Green Pass: le ultime indicazioni del Garante Privacy, ma rimangono aspetti da chiarire - Cyber Security 360

IL NUOVO DECRETO

Green Pass: le ultime indicazioni del Garante Privacy, ma rimangono aspetti da chiarire

Il Garante Privacy ha dato il via libera al nuovo DPCM pubblicato in Gazzetta Ufficiale il 14 ottobre 2021, che va a modificare il precedente decreto che ha finora regolato i controlli Green Pass. Ecco le nuove modalità di controllo, ma rimangono alcune criticità

21 ore fa
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Un altro dei tasselli del puzzle normativo della certificazione verde Covid è passato, indenne, al vaglio del Garante Privacy. Il DPCM pubblicato in Gazzetta il 14 ottobre 2021 (a poche ore dall’entrata in vigore dell’obbligo di Green Pass per il mondo del lavoro) modifica il DPCM 17.06.2021 che sinora ha regolato i controlli dei Green Pass, ed ha ricevuto il via libera del Garante nonostante alcune criticità abbastanza evidenti nei contenuti del provvedimento.

Il Garante si concentra in particolare sulle nuove modalità di controllo previste dal decreto e che hanno l’obiettivo di semplificare le attività di verifica da parte dei datori di lavoro.

Green Pass: le nuove modalità di controllo

Il Garante si concentra innanzitutto sulle nuove modalità di controllo che dovrebbero essere accessibili per i datori di lavoro.

Ricalcando il parere favorevole già espresso con riguardo alla piattaforma predisposta dal Governo per il settore scuola, il Garante dà il via libera a questi controlli “da remoto” articolati in diverse possibilità a seconda del soggetto coinvolto e dalla dimensione del titolare nel caso di pubbliche amministrazioni.

Da un lato, il Garante autorizza l’impiego di pacchetti di sviluppo (SDK) rilasciati dal Ministero con licenza open source, per sviluppare software da integrare nei sistemi di controllo accessi.

Questi sistemi potranno essere “attivati” mediante l’utilizzo di una specifica funzionalità della Piattaforma NoiPA o del Portale istituzionale dell’INPS.

La Piattaforma NoiPA (per le amministrazioni aderenti) e il Portale dell’Inps (per i datori di lavoro con più di 50 dipendenti non aderenti a NoiPA) consentiranno inoltre ai datori di lavoro di visualizzare, senza passare dall’app Verifica C19, la sola informazione del possesso o meno di un Green Pass valido da parte dei lavoratori.

Questi strumenti in buona sostanza consentono di accedere unicamente al dato booleano di tipo sì/no con riguardo al possesso del certificato, senza fornire nemmeno le informazioni ulteriori che vengono invece visualizzate attraverso l’app Verifica C19 (ad esempio la precisazione sul possesso di una certificazione valida solo in Italia, o il fatto che il soggetto è in possesso di una certificazione, anche se questa non è ancora valida).

Proprio per questa “povertà di informazioni”, il controllo con questi sistemi era inteso a essere una semplice “pre-verifica” da confermare poi con il controllo via app nel settore scuola, questa caratteristica sembra però venuta meno con l’estensione dell’obbligo di Green Pass a tutti i lavoratori e, pare di capire, il controllo via piattaforma sarà sufficiente a integrare un valido controllo nel caso in cui tutti i dipendenti risultino in possesso di Green Pass, senza necessità di convalidare il dato con un controllo via app.

Green pass a scuola, un metodo (tutto digitale e automatico) per gestire i controlli

Il Garante non si sofferma sulle misure tecniche rivolte a risolvere il principale problema di questo tipo di verifica, ovvero quelle destinate ad escludere i dipendenti assenti per ferie, malattie, permessi o che svolgono la prestazione lavorativa in modalità agile, da questo controllo; nel parere è però chiaro che il problema è stato affrontato e risolto positivamente dal Governo.

Peccato che, però, nell’allegato H al decreto si scopra che questa “selezione” dei dipendenti effettivamente in servizio e con accesso ai luoghi sia semplicemente lasciata ad una scelta dell’operatore addetto ai controlli, che andrà quindi opportunamente istruito per scongiurare abusi.

Dall’altro lato è poi previsto, solo le Pubbliche Amministrazioni con più di mille dipendenti, un servizio di interoperabilità applicativa con la Piattaforma nazionale-DGC.

Questo controllo, che passa per l’interoperabilità diretta con la piattaforma governativa e non ha bisogno quindi di “intermediari” come l’applicativo NoiPA o il portale INPS, darà le stesse informazioni (il valore booleano sì/no sul possesso del Green Pass) accessibili attraverso i portali.

L’informativa privacy

Con riguardo all’informativa privacy, invece, il Garante precisa che in caso di attivazione di queste modalità di controllo “da remoto”, sarà necessario informare compiutamente i lavoratori sul loro utilizzo e che l’informativa in proposito potrà essere anche diffusa con un comunicato: “il personale interessato dal processo di verifica sia opportunamente informato dal proprio datore di lavoro sul trattamento dei dati attraverso una specifica informativa, anche mediante comunicazione resa alla generalità del personale”.

Questa informativa andrà quindi distinta da quella rivolta alla più ampia platea dei soggetti sottoposti a controllo (mentre il controllo da remoto riguarda unicamente i dipendenti l’obbligo di esibire il Green Pass si estende a consulenti, collaboratori, titolari ecc. e include in sostanza chiunque visiti l’azienda/amministrazione e non sia un utente/cliente) i quali ultimi difficilmente potranno essere informati tramite comunicazione anticipata e l’informativa andrà resa loro all’atto del controllo, con i soggetti che si occuperanno dei controlli che dovranno tenere a disposizione ed esibire l’informativa privacy ai soggetti sottoposti a verifica.

Il trattamento dati nell’attività di verifica

Nel provvedimento, il Garante coglie l’occasione di ribadire i limiti del trattamento dei dati personali degli interessati nell’ambito dell’attività di controllo del Green Pass.

In particolare, il Garante afferma: “L’attività di verifica non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari, in ambito lavorativo, all’applicazione delle misure derivanti dal mancato possesso della certificazione. Il sistema utilizzato per la verifica del green pass non dovrà conservare il QR code delle certificazioni verdi sottoposte a verifica, né estrarre, consultare registrare o comunque trattare per altre finalità le informazioni rilevate”.

Va quindi ribadito come non sia possibile per i datori di lavoro raccogliere “elenchi” di soggetti controllati o tenere “registri” da far compilare ai delegati al controllo.

L’attività di reporting del controllo effettuato, anche se a campione, non può comportare il trattamento di dati dei soggetti sottoposti a controllo e quindi è evidente che al delegato non potrà essere chiesto altro se non un’attestazione circa il fatto che lo stesso ha provveduto ad effettuare i controlli come da disposizioni ricevute e, nel caso di controlli a campione, quanti sono i soggetti da lui controllati (la rigidità della posizione del Garante si scontra però con la necessità di garantire la rotazione dei controlli, che imporrebbe quantomeno una comunicazione fra i delegati).

Il controllo anticipato dei dipendenti

Il Garante, inoltre, serba il più assoluto silenzio, nel proprio parere, sulle modalità con cui i datori di lavoro potranno chiedere ai dipendenti di anticipare la comunicazione relativa all’assenza di Green Pass, modalità che, stando alle indiscrezioni trapelate sul contenuto del DPCM, erano normate nella bozza del provvedimento.

Le indicazioni del Garante, però, sarebbero state davvero opportune quanto stiamo parlando di un trattamento di dati personali sanitari che per la prima volta, nell’ambito del “sistema” Green Pass, non avviene solo con una esibizione del dato, non conservato dall’app Verifica C19, ma passa per una comunicazione e successiva conservazione del dato stesso.

I datori di lavoro avrebbero infatti bisogno di indicazioni precise sulle cautele da adottare nell’approntare questo trattamento dati sul quale:

  1. non si hanno indicazioni nella normativa;
  2. nessuno ha avuto il tempo di ponderare indicazioni e precauzioni essendo che la possibilità di anticipare i controlli è stata introdotta a pochissimi giorni prima dell’entrata in vigore della normativa che estende il Green Pass ai luoghi di lavoro.

E purtroppo oggi i datori di lavoro si trovano senza nemmeno poter contare sui (pur eccessivamente restrittivi) termini temporali di 48 ore previsti nella bozza di DPCM, che nella versione pubblicata in Gazzetta nulla dispone sui controlli anticipati.

Obbligo di Green Pass in azienda: le misure privacy da adottare a cura del datore di lavoro

L’impiego di certificati cartacei

Tace il Garante su una allarmante disposizione contenuta nel DPCM appena varato dall’esecutivo, secondo la quale nelle more dell’ottenimento del certificato Green Pass digitale sarebbe possibile esibire le certificazioni cartacee (ricevute di tamponi, certificati di vaccinazione, certificati attestanti la guarigione da Covid-19).

La disposizione compromette il sistema faticosamente concertato dal Governo e dall’Autorità privacy per evitare una condivisione di dati personali eccessiva (oltre che per evitare di affidare il sistema a certificati facilmente falsificabili ed, infine, per evitare di rendere troppo complesse le operazioni di verifica delle certificazioni).

Appare quindi strano che il Garante abbia lasciato passare sotto traccia una disposizione così pericolosa senza spendere alcuna considerazione in proposito.

Articolo aggiornato in seguito alla pubblicazione del DPCM “Green Pass” sulla Gazzetta Ufficiale del 14 ottobre 2021.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5