Conversione in legge del decreto-legge 21 settembre 2021, n. 127, recante misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l'estensione dell'ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening (2394) (V. nuovo titolo)
Conversione in legge, con modificazioni, del decreto-legge 21 settembre 2021, n.
127, recante misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l'estensione dell'ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening (2394) (Nuovo titolo)
PROPOSTA DI QUESTIONE PREGIUDIZIALE QP1 Ciampolillo, Martelli
Respinta Il Senato,
premesso che:
il decreto-legge in esame introduce misure di straordinaria necessità ed urgenza in relazione all'emergenza Covid in ambito lavorativo, estendendo la necessità di esibizione del certificato Covid a tutti i luoghi di lavoro pubblici e privati, identificando altresì un regime di controlli e sanzioni, controlli attuabili - in alternativa alla scansione dei certificati eseguita dai soggetti preposti mediante l'utilizzo dell'APP C-19 - anche con appositi software o
piattaforme;
al riguardo, si segnalano numerose criticità; alcune già evidenziate in occasione della conversione del decreto-legge n. 111 del 2021, che verranno reiterate, altre verranno a breve sollevate per la prima volta;
si richiama anzitutto una nota della Commissione europea - già nota a quest'Aula - nella quale si evidenziava l'utilizzo del certificato UE - rilasciato ai sensi del Regolamento UE 953 del 2021 - per scopi "domestici" (ovvero diversi da quelli previsti dal Regolamento): "gli Stati membri possono effettivamente utilizzare il certificato digitale Covid dell'UE per scopi nazionali, ma sono tenuti a fornire una base giuridica nel diritto nazionale. Tale diritto nazionale deve rispettare il diritto dell'Unione in materia di protezione dei dati e i principi di effettività, necessità e proporzionalità" "(In this context, member States may indeed use the EU digital Covid certificate for domestic purposes, but are required to provide for a legal basis in national law. Such national law must comply with Union data protection law and the principles of effectiveness, necessity and proportionality)";
al riguardo, il decreto da convertire risulta obiettivamente carente per quanto concerne i principi di proporzionalità ed efficacia; la misura - che nasce a protezione dei lavoratori ed a prevenzione della diffusione del contagio - non opera difatti una
differenziazione in base al rischio specifico di contagio a cui ciascun lavoratore è soggetto, e per conseguenza non appare proporzionata una disposizione che ponga sullo stesso piano e soggetti a stesso rischio lavoratori i cui compiti implichino inevitabilmente contatti stretti con altre persone e quelli che - a titolo di esempio - lavorano all'aperto o in strutture così ampie (ad esempio, capannoni) dove il distanziamento è insito nell'organizzazione aziendale, ovvero individualmente in uffici senza contatti con il pubblico;
differenziare le misure per categorie di rischio non è soltanto regola di buon senso e di conformità con il principio unionale di proporzionalità; risulta altresì indispensabile per consentire di decongestionare il carico di lavoro di farmacie e punti tampone attualmente oberati di tal incombenza in misura tale da creare un'obiettiva difficoltà per gli utenti che necessitino di fornire prova dell'esame diagnostico ogni due giorni;
per quanto concerne l'efficacia della misura, consentire la possibilità di controllo a campione ne fa venire evidentemente meno lo scopo sanitario, visto che i lavoratori che sanno di non esser soggetti a verifica al momento dell'ingresso potrebbero benissimo entrare accettando il rischio di una sanzione pur essendo sprovvisti del certificato Covid; se obiettivo di una misura sanitaria è quello di prevenire la diffusione del contagio, il controllo a campione non soddisfa il criterio dell'efficacia, e se si aggiunge che tra i lavoratori in possesso del certificato Covid vi sono soggetti vaccinati non testati nelle ultime 48 ore, il rischio contagio tende ancor più ad aumentare, tenuto conto che è ormai acquisito al patrimonio conoscitivo il
44
principio fatto - proprio anche dal Consiglio d'Europa nel Paragrafo 8 della Risoluzione 2383 del 2021 - secondo cui il soggetto vaccinato (in quanto potenzialmente infettivo) non può andare esente dall'onere di esibire un recente test di negatività al virus SARS-CoV-2 (questo adempimento consentirebbe altresì il pieno rispetto della direttiva UE 54 del 2000 sulla protezione dei lavoratori dagli agenti biologici, tra i quali dal 2020 è incluso il predetto virus);
la nota della Commissione europea si sofferma poi sugli aspetti relativi alla
protezione dei dati personali, esplicitando come la normativa nazionale non possa estendere il diritto di richiedere l'esibizione della certificazione Covid a soggetti diversi da quelli
individuati all'articolo 10.3 del Regolamento UE 953 del 2021 (soggetti autorizzati in ambito
"domestico" ai controlli, in materia sanitaria, sono, ad esempio, i reparti NAS dei Carabinieri e non certo i soggetti privati quali i datori di lavoro); nella citata nota è scritto che la
normativa interna deve essere "conforme al diritto dell'Unione in materia di protezione dei dati", e non esclusivamente al GDPR; pertanto l'articolo 10.3 del Regolamento UE 953 del 2021, quale disposizione del diritto unionale in materia di protezione dei dati personali, va senz'altro ricompreso tra le norme poste a presidio della privacy, il cui rispetto - come chiarito dalla Commissione - è condizione necessaria per consentire usi "domestici" dei certificati Covid;
altro profilo di criticità, già evidenziato in sede di conversione del decreto-legge n.
111 del 2021, era quello inerente la piattafonna software per il controllo dei certificati Covid in uso presso le scuole, ove l'utilizzo dei codici fiscali per verificare il possesso di un
certificato valido ha consentito ai dirigenti di desumere implicitamente informazioni che il Regolamento 953 del 2021 impedisce di condividere, in particolare quelle inerenti lo stato di vaccinazione; analogo rischio si pone con l'estensione di tali modalità di controllo in tutti gli ambiti lavorativi, anche perché la piattaforma verifica lo stato di validità del certificato dei lavoratori attraverso il loro "codice fiscale", ed è pertanto inverosimile che tale processo non finisca per raccogliere e conservare dati, pratica che il predetto Regolamento UE vieta. Al riguardo, sembra invece che sia stato costituito presso SOGEI un vero e proprio archivio dei dati relativi a vaccinazione, guarigione ed esito test, così come confermato da Beppe Grillo in una recente intervista (https://www.ilfattoquotidiano.it/2021/10/12/green-pass-beppe-grillo-
serve-pacificazione-il-popolo-no-vax-e-molto-contenuto-lo-stato-paghi-i-tamponi-per-
entrare-in-azienda/6351364/?utm_campaign=politica&utm_medium=twitter&utm_source=twitter); si spera che all'Aula non sfugga come le affermazioni rese lascino aperti interrogativi non da poco, quali il collocamento dei server della predetta piattaforma, chi li gestisca ed a quali informazioni tali soggetti avrebbero accesso, dubbi che dovrebbero senz'altro venir dissipati prima di consentire l'ingresso della previsione normativa nell'ordinamento nazionale, visti i contrasti con la normativa europea, che autorizza esclusivamente le applicazioni operanti in modalità di sola lettura del QR code;
al riguardo tuttavia, anche l'utilizzo dell'applicazione C-19 determina criticità nel momento in cui acquisisce il QR code, sia perché i dati possono essere agevolmente oggetto di captazione da parte dell'operatore (ad esempio, mediante "screenshot" e lettura con APP estere che accedono a tutto il dataset del codice QR), sia perché - si apprende - è necessaria la connessione alla rete per verificare l'autenticità del codice, e ciò implica inevitabilmente uno scambio dati con server remoto ed una banca dati; questa pratica si appalesa essere in violazione dell'ultimo capoverso dell'articolo 10.3 del Regolamento 953 del 2021, ove è previsto che "I dati personali consultati a norma del presente paragrafo non sono conservati";
del resto, che la verifica dell'autenticità dei certificati non debba richiedere l'accesso remoto ad un server è espressamente previsto dall'articolo 3, comma 2, del predetto
Regolamento, che così dispone "... tali certificati sono di facile utilizzo e contengono un codice a barre interoperabile che consente di verificarne l'autenticità, la validità e l'integrità";
pertanto, l'autenticità del certificato è insita nel codice QR e non necessita di essere verificata online interrogando un database remoto (in tale eventualità occorrerebbe la prestazione di consenso al dataset da parte dell'interessato);
come anticipato, dalla lettera della Commissione europea Direzione giustizia si evince che l'uso domestico dei certificati Covid è consentito esclusivamente se conforme alle norme a presidio della protezione dei dati personali, e qualora si sia verificata una violazione di quest'ultime, o alla violazione non sia più possibile porre rimedio (com'è accaduto, i dirigenti scolastici ormai a conoscenza di quali dipendenti sono vaccinati e quali no, i dati dei
QR code conservati presso database contenuti in server non esattamente localizzati, la loro
45
lettura consentita con APP freeware disponibili online che estraggono l'intero dataset delle informazioni in essi contenuti, eccetera), l'utilizzo delle certificazioni Covid in modalità non conformi al Regolamento UE 679 del 2016 e 953 del 2021, articolo 10.3, deve essere
immediatamente interrotto, impedendo che possano proseguire in ambito lavorativo verifiche affette e caratterizzate da un tal grado di illegalità;
se tale modalità di controllo non è dunque legittima, neppure è consentito votare in favore della conversione di un decreto-legge che autorizzi l'uso di tali tecnologie, le quali finirebbero inevitabilmente per avallare un sistema di raccolta di dati personali in contrasto con le norme in materia, e per queste ragioni, e tutte le altre già espresse in narrativa, il Senato delibera di non procedere all'esame del decreto-legge n. 127 del 2021.
46
EMENDAMENTO 1.8000 (TESTO CORRETTO), SU CUI IL GOVERNO HA POSTO LA QUESTIONE