Greenpass50+: cos’è e come funziona il servizio INPS per la verifica Green Pass nei luoghi di lavoro - Cyber Security 360

LA GUIDA

Greenpass50+: cos’è e come funziona il servizio INPS per la verifica Green Pass nei luoghi di lavoro

La verifica dei Green Pass per l’accesso ai luoghi di lavoro, in ambito lavorativo sia pubblico che privato, è ora possibile attraverso il servizio INPS “Greenpass50+”. Analizziamo nel dettaglio le varie fasi per la sua attivazione e utilizzo, puntualizzando le questioni privacy e security

28 Ott 2021
G
Lorenzo Giannini

Consulente legale e DPO

Si chiama GreenPass50+ il nuovo servizio offerto dall’INPS che le aziende con più di 50 dipendenti possono attivare d’ora in avanti e fino al 31 dicembre al fine di ottemperare agli attuali obblighi di legge che impongono la verifica dei Green pass (in corso di validità) per accedere al proprio luogo di lavoro.

Come noto, infatti, a far data dallo scorso 15 ottobre l’obbligo di Green Pass è richiesto anche per l’accesso ai luoghi di lavoro pubblici e privati, nonché agli uffici giudiziari, così come previsto dal D.L. 127/2021.

Sotto il profilo delle modalità di verifica delle “Certificazioni verdi Covid-19”, nonostante resti valido l’utilizzo dell’app VerficaC19, con il recente DPCM 12 ottobre 2021 che ha modificato il DPCM 17 giugno 2021, sono stati introdotti nuovi strumenti per i controlli giornalieri del personale effettivamente in servizio, tanto nel settore pubblico, quanto privato.

In particolare – come meglio specificato in un precedente intervento[1] – è ora possibile, per il datore di lavoro, sfruttare anche modalità automatizzate (inclusi strumenti di rilevazione delle presenze) che facciano uso del Software Development Kit-SDK rilasciato dal Ministero della Salute con licenza open source. Per lo specifico ambito pubblico, invece, sono state rese disponibili modalità basate sull’interazione della Piattaforma Nazionale Digital Green Certificate (PN-DGC) con la Piattaforma NoiPA oppure con i sistemi informativi di gestione del personale delle pubbliche amministrazioni (solo laddove vi siano almeno mille dipendenti).

Infine, per le realtà con più di cinquanta dipendenti sia in ambito privato, sia per le pubbliche amministrazioni (escluse le scuole) non aderenti a NoiPA, è previsto l’utilizzo di una modalità basata sull’interazione, in modalità asincrona, tra il Portale istituzionale INPS e la PN-DGC.

Green pass: linee guida aggiornate per PA e privati al decreto-bis, con i nuovi adempimenti privacy

Servizio Greenpass50+: la verifica tramite Portale INPS

Prendendo in esame quest’ultima modalità, il servizio Greenpass50+, di recente pubblicazione sul portale istituzionale dell’Istituto nazionale della previdenza sociale, interroga la Piattaforma Nazionale Digital Green Certificate (PN-DGC) come intermediario e consente al datore di lavoro, con riferimento all’elenco di codici fiscali dei propri dipendenti, la verifica asincrona dei Green Pass.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Oltre alla richiamata soglia minima di organico interno alla struttura, che deve superare i cinquanta dipendenti, in base al paragrafo 4 dell’Allegato H al DPCM 12 ottobre 2021, le attività di verifica mediante questa modalità devono essere “effettuate esclusivamente nei confronti del personale effettivamente in servizio per cui è previsto l’accesso al luogo di lavoro nel giorno in cui è effettuata la verifica, escludendo i dipendenti assenti per specifiche causali (es. ferie, malattie, permessi) o che svolgano la prestazione lavorativa in modalità agile”.

Il servizio, come riportato nel Messaggio INPS n° 3589[2] del 21 ottobre scorso, prevede tre distinte fasi:

  1. Fase di accreditamento. In questa fase i datori di lavoro possono accreditare l’azienda al servizio di verifica del Green Pass e indicare i c.d. “Verificatori”, che controlleranno il possesso della “Certificazione verde Covid-19”. Si osserva come l’indicazione di tali soggetti risulti in linea con quanto previsto a norma del comma 11 dell’art. 13, DPCM 17 giugno 2021 così come modificato dal DPCM 12 ottobre 2021, laddove l’utilizzo della funzionalità de quo sia prevista “al solo personale autorizzato alla verifica per conto del datore di lavoro”.
  2. Fase elaborativa. L’INPS accede alla Piattaforma Nazionale-DGC per il recupero dell’informazione del possesso del Green Pass da parte dei dipendenti delle aziende aderenti al servizio.
  3. Fase di verifica. I soggetti “Verificatori” accedono al servizio per la verifica del possesso del Green Pass dei dipendenti, dopo aver selezionato i nominativi rispetto ai quali effettuare il controllo.

Analizziamole più nel dettaglio.

Servizio Greenpass50+: la fase di accreditamento

In questa fase i datori di lavoro, anche mediante i soggetti delegati, accreditano l’azienda e specificano i codici fiscali dei “Verificatori” che dovranno procedere alle attività di controllo sui dipendenti, selezionandoli dall’elenco messo a disposizione all’interno dell’applicazione (denominata “Richiesta verifica Green Pass”). L’azienda, a seconda della relativa gestione di appartenenza, sarà identificata:

  1. dalla posizione contributiva (c.d. matricola aziendale) per la gestione dipendenti privati;
  2. dal CIDA, per la gestione agricola;
  3. dal codice fiscale dell’Ente e progressivo, per la gestione dipendenti pubblici.

Durante la fase di accreditamento (online), dove possibile, saranno effettuati i seguenti controlli: dimensionamento dell’azienda, con riferimento al numero dei dipendenti (che, come detto, deve essere superiore a cinquanta) e, per i datori pubblici, l’essere o meno in carico a NoiPA per i servizi stipendiali.

Il controllo relativo alla dimensione aziendale, laddove non fosse possibile in questa fase, viene effettuato nella fase di elaborazione iniziale e, se il numero dei dipendenti dovesse risultare minore o uguale a 50, l’accreditamento sarebbe revocato d’ufficio.

I datori di lavoro e i soggetti da essi delegati ai controlli, possono identificarsi e autenticarsi al servizio di accreditamento tramite le proprie credenziali di accesso (SPID/CIE/CNS/PIN).

In un rilascio successivo, a breve, sarà altresì data la possibilità ai datori di lavoro di associare ad ogni soggetto verificatore un insieme definito di codici fiscali dei lavoratori per i quali controllare il possesso del Green Pass.

Servizio Greenpass50+: la fase elaborativa

Nella “fase elaborativa” l’INPS, automaticamente, effettua a cadenza giornaliera le seguenti operazioni:

  1. eliminazione di tutti i dati recuperati dalla Piattaforma Nazionale-DGC il giorno precedente;
  2. analisi di tutte le aziende che risultano essere accreditate al momento dell’elaborazione e controllo del dimensionamento delle stesse, con riferimento al numero dei dipendenti, dove non ciò non sia stato possibile farlo online. Per le aziende il cui numero dei dipendenti risulti superiore a cinquanta, individuazione dei dipendenti, con riferimento alle denunce individuali trasmesse dalle medesime aziende tramite i flussi UNIEMENS e presenti nei sistemi dell’Istituto al momento dell’elaborazione, con riferimento alla matricola aziendale per i dipendenti privati, al CIDA per i dipendenti della gestione agricola, al codice fiscale e al progressivo della sede di servizio per i dipendenti pubblici;
  3. interrogazione della Piattaforma Nazionale DGC, al fine di recuperare l’informazione sul possesso del Green Pass da parte dei dipendenti;
  4. memorizzazione dei dati recuperati all’interno dei sistemi dell’Istituto per 24 ore, trascorse le quali saranno cancellati e saranno ripetuti i passaggi precedenti. In tale fase, che di norma viene eseguita dalle ore 20.00 alle 23.59 di ogni giorno, il sistema di verifica potrebbe non risultare attivo.

Inoltre, durante la fase elaborativa, i verificatori non possono accedere al servizio di verifica: in caso di tentativo di accesso visualizzeranno un apposito messaggio informativo che informa degli orari di disponibilità del servizio.

Servizio Greenpass50+: la fase di verifica

In quest’ultima fase, i soggetti verificatori accreditati durante la prima fase accedono al servizio di verifica e, dopo aver selezionato l’azienda per la quale risultano accreditati, visualizzano l’elenco di tutti i dipendenti dell’azienda (senza visualizzare l’esito del Green Pass), per i quali l’Istituto ha acquisito l’esito del controllo circa il possesso del Green Pass presso la PN-DGC.

Tra i dipendenti presenti nell’elenco visualizzato, i “Verificatori” (che possono identificarsi e autenticarsi al servizio utilizzando le proprie credenziali) selezionano solo il personale effettivamente in servizio di cui è previsto l’accesso ai luoghi di lavoro (solo nei confronti di questi ultimi sarà possibile verificare il possesso del Green Pass), escludendo gli assenti e i dipendenti in lavoro agile.

Come riportato nel paragrafo 4.4 dell’Allegato H al DPCM 12 ottobre 2021, i log applicativi del Portale istituzionale dell’INPS, conservati per 12 mesi, “tracceranno solo le seguenti informazioni: CF del datore di lavoro pubblico o privato; user-id del soggetto che ha effettuato l’interrogazione; elenco dei CF verificati; data e ora di esecuzione dell’interrogazione”, con esclusione, pertanto, degli esiti della verifica.

Preme sottolineare come, così come stabilito ex art. 13, comma 15, DPCM 17 giugno 2021, modificato dal DPCM 12 ottobre 2021, a seguito di un eventuale esito negativo del controllo nell’ambito della modalità di verifica in esame, tale per cui il dipendente non risulti in possesso di un Green Pass in corso di validità, “lo stesso ha diritto di richiedere che la verifica della propria certificazione verde COVID-19 sia nuovamente effettuata al lomento dell’accesso al luogo di lavoro mediante l’applicazione descritta nell’Allegato B, paragrafo 4”, ossia tramite l’app “VerificaC19”.

Le questioni privacy e security

Con riferimento alla tutela della riservatezza restano fermi, inoltre, gli obblighi inerenti alla formazione dei soggetti verificatori delegati al controllo da parte del datore di lavoro, che devono altresì essere stati individuati con atto formale (così come già previsto in base all’art. 13, comma 3, DPCM 17 giugno 2021).

Come indicato all’interno del parere sullo schema del DPCM 12 ottobre 2021 reso in via d’urgenza dal Garante privacy[3], il ruolo assunto dai soggetti coinvolti nel trattamento di dati personali in questione è opportuno che sia correttamente individuato, in relazione alla specifica finalità perseguita, anche al fine di assicurare la trasparenza nei confronti degli interessati, nonché consentire una chiara ripartizione degli obblighi e delle responsabilità previste dal Regolamento (UE) 2016/679 (GDPR).

Inoltre – prosegue il Garante – il personale interessato dal processo di verifica deve essere opportunamente informato dal proprio datore di lavoro sul trattamento dei dati attraverso una specifica informativa, anche mediante comunicazione resa alla generalità del personale, ai sensi degli articoli 13 e 14 GDPR (cfr. anche art. 15, comma 7, DPCM 17 giugno 2021, così come modificato dal DPCM 12 ottobre 2021).

Sotto diverso profilo, il Garante precisa come la Piattaforma Nazionale-DGC “consenta ai soggetti tenuti ai controlli di visualizzare la sola informazione, di tipo booleano, relativa al possesso di una certificazione verde COVID-19 in corso di validità, evitando che il trattamento abbia a oggetto le ulteriori informazioni conservate, o comunque trattate”, nell’ambito della PN-DGC. Ciò, si aggiunge al generale divieto di “raccolta dei dati dell’intestatario in qualunque forma” (salvo quanto strettamente necessario all’applicazione delle misure previste in caso di mancato possesso del Green Pass o di violazione degli obblighi da parte del dipendente), già previsto ai sensi del comma 5 dell’art. 13, DPCM 17 giugno 2021 e “comune denominatore” per tutte le modalità di verifica del Green Pass.

Inoltre, l’Autorità Garante nel ribadire il necessario rispetto dei principi di accountability (art. 24 GDPR) e di privacy by design e by default (art. 25 GDPR), chiarisce come devono essere assicurate “la tutela dei diritti e delle libertà delle persone fisiche sin dalla fase «di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni» [cfr. Considerando 78 GDPR], atteso che il datore di lavoro, in qualità di titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, è tenuto a valutare e comprovare, […], la conformità del trattamento ai principi generali del Regolamento” e, in particolare, a quelli di “liceità, correttezza e trasparenza”, “limitazione della finalità” e di “minimizzazione dei dati”, nonché di “integrità e riservatezza” (cfr. art. 5 GDPR), “adottando le adottando le opportune misure tecniche e organizzative [cfr. art. 32 GDPR, ndr], anche tenuto conto degli specifici rischi per gli interessati nel contesto lavorativo”.

Greenpass50+: come accedere al servizio INPS

Il servizio, per il quale è prevista anche una guida all’utilizzo dell’applicazione[4], è accessibile sul sito dell’INPS:

  • Mediante la funzione di ricerca, digitando “Greenpass50+”;
  • Al percorso raggiungibile sul sito istituzionale www.inps.it > Prestazioni e Servizi > Servizi, nell’elenco alfabetico dei servizi alla lettera “G”;
  • Al percorso raggiungibile sul sito istituzionale www.inps.it > Prestazioni e Servizi > Prestazioni, all’interno della scheda prestazione “Accesso ai servizi per aziende e consulenti”, nell’elenco alfabetico alla lettera “A”.

 

NOTE

  1. Lavoro e Green Pass: tutti i modi per verificarlo – Cyber Security 360.

  2. INPS – Messaggio numero 3589 del 21-10-2021

  3. Parere sullo schema di decreto “Modifiche al decreto del Presidente del… – Garante Privacy.

  4. Manuale_Utente_Verifica_Green_Pass.pdf (inps.it).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4