Green Pass e nuovo DPCM sui controlli lavorativi: innovazioni, complessità e prime impressioni - Cyber Security 360

L'ANALISI

Green Pass e nuovo DPCM sui controlli lavorativi: innovazioni, complessità e prime impressioni

Scatta oggi l’obbligo di Green Pass nei luoghi di lavoro così come stabilito dal nuovo DPCM pubblicato in Gazzetta Ufficiale. Ecco le innovazioni e le complessità, ricordando che comunque il provvedimento non deroga al principio di accountability del GDPR e di autonomia organizzativa del datore di lavoro

15 Ott 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Pervaso da un’atmosfera di polemiche e incertezze, è stato firmato il 12 ottobre dalla Presidenza del Consiglio e dai Ministri di salute, economia e finanza nonché innovazione tecnologica, un provvedimento di modifica del DPCM 17 giugno 2021, ovvero la nuova disciplina operativa del Green Pass, sulla base del D.L. 52/2021 che l’ha costituito.

Il testo – di oltre cento pagine, perlopiù di allegati tecnici: quelle normative sono di ardua lettura se non effettuando un consolidamento del testo del DPCM precedente – contiene modifiche al DPCM ma soprattutto svariate innovazioni operative circa le modalità di verifica del Green Pass nei vari contesti.

È da tempo che i rappresentanti delle imprese e della P.A. lamentavano le incertezze applicative e i problemi organizzativi per le verifiche (a campione o meno ecc.) come stabilite nel precedente decreto: si vedano, ad esempio, le posizioni critiche di Confindustria.

Ancor più considerando l’interpretazione restrittiva che in genere le autorità hanno fornito circa l’applicazione del DPCM, sia per motivi giuslavoristici che di disciplina privacy. Si è così cercato di migliorare, estendendo le modalità di verifica, il processo stesso, automatizzandolo il più possibile, importando però nuovi dubbi.

Il nuovo testo, peraltro, fa seguito alla consultazione con il Garante Privacy sulla bozza di testo, il quale aveva rilasciato un parere ad hoc l’11 ottobre scorso e che si riprenderà di seguito.

Green pass: linee guida aggiornate per PA e privati al decreto-bis, con i nuovi adempimenti privacy

Il DPCM 2.0 dei nuovi controlli Green Pass

Al nocciolo del rinnovato DPCM sono le nuove modalità “per assicurare un efficace ed efficiente processo di verifica, anche automatizzato, del possesso delle certificazioni verdi Covid-19 nell’ambito lavorativo pubblico e privato”.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

La verifica è diretta ad accertare l’autenticità, validità e integrità della certificazione, nel rispetto del principio di minimizzazione del trattamento di dati personali.

Lo si prevede ora, in particolare, mediante i seguenti step, ben esemplificati dal Garante stesso nel suo parere:

  • l’introduzione di “specifiche modalità automatizzate di verifica delle certificazioni verdi Covid-19 in ambito lavorativo”, descritte in nuovi allegati; come annunciato, la ratio è di supporto all’organizzazione lavorativa di turni e verifiche, apertura di uffici e punti vendita, insomma una pretesa di semplificazione (l’automatizzazione) attraverso una maggior complessità (le nuove modalità tecniche da implementare e gestire); ricordiamo che finora i controlli erano effettuati sempre e solo “a mano”, cioè tramite l’app mobile VerificaC19 (touch point del sistema della Piattaforma nazionale-DGC) che legge il QR Code del Green Pass utente, gestita da verificatori (di prassi interni autorizzati del datore di lavoro), con i relativi aggravi quanto a rilevazioni agili, rapide, ecc.; si ricorda che sono tuttora precluse altre modalità, purtroppo invalse nella prassi, come stampa e consegna di certificati cartacei ecc.;
  • l’individuazione dei soggetti che, nei diversi contesti lavorativi pubblici e privati, sono deputati alle attività di verifica del possesso delle certificazioni verdi Covid-19 da parte del personale, e che devono essere “incaricati con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica”; di massima si tratterà degli autorizzati/designati ex art. 29 GDPR e 2-quaterdecies Codice Privacy, qualora si tratti di interni, oppure dei responsabili ex art. 28 GDPR nel caso di esterni;
  • il coordinamento con quanto, da ultimo, previsto dall’art. 3 del D.L. 139/2021 che ha introdotto l’art. 9-octies (“Modalità di verifica del possesso delle certificazioni verdi COVID-19 nei settori pubblico e privato ai fini della programmazione del lavoro”) nel D.L. 52/2021 – che ha stabilito che “in caso di richiesta da parte del datore di lavoro, derivante da specifiche esigenze organizzative volte a garantire l’efficace programmazione del lavoro, i lavoratori sono tenuti a rendere le comunicazioni di cui al comma 6 dell’articolo 9-quinquies e al comma 6 dell’articolo 9-septies con un preavviso necessario a soddisfare le predette esigenze organizzative“; in una bozza precedente si parlava di “anticipo strettamente necessario e comunque non superiore alle 48 ore”, ora il solo aggettivo “necessario” è più vago e rimanda in primis all’autovalutazione del titolare, a seconda di dimensioni e contesto; qui si risponde nello specifico alle lamentate esigenze organizzative delle imprese e P.A., difficili da perseguire in mancanza di una possibile programmazione e anticipazione della verifica, finora strettamente intesa perlopiù a cadenza quotidiana (ora solo prioritaria, non esclusiva); ovviamente sarà idoneo il minor lasso di tempo possibile, da valutarsi (e dimostrare) nella sua “stretta necessità” circa le specifiche “necessità organizzative”, pur restando un ambito assai vago e di incerta sanzionabilità; nonostante la sparizione del parametro delle 48 ore, pare ragionevole considerarlo un buon indice da cui discostarsi solo a fronte di documentabili e proporzionate esigenze;
  • la messa a disposizione da parte del Ministero della salute in favore dei datori di lavoro, pubblici e privati, di specifiche funzionalità che consentono una “verifica quotidiana e automatizzata del possesso delle certificazioni verdi in corso di validità del personale effettivamente in servizio, di cui è previsto l’accesso ai luoghi di lavoro”, stabilendo che la stessa sia effettuata “senza rivelare le ulteriori informazioni conservate, o comunque trattate, nell’ambito della Piattaforma nazionale-DGC”; qui pare non del tutto coordinato il testo, visto che ribadisce il carattere “quotidiano” mentre si è introdotta anche la possibilità derogatoria di anticipare, per quanto con “preavviso necessario”; in ogni caso, si ribadisce il sottostante e sovrano principio di minimizzazione nel trattare i dati necessari per la verifica, con limitazione a quanto sufficiente e non oltre; le modalità tecniche, invece, sono le seguenti quattro (a cui aggiungere quella già vigente della app VerificaC19, diciamo non del tutto automatizzata):
  1. “l’utilizzo di un pacchetto di sviluppo per applicazioni (Software Development Kit-SDK), rilasciato dal Ministero della Salute con licenza open source, che consente di integrare nei sistemi di controllo degli accessi, inclusi quelli di rilevazione delle presenze, le funzionalità di verifica della Certificazione verde COVID-19, mediante la lettura del QR code”; qui il senso è consentire una automazione interna con i sistemi già esistenti nei luoghi di lavoro: è prevedibile che vi siano già impianti automatizzati per gli accessi gestiti da software (es. badge) che – con un lavoro di adeguamento interno, a carico del datore di lavoro, ricordiamolo – potranno essere collegati al sistema di verifica dei Greenpass grazie al pacchetto SDK menzionato; come si capirà meglio di seguito, questa onerosa ipotesi (vedremo come si muoveranno i fornitori sul mercato circa l’implementazione) è quasi l’unica alternativa a disposizione di datori di lavoro privati, rispetto all’uso della app;
  2. una interazione, in modalità asincrona, tra la Piattaforma NoiPA, realizzata dal Ministero dell’economia e delle finanze per la gestione del personale delle pubbliche amministrazioni, e la PN-DGC per la verifica del possesso delle Certificazioni verdi COVID-19 in corso di validità da parte dei dipendenti pubblici degli enti aderenti a NoiPA”; questa disposizione riguarda come detto solo il settore della P.A., coinvolgendone i sistemi dedicati;
  3. una interazione, in modalità asincrona, tra il Portale istituzionale INPS, e la PN-DGC, per la verifica del possesso delle Certificazioni verdi COVID-19 in corso di validità da parte dei dipendenti dei datori di lavoro, con più di 50 dipendenti, sia privati che pubblici non aderenti a NoiPA”; qui oltre alla P.A. si riammette l’ambito privato, a determinati requisiti dimensionali, con richiesta ex ante da effettuare da parte del datore di lavoro – pare di intendere – verso INPS; una procedura non certo immediata e che avrà inoltre conseguenze tecniche quanto all’attivazione informatica dei flussi, tutte da gestire sempre a carico del titolare (datore di lavoro pubblico o privato che sia);
  4. una interoperabilità applicativa, in modalità asincrona, tra i sistemi informativi di gestione del personale delle amministrazioni pubbliche con almeno 1.000 dipendenti, anche con uffici di servizio dislocati in più sedi fisiche, e la PN-DGC, per la verifica del possesso delle Certificazioni verdi COVID-19 in corso di validità da parte dei propri dipendenti”; si chiude la rosa di nuovi strumenti con una misura solo per P.A. di grandi dimensioni, previa convezione e accreditamento con il Ministero della Salute;
  • apertura al riutilizzo dell’SDK e soggetti coinvolti: la possibilità che il predetto pacchetto di sviluppo per applicazioni sia impiegato “anche in ambiti diversi da quello lavorativo” e sia “utilizzato come riferimento per la realizzazione di ulteriori librerie software” a condizione che sia conforme “alle medesime specifiche tecniche e ai requisiti del pacchetto di sviluppo per applicazioni” e “sia preventivamente rilasciato il codice sorgente con licenza open source di dette librerie sulla piattaforma utilizzata dal Ministero della Salute”; il provvedimento segnala la necessità che tutto ciò rispetti sempre la pluricitata minimizzazione del trattamento dei dati personali, espressamente vietando la conservazione del codice a barre verificato nonché altri trattamenti (estrazione, consultazione ecc.) per finalità ulteriori e diverse da quelle qui in gioco;
  • l’individuazione del ruolo assunto dai diversi soggetti che, a vario titolo, trattano i dati del personale interessato dalle attività di verifica previste dalla legge mediante le nuove funzionalità messe a disposizione dal Ministero della salute; come visto sopra, potranno essere autorizzati o responsabili del trattamento, debitamente istruiti, utilizzanti sistemi IT che siano allineati alle specifiche tecniche contenuti negli allegati al DPCM in esame;
  • sempre restando in tema di soggetti, il provvedimento esplicita (nuovo art. 15 c. 7 del DPCM 17 giugno) un’informativa ex artt. 13-14 GDPR ai lavoratori interessati “anche mediante comunicazione resa alla generalità del personale”, possibilità non certo vietata in precedenza (è frequente che all’interno dell’azienda si adottino informative in via generale, non strettamente individuale) pur nella sua vaga formulazione che comporta – sempre in vista della dovuta accountability – quanto necessario per provare di avere reso disponibile a tutti l’informativa specifica (oltretutto aggiornata, se si cambiano le modalità di trattamento alla luce del nuovo DPCM); quanto alla titolarità delle attività connesse alle novità appena viste, si precisa che il Ministero della salute resta unico titolare autonomo, mentre il Ministero dell’economia e l’INPS paiono designati con lo stesso DPCM quali responsabili – si auspica che a ciò segua in ogni caso un regolare accordo come imposto ex art. 28 GDPR (non pare certo sufficiente il testo normativo, scarno e meramente dichiarativo) tra tali soggetti pubblici e che tutto sia debitamente segnalato nell’informativa pertinente del Ministero della salute.

Un aggravio immediato per imprese e P.A.

Balza subito all’occhio come le nuove soluzioni non paiano di immediata applicazione, vuoi procedurale (es. autorizzazioni), vuoi tecnica (es. integrazione software dei sistemi), né indolori (quanto a costi economici, di personale, di ore uomo necessarie, anche per aggiornamenti tecnici).

Nonostante la quasi immediata entrata in vigore, saranno da predisporre o rivedere con la dovuta attenzione – limitandoci ai classici documenti di interesse privacy e giuslavoristico – procedure interne di verifica, nomina e istruzioni ai soggetti verificatori con relativa formazione (autorizzati o responsabili che siano) con eventuali documenti di verifica (verbali di verifica, di accertamento/contestazione ecc.), informative al personale (interno ed esterno).

Il nuovo art. 9-septies del D.L. 51/2021 impone più precisamente che i datori di lavoro abbiano definito le modalità operative entro il 15 ottobre 2021, collegandovi il DPCM firmato in data 12 ottobre da Draghi, pubblicato in G.U. il 14 ottobre: questa fretta pare iniqua e quantomeno vessatoria verso i titolari obbligati, considerata la complessità di quanto sopra. Sarebbe stato opportuno perlomeno un periodo di vacatio ragionevole e minori tentennamenti nel definire il testo finale fino all’ultimo, circolato in varie versioni.

Green Pass: le ultime indicazioni del Garante Privacy, ma rimangono aspetti da chiarire

Possibili sviluppi e la ratifica del Garante

Interessante sarà invece approfondire quanto la “mano libera” presente, in qualche misura, nella soluzione SDK (cioè di integrazione dei sistemi interni) possa dirsi rispettosa della dovuta sicurezza per il trattamento dei dati personali.

Ancor più se pensiamo che la normativa ammette l’impiego del pacchetto SDK di verifica per ambiti “diversi da quello lavorativo” e per realizzare “ulteriori librerie software”, stante il codice open source adottato. Si dovrà valutare se le specifiche tecniche dei vari allegati al DPCM siano sufficienti a garantire la idonea sicurezza e minimizzazione dei dati (pensiamo ad es. all’uso dei codici fiscali dei lavoratori), come richiesto nel parere del Garante che – pur avendo espresso un parere favorevole al DPCM – ha puntualizzato alcuni caveat.

Si badi che il Garante ha messo nero su bianco di aver rilasciato il suo parere “in via d’urgenza”, per poter rispettare la pressante esigenza governativa dell’imminente entrata in vigore.

Alcune considerazioni dunque potranno essere anche riviste o meglio approfondite dal Garante, si immagina, a fronte di quanto meglio si approfondirà nel tempo: entro trenta giorni il Garante potrebbe anche non ratificare, in tutto o in parte, il proprio provvedimento urgente, aprendo nuovi scenari.

Infine, ricordiamo che comunque il provvedimento in parola non deroga al principio di accountability del GDPR e di autonomia organizzativa del datore di lavoro (come ribadito anche dalle FAQ del Governo in merito): ogni eventuale responsabilità circa le “falle” implementative o progettuali in tali operazioni sarà sempre e solo a carico del soggetto titolare che dovrà valutare la bontà e adeguatezza, lato privacy e di security, di ogni soluzione adottata, tecnica, organizzativa o legale che sia, oltre che nell’evitare discriminazioni e compressioni indebite dei diritti dei lavoratori.

La sussistenza di nuove possibilità automatizzate di verifica, per quanto previste dalla normativa, non implica in re ipsa il rispetto delle leggi a protezione dei lavoratori e dei loro dati personali.

Temendo, al contempo, i controlli sul tema DPCM che potranno essere svolti, presso le aziende, dagli ispettori del lavoro e dalle aziende sanitarie locali, dei quali si avvalgono i prefetti.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5