Frame 9

Egregio Sig. Provveditore,
Con riferimento all’ordine di servizio in oggetto indicato e alla procedura individuata
secondo la quale il dipendente, genericamente indicato, sulla base di una libera scelta, può
consegnare al “medico competente per il tramite del Responsabile per il Servizio di Prevenzione e
Protezione del Provveditorato” la propria certificazione verde,

esonerando così il dipendente dal
controllo quotidiano, si vogliono sollevare una serie di perplessità che si auspica possano
trovare conforto nel riscontro che la S.V. vorrà cortesemente fornire in tempi brevi.
In primis, in relazione agli obblighi vaccinali statuiti dalla legge 19 novembre 2021 n.
165, ci si vuole soffermare sulle modalità di controllo della certificazione verde che la S.V. ha
voluto indicare al punto 3 del richiamato ordine di servizio che ha inteso trasmettere “per
opportuna conoscenza alle Direzioni degli Istituti Penitenziari della Regione” con la verosimile
intenzione di poter offrire un modello da utilizzare in sede locale per le procedure a utilizzare
nell’attuazione delle “misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e
privato”.
Al punto 6 viene successivamente illustrata la procedura inversa, in cui è previsto che il
medico competente, in esito alle verifiche effettuate, consegni, per il tramite del RSPP, al
personale addetto ai controlli, un elenco riportante i nominativi del personale, che pertanto
risulta esonerato dai controlli.
Questa O.S. ha voluto porre l’accento sulla generica definizione di ”dipendenti”, indicata
al punto 3, che andrà, inevitabilmente, a generare ancor più confusione, posto che ai sensi
dell'articolo 2, lettera b) e lettera d) del decreto legge 26 novembre 2021, n. 172 l’obbligo
vaccinale sussiste solo ed esclusivamente per tutto il personale appartenente al Corpo di
polizia penitenziaria ovunque presti servizio nonché tutto il personale che svolge a qualsiasi
titolo la propria attività' lavorativa alle dirette dipendenze del Dipartimento
dell'Amministrazione Penitenziaria o del Dipartimento per la Giustizia Minorile e di
Comunità, all'interno degli istituti penitenziari per adulti e minori.
Da ciò ne consegue che detto obbligo non sussiste per gli altri operatori penitenziari di
cui alla lettera d) dell'art.2 del D.L. 26 novembre 2021 n.172 per l'ipotesi in cui prestino servizio
in sedi extra moenia, come nel caso di codesta articolazione.
Una generica definizione di “dipendente”, utilizzata nell’ambito della procedura di
consegna di cui al punto 3 dell’Ordine di servizio in oggetto indicato, può ragionevolmente
indurre un appartenente al comparto delle funzioni centrali in servizio presso codesta
articolazione, ovvero non soggetto ad obbligo vaccinale e che quindi dispone di una
certificazione verde di tipo “base” e la cui validità è data dal tampone, a consegnare il proprio
green pass al medico competente per il tramite del Responsabile per il Servizio di Prevenzione
e Protezione del Provveditorato; da ciò ne deriva un evidente e significativo paradosso, nella
misura in cui una procedura che mirava a snellire e semplificare le operazioni si rivela ancor
più farraginosa e inefficace, posto che il medico competente riceverà il totale delle certificazioni
verdi dei “dipendenti”, rileverà eventuali scadenze a breve termine dei green pass base e dovrà
aggiornare, con cadenza giornaliera, l’elenco degli esonerati dal controllo che per il tramite del
RSPP dovrà trasmettere al personale della portineria addetti al controllo.
Ciò premesso vale la pena di ricordare che nessuna semplificazione, reale o presunta
che sia, valga il prezzo della rinuncia alla riservatezza su scelte così fortemente connotative
della persona come quelle in ambito vaccinali.
Oltre alla quotidiana trasmissione di questi elenchi (attività che deve avvenire per il
tramite del RSPP), procedura che se non rispettata con assoluta precisione può verosimilmente
non assicurare i controlli, ovvero preservare la sicurezza del luogo di lavoro1, e non essere
conforme al principio fondamentale di esattezza sancito dal Regolamento UE 27 aprile 2016,
n. 2016/679 (di seguito GDPR2), si deve tenere in debita considerazione anche la riconsegna al
“dipendente” della certificazione verde non più valida, così come previsto dal punto 21
dell’ordine di servizio in argomento, dove vi è un riferimento ai termini di conservazione;
anche detta procedura di riconsegna deve avvenire per il tramite del RSPP.
La descritta procedura oltre a risultare inefficace, ancor che basata sulla erronea
presunzione di una costante presenza del RSPP, presuppone una significativa trasmissione di
dati (elenchi del personale) di certificazioni verdi che anche durante la trasmissione da un
ufficio all’altro e da una scrivania all’altra devono assicurare gli standard di sicurezza previsti
ovvero devono essere trasmesse secondo criteri conformi alla normativa vigente in materia di
trattamento dei dati e non essere nella disponibilità di altri soggetti.
In questo passaggio al RSPP di copie del green pass e in particolare nei casi
riconsegna/trasmissione di elenchi corretti per intervenuta scadenza, che lo stesso RSPP e la
S.V. potrebbero risalire alla genesi dello stesso, accedendo alla conoscenza di condizioni
soggettive peculiari dei lavoratori come quella riferita a convinzioni personali per gli operatori
del comparto funzioni centrali (scelta in ordine alla profilassi vaccinale), che a detta del
Garante per la protezione dei dati personali appare come conoscenza di informazioni poco
compatibile con le garanzie sancite dalla disciplina di protezione dei dati.
Come noto la possibilità di consegnare copia della certificazione verde è stata introdotta
grazie ad un emendamento in sede di conversione in Legge del Decreto Legge 21 settembre
2021 n. 127, così da costituire una semplificazione importante per i dipendenti e per i datori di
1 l’esenzione dall’attività di verifica della certificazione verde non consentirebbe di rilevare l’eventuale condizione di positività
sopravvenuta del lavoratore
2 Regolamento Europeo per la Protezione dei dati Personali
lavoro oggi obbligate dalla normativa vigente, ad esibire e controllare il possesso della
Certificazione Verde Covid-19, sostanzialmente all’accesso al luogo di lavoro ed in maniera
giornaliera.
Tuttavia la descritta procedura, tesa a snellire e a ridurre i tempi di controllo e di accesso,
ulteriormente semplificata da codesta articolazione, non risulta priva di una serie di criticità
già segnalate dal Garante per la protezione dei dati personali che ebbe ad evidenziare un
anomalo trattamento di dati particolari, in contrasto al Considerando 48 del Regolamento (UE)
2021/953 il quale, nel sancire un quadro di garanzie omogenee, anche sotto il profilo della
protezione dati, per l’utilizzo delle certificazioni verdi in ambito europeo, dispone che “Laddove
il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l'accesso
durante il processo di verifica non devono essere conservati, secondo le disposizioni del presente
regolamento”3.
Non solo, il Garante nelle osservazioni rivolte al Parlamento ha ritenuto non legittima
la conservazione del green pass da parte del datore di lavoro anche laddove vi sia un presunto
consenso implicito del lavoratore che la consegni. Tale consenso in ambito lavorativo non può
ritenersi un idoneo presupposto di liceità, in ragione dell’asimmetria che caratterizza il
rapporto di lavoro stesso, ovvero di assoggettamento del “dipendente” al datore di lavoro. Nel
merito si richiamano i contenuti del considerando 43 del GDPR.
Tuttavia, ritenendo che la S.V. abbia voluto prevedere la procedura di consegna della
certificazione verde in conformità alla normativa vigente, verosimilmente nelle more delle
adeguate soluzioni informatiche specifiche, intervenendo a tutela dei diritti dei dipendenti in
una delicata materia come il trattamento di dati particolari, si chiede di sapere se la S.V. abbia
previsto tutte le misure minime di sicurezza previste per il trattamento di dati particolari e
nello specifico quanto segue:
 Se, con il coinvolgimento del proprio RSPP e del Medico Competente, sia stato
aggiornato il DVR di cui all’art. 28 del D.Lgs. 9 aprile 2008 n. 81 ed in particolare gli
aspetti illustrati dal comma 2 lettera f), in modo da recepire le nuove modalità di
accesso presso codesta articolazione e di controllo del “green pass”. Nel merito si
evidenzia la individuata mansione del locale RSPP che esula dalle competenze di
cui all’art. 33 del richiamato D. Lgs., nel raccogliere, trasmettere e più in generale
trattare dati particolari, che espone la predetta figura a rischi specifici e che
richiedono una riconosciuta capacità professionale, specifica esperienza, adeguata
formazione e addestramento;
 Se, in considerazione dei nuovi trattamenti effettuati, abbia segnalato al competente
ufficio il necessario aggiornamento del registro delle attività di trattamento
effettuate, predisposto ai sensi dell’articolo 30 del GDPR con indicazioni relative
alle finalità del trattamento, con una descrizione delle categorie di interessati e delle
categorie di dati personali, con una descrizione generale delle misure di sicurezza
tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR e i termini ultimi
previsti per la cancellazione dei dati;
3 Garante per la Protezione dei dati personali - Segnalazione al Parlamento e al Governo sul Disegno di legge di conversione
del decreto-legge n. 127 del 2021 (AS 2394), in relazione alla possibilità di consegna, da parte dei lavoratori dei settori pubblico
e privato, di copia della certificazione verde, al datore di lavoro, con la conseguente esenzione, dai controlli, per tutta la durata
della validità del certificato
 Se nel rispetto dei contenuti della circolare del 31 maggio 2019 a firma del
Responsabile per la protezione dei dati di questo dicastero (dr.ssa Doris Lo Moro),
avente ad oggetto il “Regolamento generale sulla protezione dei dati (Regolamento UE
2016/679). Valutazione d'impatto sulla protezione dei dati (cd. DPIA)”, abbia predisposto
la valutazione di impatto in conformità all’art. 35 del GDPR, secondo i contenuti
della richiamata circolare “Quando un tipo di trattamento può presentare un rischio
elevato per i diritti e le libertà delle persone fisiche, considerata la natura, l'oggetto, il contesto
e le finalità del trattamento, il titolare del trattamento effettua, prima di procedere al
trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati
personali”; 7
 Se sia stata assicurata la conformità della descritta procedura al Regolamento
Generale per la protezione dei dati personali ed in particolare i principi relativi al
Capo III ovvero ai diritti dell’interessato, quali il diritto di revoca alla consegna della
certificazione verde e di cancellazione nella procedura del trattamento dei dati;
 Se sono state messe in atto le idonee misure tecniche e organizzative proporzionate
rispetto alle attività di trattamento del caso di specie e conformi al capo IV del GDPR;
 Se il personale addetto ai controlli, stante la nuova procedura che prevede controlli
di certificazioni e verifiche da un elenco con nominativi fornito dal medico
competente per il tramite del RSPP, sia stato ulteriormente incaricato e reso edotto
dei rischi derivanti delle descritte procedure sul trattamento dei dati personali
connessi all’esercizio del compito assegnato, in base all’articolo 2-quaterdecies del
Dlgs 196/2003;
 Se la S.V. abbia ritenuto opportuno trasmettere “per opportuna conoscenza alle
Direzioni degli Istituti Penitenziari della Regione” con la verosimile intenzione di poter
offrire un modello da utilizzare in sede locale per le procedure a utilizzare
nell’attuazione delle “misure urgenti per assicurare lo svolgimento in sicurezza del lavoro
pubblico e privato.
Nella certezza che la S.V. provvederà a fornire un celere nonché dettagliato riscontro, si
coglie l’occasione per porgere Cordiali saluti.