Le regole

Green Pass al lavoro, dopo l’OK del Garante Privacy ecco il decreto con le nuove modalità di revoca

Il Garante Privacy ha dato il suo parere favorevole alle nuove modalità per revoca e uso del Super Green Pass in ambiente lavorativo e il governo ha recepito ogni indicazione nel nuovo decreto . Tra le altre cose, i datori di lavoro devono effettuare controlli periodici sulla validità delle certificazioni verdi consegnate dai lavoratori. Ecco tutti i dettagli

28 Dic 2021
B
Christian Bernieri

DPO e Consulente in materia di Protezione dei Dati Personali

Il Garante Privacy ha dato il suo “OK” alle nuove modalità per la revoca e l’uso del Green Pass. Con il Provvedimento n. 430 del 13 dicembre 2021, infatti, l’Autorità per la protezione dei dati personali ha espresso, in via d’urgenza, parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che aggiorna le disposizioni relative alle certificazioni verdi e agli obblighi vaccinali per alcune categorie di lavoratori.

Il Governo ha recepito le indicazioni del Garante integrandole nel testo definitivo del Decreto 17/12/2021 che disciplina molti aspetti tecnici della verifica del Green Pass, inclusa la revoca e la tenuta delle revocation list.

In particolare, nei casi in cui il lavoratore si avvalga della facoltà di consegnare la certificazione verde al datore di lavoro, quest’ultimo è comunque tenuto a effettuare il regolare controllo sulla perdurante validità, mediante lettura del QR code della copia in suo possesso attraverso l’app VerificaC19 o mediante le previste modalità automatizzate.

Inoltre, per chi esercita la professione sanitaria, il decreto disciplina l’annotazione sugli albi professionali “senza ulteriori specificazioni dalle quali sia possibile desumere il mancato rispetto dell’obbligo vaccinale da parte dell’esercente la professione sanitaria”, prevedendo soltanto l’indicazione della circostanza che il professionista è sospeso.

Da segnalare, in particolare, che il decreto dà piena attuazione alla revoca delle certificazioni verdi, in caso di contagio sopravvenuto, tramite una procedura che prevede anche che l’interessato venga informato, utilizzando i dati di contatto dallo stesso forniti.

A questo tipo di procedura se ne aggiunge una specifica relativa ai “green pass” rilasciati o ottenuti in maniera fraudolenta.

Perché la revocabilità del Green Pass si è resa necessaria

In effetti, la revocabilità del Green Pass, o meglio, delle certificazioni verdi Covid-19, è un tema problematico e discusso sin dalla prima ora. Nel momento dell’introduzione del Green Pass, questa necessità non venne percepita come impellente e l’integrazione e l’implementazione di un meccanismo di revoca, seppur già contemplato nella normativa europea, passò in secondo piano.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Il Governo Italiano, concentrando sul Green Pass gran parte delle misure di prevenzione sinora attuate, ha riproposto questa impostazione, ammettendo la possibilità di revoca ma senza implementare alcun meccanismo capace di dar corpo a questa previsione.

Di fatto, adesso, con il decreto 17 dicembre 2021, la revoca del Green Pass è tecnicamente possibile.

Già il 9 giugno 2021 il Garante, con un formale provvedimento, ha evidenziato l’indispensabilità di un effettivo meccanismo di revoca, sia nel rispetto del principio di esattezza del dato previsto dal GDPR, sia per scongiurare i maggiori rischi e la perdita della reale efficacia di contenimento dovuti all’inattendibilità delle condizioni attestate dal Green Pass stesso.

Ciononostante, il Governo non aveva ancora implementato alcun meccanismo di revoca nella normativa che disciplina il certificato verde.

Con il trascorrere del tempo, però, si è notevolmente arricchita la casistica delle circostanze per le quali la revoca del green pass è necessaria. Gli esempi formulati dal Garante si sono trasformati da mere ipotesi accademiche a fattispecie concrete, realizzandosi puntualmente:

  • diffusione e condivisione online di certificati verdi autentici ma utilizzati in modo illecito da centinaia di persone;
  • diffusione a mezzo stampa di green pass reali e conseguenti usi illeciti;
  • vendita illegale di certificati falsificati, con nomi di fantasia, da Mickey Mouse a Hitler;
  • diffusione di certificati autentici ma non registrati, acquisiti mediante la funzione di anteprima;
  • vendita di certificati veri e registrati ma senza effettiva inoculazione del vaccino;
  • più in generale, certificazioni verdi rilasciate e ottenute in maniera fraudolenta;
  • sospensione di intere partite di vaccino anti Covid-19 risultate difettose;
  • certificazioni verdi Covid-19 rilasciate a persone successivamente risultate positive al SARS-Cov-2;
  • effettuazione di tampone con esito positivo e conseguente provvedimento di quarantena per legittimi possessori di certificati verdi.

Le nuove modalità di gestione del sistema Green Pass

Alla luce della pressante esigenza di rendere effettiva la revoca, il Governo ha quindi deciso di consultare il Garante per trovare le modalità con cui intervenire su un sistema che adesso si arricchisce di un elemento fondamentale.

Il Garante non si è sottratto, anche perché le opportune valutazioni erano già state fatte e nulla è cambiato in merito a leggi, finalità, priorità e necessità di bilanciamento, che peraltro sono i criteri che avrebbero dovuto guidare la penna del legislatore.

Con il nuovo Provvedimento, quindi, il Garante ripercorre tutte le criticità già note e definisce le modalità di intervento, compatibili con la normativa a tutela del diritto alla protezione dei dati personali.

Il Governo ha recepito le indicazioni con il Decreto 17/12/2021, introducendo la gestione della revoca in modo preciso e coerente con quanto suggerito dal Garante.

In particolare, la revoca del Green Pass presuppone tre punti fondamentali:

  1. la revoca si basa su una black list (o meglio, una revocation list), un archivio dei codici che identificano univocamente i green pass revocati. Questa black list deve poter essere consultata dai sistemi di verifica in modo che, seppur formalmente corretti, i green pass revocati non permettano la loro validazione da parte della App;
  2. la revoca di un Green Pass deve essere notificata e conoscibile alla persona che ne risulta intestatario, utilizzando i dati di contatto da lui forniti;
  3. in caso di errore, la revoca del Green Pass deve poter essere annullata, permettendo il ripristino della validità del documento revocato, sia in caso di guarigione che di tamponi con esito falso positivo. Adesso, la revoca verrà annullata automaticamente a seguito dell’emissione della certificazione verde COVID-19 di guarigione dalla positività che l’ha generata.

Consegna del Green Pass al datore di lavoro e revocabilità

Il punto più complesso da gestire è, in ogni caso, il nefasto emendamento al decreto-legge n. 127 del 2021 che ha introdotto la possibilità di consegnare al datore di lavoro la copia del proprio green pass al fine di essere esentati dai controlli.

Rischioso consegnare il Green Pass all’azienda per evitare i controlli: ecco perché

L’emendamento oggi è legge e complica molto la gestione della revocabilità del Green Pass.

Il meccanismo di consegna del Green Pass al datore di lavoro, pensato per semplificare l’attività di controllo, tende a cristallizzare una situazione documentale che, per sua natura, è mutevole.

Il Green Pass detenuto in azienda potrebbe essere revocato e, se il lavoratore risulta esonerato dai controlli, si realizzerebbe una concomitanza di eventi devastante: verrebbe completamente vanificata tanto l’utilità del Green Pass rispetto alla riduzione del contagio, quanto la misura di revoca che risulterebbe inefficace poiché invisibile ai controlli.

La cronaca ci ricorda che il Garante si espresse preventivamente, mettendo in guardia circa i rischi dell’adozione del meccanismo di consegna del Green Pass e che, successivamente, richiamò con forza l’attenzione sulle implicazioni che questa norma comporta durante la sua vigenza.

Gli obblighi per il datore di lavoro

Le previsioni del decreto, coerenti con le indicazioni del Garante, dovendo prendere atto tanto della norma quanto delle pressanti necessità connesse alla revoca, vanno nell’unica direzione possibile: il datore di lavoro, in possesso dei Green Pass, è tenuto ad effettuare su di essi il controllo ordinario, quotidiano, esattamente come fa con i lavoratori che non hanno consegnato il proprio Green Pass o come dovrebbe fare, in ogni caso, con i lavoratori che accedono ai luoghi di lavoro.

La norma contestata, concepita come una semplificazione, è diventata ora uno scomodo ostacolo all’azione di Governo: non solo non pare abbia semplificato alcunché, ma sembra addirittura aver complicato le cose aggiungendo una moltitudine di rischi e adempimenti connessi alla corretta conservazione dell’archivio dei Green Pass e, peraltro, rendendo pressoché nulli i vantaggi in termini di agevolazione nelle verifiche.

Probabilmente, molti datori di lavoro che hanno raccolto i Green Pass, attirati dalla promessa di una semplificazione, ora vorranno disfarsene e tornare a modalità di controllo perimetrali o a campione. Il consiglio, in questo caso, è quello di utilizzare un distruggidocumenti adeguato per disfarsi di tutto l’archivio.

Recita il nuovo decreto:  “Nel caso in cui il lavoratore… consegni al proprio datore di lavoro la copia della propria certificazione verde Covid-19, il datore di lavoro effettua la verifica sulla perdurante validità della certificazione del lavoratore effettivamente in servizio mediante la lettura del codice a barre bidimensionale della copia in suo possesso utilizzando l’applicazione mobile … ovvero mediante le modalità automatizzate… nel rispetto del principio di limitazione della finalità del trattamento di cui all’articolo 5, paragrafo 2, lettera b), del Regolamento (UE) 2016/679.”.

Verifica del Green Pass e verifica dell’obbligo vaccinale

Il Provvedimento del Garante va ben oltre e affronta altri aspetti, recepiti dal legislatore  e che, se non adeguatamente gestiti, darebbero luogo a mostri giuridici, abusi, discriminazioni e ogni sorta di danno per le persone coinvolte.

Il Garante puntualizza la differenza tra la verifica dell’obbligo vaccinale, previsto per determinate categorie di lavoratori, e la ben nota verifica del Green Pass che viene attuata in molti contesti, incluso l’ingresso ai luoghi di lavoro.

La distinzione pare superflua solo a un lettore distratto, poiché le implicazioni sono serie e reali.

L’accertamento dell’obbligo vaccinale, quando compete al datore di lavoro, deve essere eseguito una tantum e le variazioni dello stato vaccinale dovranno essere notificate via email solo qualora ricorrano da parte degli enti preposti.

Ben diversa è la periodicità di verifica del Green Pass che è quotidiana o, comunque, frequente. Questa considerazione, di fatto, permette di verificare all’ingresso il Green Pass base per tutti i lavoratori e in tutti i luoghi di lavoro, omettendo la verifica del super green pass, erroneamente suggerita dall’eventuale obbligo vaccinale di alcuni lavoratori.

La conseguenza pratica consiste nel fatto che per l’ingresso in azienda, può essere chiesto unicamente il green pass base, ottenibile con guarigione, vaccinazione e tampone. Anche per le professioni per le quali è previsto obbligo vaccinale, l’unico documento abilitante all’ingresso nei luoghi di lavoro resta il green pass base. La verifica dell’osservanza dell’obbligo vaccinale deve essere effettuata con altre modalità, in altra sede e con altre tempistiche e periodicità.

Green Pass, Super Green pass e app VerificaC19

Particolare attenzione è stata data alle caratteristiche dell’interfaccia dell’App VerificaC19, l’unica app ufficiale per la validazione dei green pass.

Con l’introduzione delle due tipologie di Green Pass e di Super Green Pass, occorre scongiurare il rischio che sia resa palese la causa di emissione della certificazione.

L’interfaccia utente è stata pertanto modificata in modo da risultare chiara e visibile, tanto al verificatore quanto al verificato, in modo da prevenire gli abusi e gli errori di impostazione.

Finalmente viene recepita una delle primissime osservazioni relative all’esito della verifica: dovranno scomparire le differenti schermate e i differenti colori in caso di verifica positiva.

Se un QR Code è verificato come idoneo all’uso che viene impostato, il responso dell’app non permette di capire la ragione alla base della sua emissione. Scompariranno quindi le schermate blu relative alla prima dose di vaccino e le diciture che rendono evidenti circostanze che, di fatto, sono irrilevanti ai fini del controllo.

L’app VerificaC19 si usa solo nei casi previsti dalla legge

Tra i doverosi chiarimenti, alcuni riguardano il corretto uso dell’app di verifica, possibile solo e unicamente ove previsto dalla legge e non come misura addizionale da adottare su base volontaria.

Gli adempimenti per la scelta degli addetti alle verifiche

Sono chiariti anche elementi ben noti ma generalmente trascurati quali la formazione in materia di privacy degli addetti alle verifiche e le caratteristiche formali del loro incarico, nonché dell’informativa da mettere a disposizione delle persone sottoposte a verifica.

Aspetti da chiarire per chi è esentato dalla vaccinazione

Pare incredibile ma an oggi, a metà Dicembre, non sono ancora previste adeguate modalità di gestione per chi, per varie ragioni, risulta esentato dalla campagna vaccinale e che, ad oggi, non può contare su uno strumento per dimostrarlo che non sia lesivo della dignità e della propria riservatezza.

Il Garante sottolinea nuovamente questa pubblica istanza ricordando al Governo che è necessaria una certificazione verde per gli esentati, auspicabilmente anch’essa revocabile, che consenta di superare i controlli senza dover rendere note le particolarità della propria situazione.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing
@RIPRODUZIONE RISERVATA

Articolo 1 di 5