Green Pass nelle aziende, la stesura del Piano organizzativo: tutto quello che c’è da sapere - Agenda Digitale

la guida

Green Pass nelle aziende, la stesura del Piano organizzativo: tutto quello che c’è da sapere

Spunti per la stesura del documento volto a dare evidenza alle modalità operative per la gestione delle verifiche sulla validità del Green Pass in azienda e trovare un punto di equilibrio tra le esigenze di controllo nel rispetto di quanto previsto dal Governo e la reale messa in pratica delle misure nel contesto aziendale

13 Ott 2021
Nicola Nuti

Amministratore Inprivacy S.r.l.

Monica Perego

Ingegnere, Gaiani Grinzato Avvocati

Il 15 ottobre, come ormai noto, le aziende così come la Pubblica Amministrazione, secondo quanto previsto dal D.L. n. 127 del 21 settembre 2021 (integrato dal D.L. 139 del 8 ottobre 2021) devono introdurre per tutti i lavoratori (“personale” per il settore pubblico come recita l’Art. 1), sotto il controllo del datore di lavoro, “…l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening”[1].

Di seguito, ponendo l’attenzione sulle imprese private e quindi su quanto indicato nell’Art. 3 del suddetto Decreto, proviamo a fornire alcuni spunti per la stesura del documento volto a dare evidenza alle modalità operative per la gestione delle verifiche sulla validità del Green Pass.

L’articolo fa anche riferimento a quanto indicato nelle Linee Guida Green Pass Presidente del Consiglio dei ministri di concerto con il Ministero della salute, il Ministero per l’innovazione tecnologica e la transizione digitale e il Ministero per l’economia e le finanze, per quanto ad oggi note[2].

Green pass aziende, guida agli obblighi per lavoratori e datori

Green pass in azienda: come trovare un equilibrio

Più ci si addentra sul tema, maggiormente ci si rende conto che i dubbi sono ancora molti e estremamente varie le casistiche da considerare. Peraltro, non sono sempre disponibili risposte adeguate nonostante le linee guida predisposte da enti ed organizzazioni territoriali, di settore, oltre alle FAQ del governo.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Le soluzioni proposte si pongono quindi come suggerimenti, che possono presentare un punto di equilibrio tra le esigenze di controllo nel rispetto di quanto previsto dal suddetto Decreto, dalla bozza delle citate linee guida e contemporaneamente la reale messa in pratica delle misure nel contesto aziendale.

Ovviamente, senza pretendere di fornire una risposta certa ed esaustiva, anche perché la normativa presenta delle lacune e si è ancora in attesa di ulteriori documenti ufficiali. Inoltre, solo dopo qualche giorno/settimana di sperimentazione in campo delle misure organizzative da porre in atto, si potrà valutare l’adeguatezza delle stesse.

Ciò non significa che tutte le misure non debbano essere rispettose del principio dell’accountability (responsabilizzazione – vd. art 24 del GDPR) che non dovrà “essere visto” soltanto in termini di protezione dei dati personali ma più in generale di una valutazione complessiva dell’adeguatezza delle misure stesse, considerando tutti gli ambiti che possono essere contemplati ed in particolare quelli afferenti alla gestione della salute e sicurezza sul lavoro, a protezione delle misure “anti-contagio”.

I soggetti coinvolti

L’art. 3 al comma 1 indica “…chiunque svolge una attività lavorativa nel settore privato è fatto obbligo …”; l’art. 3 del Decreto, al comma 2 recita “La disposizione di cui al comma 1 si applica altresì a tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato nei luoghi di cui al comma 1, anche sulla base di contratti esterni”[3].

Sono quindi compresi, per quanto alcuni dipendenti da diversi “Datori di lavoro” ed altri soggetti che operano in modo autonomo, una moltitudine di soggetti quali:

  • dipendenti che operano in base a diverse tipologie di contratto sia in azienda che presso altre strutture, ad esempio a fronte di un contratto di appalto, per conto del proprio datore di lavoro[4];
  • interinali;
  • stagisti, tirocinanti, ricercatori;
  • membri di organi di controllo (es. DPO. ODV);
  • autisti e corrieri;
  • personale in appalto (es. manutentori, servizi di pulizie, servizi di vigilanza, portineria, gestione mensa, servizi di vending);
  • altri fornitori esterni quali tecnici di assistenza, consulenti;
  • agenti, rappresentanti, ispettori e controllori;
  • volontari e formatori (citati espressamente dal suddetto Decreto)[5].

L’elenco potrebbe essere ancora più esteso, si pensi ad esempio a casi particolari specifici di alcuni settori come, ad esempio:

  • RSA (residenze sanitarie) dove tra i soggetti che possono prestare la propria attività lavorativa anche il personale dei servizi funebri, quelli della Croce Rossa (che essendo personale sanitario è peraltro soggetto ad obbligo di vaccinazione);
  • imprese che forniscono personale all’estero e che quindi devono rispondere sia alla normativa italiana, operando sotto il Datore di lavoro che deve rispettare quanto previsto dal suddetto Decreto, sia alla normativa locale che potrebbe essere anche più restrittiva.

Sono invece esclusi i soggetti che non sono assimilabili ai lavoratori quali, ad esempio i clienti privati di un commercialista, i pazienti di uno psicologo, i clienti di un negozio, gli utenti di un centro diurno laddove normativa regionale non abbia definito delle misure specifiche.

Controllo del Green Pass in azienda, ecco l’app: tutto quello che c’è da sapere

Le modalità operative per la gestione delle verifiche: le misure organizzative

All’art. 3 comma 5 del Decreto è indicato che “I datori di lavoro di cui al comma 1, definiscono, entro il 15 ottobre 2021, le modalità operative per l’organizzazione delle verifiche…”. Al comma 9 si fa riferimento a “In caso di violazione delle disposizioni di cui al comma 4 o di mancata adozione delle misure organizzative…”, suggerendo “caldamente” il coadiuvamento da parte del RSPP, in quanto giuridicamente nello stato di emergenza epidemiologica (Costituzionale) dopo il Medico Competente è la funzione del RSPP quella sulla quale gravano specifiche responsabilità.

Si tratta ora di approfondire quale forma possono avere tali “modalità organizzative” in quanto le stesse saranno oggetto di verifica da parte degli Organi preposti e la loro mancata o lacunosa adozione, sarà oggetto di sanzione come indicato nei commi 8 e 9 dell’art. 3.

Ci serve un documento?

Per quanto non esplicitamente indicato, è opportuno che le modalità organizzative siano documentate attraverso un documento che potremmo intitolare “Piano organizzativo gestione dei controlli Green Pass”. La scelta di documentare le misure da porre in atto presenta dei vantaggi così ovvi che non è necessario specificarli e fornisce, nel caso di ispezione da parte degli Organi preposti, una base oggettiva per valutare le stesse. Inoltre, un documento ben si presta ad essere considerato un valido criterio, per le attività di audit, come di seguito indicato.

La gestione del Piano organizzativo

Anzitutto è necessario che il Piano organizzativo assuma la forma di un documento gestito in forma controllata e soggetto a revisione. Il documento potrebbe configurarsi come un’integrazione al Protocollo Covid che le imprese da tempo hanno dovuto implementare.

La gestione in forma controllata implica:

  • pagina di guardia con indicata la versione del documento;
  • iter di redazione ad esempio a cura del Comitato Covid-19;
  • approvazione da parte del Datore di lavoro;
  • emissione in data certa (ad esempio tramite auto-invio con PEC);
  • distribuzione a tutti i soggetti coinvolti nelle misure;
  • le modifiche rilevanti rispetto alla versione precedente del documento in quanto si tratta di un documento quasi certamente soggetto a più modifiche sulla base degli aggiornamenti normativi che si potranno prevedere – anzi sarebbe auspicabile che lo siano;
  • gestione delle copie superate
  • .

I contenuti del Piano organizzativo

In mancanza di indicazioni da parte del legislatore non è possibile definire un indice univoco del documento, si forniscono, di seguito, dei possibili contenuti del documento. Ovviamente solo dopo un adeguato periodo di tempo di sperimentazione della norma sarà possibile procedere ad affinamenti successivi.

Per ogni tipologia di lavoratori presenti in azienda o che operano per conto dell’azienda presso altri siti – si veda quanto indicato nel paragrafo “I soggetti coinvolti” del presente articolo – devono essere fornite:

  • la gestione, per le aziende con più di 50 dipendenti, dei controlli preventivi sulla validità del Green Pass – modalità, tempi, responsabilità e le comunicazioni, ai soggetti preposti alle verifiche all’ingresso ed eventualmente in fase di controllo a campione, dei nominativi dei soggetti che non sono autorizzati all’ingresso[6];
  • le indicazioni operative per l’esecuzione delle attività di controllo all’ingresso sulla validità del Green Pass;
  • le indicazioni operative per l’esecuzione delle attività di controllo a campione all’ingresso o durante le attività lavorative sulla validità del Green Pass – si rammenta che il controllo durante le attività lavorative è auspicabile laddove non fosse possibile praticare il controllo al 100% in ingresso o alcuni lavoratori sono vincolati ad attività di autocontrollo e le relative comunicazioni[7];
  • le motivazioni, se del caso, per cui non è possibile procedere con il controllo in ingresso sul 100% dei lavoratori;
  • le indicazioni operative per la gestione dei soggetti che devono operare in autocontrollo;
  • le indicazioni operative per la gestione dei soggetti esenti – in attesa di disposizioni integrative[8];
  • gli strumenti utilizzati per effettuare il controllo (dispositivo con caricata App Covid-19 o soluzione equivalente). Tali strumenti solo eccezionalmente devono essere di proprietà dei singoli incaricati del controllo, mentre è auspicabile che siano forniti direttamente dal Datore di lavoro;
  • i soggetti a cui deve essere trasmessa l’informazione sul mancato possesso del Green Pass da parte dei lavoratori e le azioni che questi ultimi devono porre in atto; le comunicazioni riguardano sia i lavoratori dell’azienda sia gli esterni;
  • l’informazione (sotto forma di comunicazione) distribuita ai lavoratori che operano sotto l’autorità del Datore di lavoro e quella fornita ad altri soggetti (es. Datori di lavoro di imprese in appalto) che operano presso le sedi dell’azienda;
  • eventuali modelli di infografiche per facilitare la comunicazione ai lavoratori ed ai soggetti esterni che accedono ai luoghi di lavoro;
  • la gestione delle comunicazioni e dei relativi preavvisi che il Datore di lavoro può richiedere ai lavoratori, per esigenze organizzative ai fini della programmazione delle attività[9], e nello specifico a chi fornire tali informazioni ed i modi e tempi del preavviso.

Inoltre, il documento, se del caso, dovrebbe riportare:

  • la normativa di riferimento;
  • le indicazioni operative per la gestione dei soggetti che non risultano in possesso del Green Pass o del documento scaduto/ non leggibile ovvero si rifiutassero di esibirlo[10]. Tra le indicazioni anche come gestire eventuali casi di aggressione, da parte dei lavoratori nei confronti dei soggetti incaricati di effettuare i controlli;
  • il richiamo ad altre procedure che possono integrare quanto indicato nel documento;
  • i criteri di scelta dei soggetti incaricati di effettuare i controlli e l’atto di nomina (allegato al documento) e la loro formazione (vedi paragrafo dedicato);
  • la pianificazione e l’esecuzione di attività di audit sul rispetto di quanto previsto dal documento (vedi paragrafo dedicato);
  • la gestione dei casi particolari (come ad esempio eventi di formazione organizzati presso la sede dell’azienda destinati a clienti, ecc.);
  • i tempi di conservazione dei dati raccolti[11];
  • i rapporti e le comunicazioni con il Medico del lavoro.

Gli aspetti afferenti alla protezione dei dati personali

Il documento dovrebbe avere una sezione specifica che tratta dei dati personali trattati, per quanto tali trattamenti siano limitati alla sola presa visione del Green Pass o del certificato di esenzione nel caso di esito positivo del controllo.

I contenuti di tale sezione potrebbero prevedere:

  • modello di informativa per gli interessati dipendenti ed esterni[12] con indicati i trattamenti c, da considerare quelli, per quando applicabili, relativi a:
    • controllo del Green Pass per tutti i lavoratori che accedono al luogo di lavoro
    • controllo del certificato di esenzione vaccinale dei lavoratori che accedono al luogo di lavoro – in attesa di eventuale Q-code integrativo
    • controlli Green Pass lavoratori e delle relative comunicazioni non in possesso di Green Pass all’ingresso del luogo di lavoro – laddove posti in atto
    • controlli Green Pass lavoratori e delle relative comunicazioni non in possesso di Green Pass in fase di controllo a campione del luogo di lavoro – laddove posti in atto
    • le comunicazioni da parte dei lavoratori, su richiesta del datore di lavoro, volta a garantire l’efficace programmazione del lavoro[13];
  • aggiornamento del registro del trattamento dati personali (vd. art 30 del Reg. EU 2016/679) sulla base dei trattamenti effettuati come indicato al punto precedente;
  • atto di nomina dei soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi di cui ai commi 1 e 2 (i soggetti incaricati dell’accertamento potrebbero essere anche soggetti diversi da quelli incaricati della contestazione) di fatto si tratta dell’”atto formale” di cui all’Art 1 comma 5 ed Art. 1 comma 5;
  • laddove è previsto il ricorso ad applicazioni SW (es. montate su totem) in alternativa all’uso dell’app Covid-19, le garanzie, che si ricordano non rappresentano comunque un elemento esimente per il Titolare del trattamento, che saranno fornite dal produttore/installatore in merito al rispetto della normativa in materia di protezione dei dati personali, e da quanto previsto dal Decreto, nonché previamente effettuata una corretta analisi dei rischi, una valutazione d’impatto (DPIA) e se del caso il ricorso all’art 36 del GDPR “Consultazione preventiva”;
  • DPIA, in carico al titolare del trattamento, da valutare in relazione alla complessità dell’organizzazione (sedi, numero dipendenti, tipologia delle attività lavorative ecc.) per tracciare e valutare l’adeguatezza tutto il flusso dei dati, sia in caso di esito positivo del controllo della validità del Green Pass sia in caso di esito negativo (ovvero Green Pass mancante/non valido/non leggibile). Inoltre, una DPIA è necessaria per valutare come viene tutelata la riservatezza dei soggetti che, all’atto del controllo, sia esso a campione o previsto per il 100% degli ingressi, non fossero in possesso del documento valido e per i quali deve essere impedito l’accesso al perimetro aziendale;
  • estensione/aggiornamento della nomina a Responsabile del trattamento ove si dovesse demandare a soggetti terzi il controllo dei Green Pass (es. società di vigilanza per servizi di portierato)

Tutti i contenuti del documento, ma in particolare quelli previsti in questa sezione, dovrebbero essere condivisi con il DPO, laddove nominato, affinché si possa poter dare dimostrazione il coinvolgimento di quest’ultimo, da parte del Titolare del trattamento, in tutte le questioni afferenti alla protezione dei dati personali, come recita il paragrafo 1 dell’art. 38 del REG. EU 2016/679 “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.”

Formazione dei soggetti incaricati

Il documento dovrebbe fornire le indicazioni per la formazione dei soggetti incaricati dei controlli (ingresso e/o campione) che è auspicabile, in particolare, nei casi in cui:

  • il numero di soggetti incaricati fosse elevato;
  • sono presenti più sedi con caratteristiche diverse e quindi è necessario prevedere misure dedicate anche in relazione alla logistica delle singole sedi;
  • le istruzioni da fornire fossero particolarmente complesse.

L’attività di formazione dovrebbe essere:

  • tenuta da personale qualificato;
  • registrata (evidenza della presenza degli incaricati);
  • ripetuta in occasione di modifiche rilevanti nelle misure adottate e nel caso di introduzione di nuovi incaricati;
  • inoltre, se del caso, deve fornire indicazioni sui comportamenti più opportuni da assumere per i soggetti incaricati, per la tutela della riservatezza dei soggetti controllati e prevenire criticità nell’esecuzione delle attività (malversazione/aggressione ecc..);
  • per quanto possibile essere effettuata sul campo.

Quando possibile, ai soggetti incaricati dovrebbe essere fornito un riferimento per inoltrare domande e chiarimenti a fronte di dubbi o situazioni specifiche che si potrebbero manifestare solo dopo l’avvio dei controlli e non prevedibili a priori.

Per quanto possibile l’attività formativa dovrebbe essere organizzata in accordo anche con l’RSPP, data anche l’impatto sulla salute e sicurezza sul lavoro, delle attività in carico a tale funzione.

Audit

La dimostrazione dell’applicazione del principio dell’accountability può essere rafforzata anche da attività di audit[14], che ad una adeguata distanza di tempo dalla messa in atto delle misure definite, permetta di verificare che quanto indicato sia applicato in modo efficace. Dovrebbe essere quindi documentato e previsto un piano di audit, nel rispetto delle procedure aziendali. I risultati dell’audit, documentati attraverso il rapporto, attestano l’applicazione delle misure poste in atto e le eventuali azioni correttive, laddove ne emergesse la necessità. I risultati dell’audit, sotto forma di rapporto, dovrebbero essere trasmessi al DPO ed anche all’Organismo di Vigilanza (D.lgs 231/2001).

Conclusioni

Alla luce di quanto sopra, fermo restando che, come indicato in premessa, è necessario un adeguato periodo di sperimentazione per la messa a punto della documentazione ed in attesa di ulteriori indicazioni da parte del legislatore e dei Ministeri di competenza, le indicazioni fornite hanno lo scopo di permettere di formalizzare un documento nel rispetto dell’accountability. Tale documento deve tenere conto del contesto aziendale e bilanciare esigenze diverse per fornire adeguate garanzie, anche attraverso le attività di revisione, formazione ed audit, della valenza delle misure e della loro applicazione.

Note

  1. Per la stesura dell’articolo si ringrazia per il supporto fornito da Daniela Bisagni, Biagio Lammoglia e Ferruccio Militello.
  2. All’atto della stesura dell’articolo è disponibile solo la versione bozza di tale documento.
  3. L’art 1 – relativo all’ambito lavorativo pubblico indica, come destinatari delle misure il “.. personale delle amministrazioni pubbliche…” la differenza è sottile ma non banale.
  4. È il caso ad esempio del personale che opera, in forza di un contratto di appalto presso uno o più clienti, come ad esempio un tecnico di assistenza.
  5. Per quanto riguarda gli uffici pubblici, l’unica categoria di soggetti esclusa dall’obbligo di esibire il green pass è quella degli utenti, ovvero di coloro i quali si recano in un ufficio pubblico per l’erogazione del servizio che l’amministrazione è tenuta a prestare.
  6. Si veda quanto riportato in Bozza Linee Guida Green Pass Presidente del Consiglio dei Ministri di concerto con il Ministero della salute, il Ministero per l’innovazione tecnologica e la transizione digitale e il Ministero per l’economia e le finanze Art. 13 comma 9c)
  7. L’attività di autocontrollo potrebbe rilevarsi necessaria per quei lavoratori per i quali non è possibile prevedere forme di controllo all’ingresso, si pensi ad esempio al caso dei portinai di condominio, ai lavoratori addetti all’avvio degli impianti (ad esempio il lunedì mattino alla ripresa delle attività produttive) che entrano con largo anticipo rispetto ai colleghi, ecc.
  8. Per quanto, alla luce delle informazioni ad oggi disponibili, per tali soggetti l’App Covid-19 fornirà alla lettura il codice verde senza dare evidenza della condizione di fragilità.
  9. Si veda quanto D.L. 139 del 8 ottobre 2021 art. 9 Modalità di verifica del possesso delle certificazioni verdi COVID-19 nei settori pubblico e privato ai fini della programmazione del lavoro quando recita al comma 1 “1. In caso di richiesta da parte del datore di lavoro, derivante da specifiche esigenze organizzative volte a garantire l’efficace programmazione del lavoro, i lavoratori sono tenuti a rendere le comunicazioni di cui al comma 6 dell’articolo 9-quinquies e al comma 6 dell’articolo 9-septies con un preavviso necessario a soddisfare le predette esigenzeorganizzative.”
  10. Si ricorda che il Decreto specifica che il lavoratore deve “…possedere e di esibire su richiesta la certificazione verde COVID-19…” come recitano rispettivamente gli artt. 1 e 3 al comma 1.
  11. Si veda anche quanto riportato in Bozza Linee Guida Green Pass Presidente del Consiglio dei Ministri di concerto con il Ministero della salute, il Ministero per l’innovazione tecnologica e la transizione digitale e il Ministero per l’economia e le finanze.
  12. Da considerare anche un modello di informativa breve, in più lingue, destinata agi esterni (es. autisti).
  13. Si veda D.L. 139 del 8 ottobre 2021 art. 3.
  14. Per approfondire la tematica dell’audit si veda F. EMEGIAN, M. PEREGO, Privacy e audit, Wolters Kluwer, 2019.
WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4