass, che indubbiamente può avere la sua utilità. Ma occorre buona volontà, meno bizantinismi e più elasticità. I DPCM ci hanno obbligato a chiuderci in casa e, in certi periodi, a non superare i 50 metri oltre la soglia, per godere della” ora d’aria”. Perché non adottare una deroga di buon senso alla normativa privacy, che costringe spesso a dar ragione a chi contesta ogni cosa solo per il gusto di contraddire.
Antonio Tarzia
ADAPT Professional Fellow