Lavoro e Green Pass: tutti i modi per verificarlo - Cyber Security 360

L'APPROFONDIMENTO

Lavoro e Green Pass: tutti i modi per verificarlo

L’obbligo di Green Pass, previsto anche in ambito lavorativo pubblico e privato, è stato oggetto di ulteriori indicazioni che hanno esteso le modalità per la verifica delle certificazioni. Analizziamole nel dettaglio

15 Ott 2021
G
Lorenzo Giannini

Consulente legale e DPO

A seguito dell’introduzione del D.L. 127/2021 con cui è stato esteso l’obbligo di Green Pass in ambito lavorativo pubblico, privato e per l’accesso agli uffici giudiziari, non si arresta il profluvio normativo in tema di “Certificazioni verdi Covid-19” con cui, nell’ultima settimana, si è assistito all’introduzione di tre ulteriori provvedimenti soprattutto inerenti alle modalità di verifica.

Attraverso il cosiddetto “decreto capienze” (D.L. 139/2021), infatti, è stato inserito l’art. 9-octies al D.L. 52/2021 (convertito, con modificazioni, nella L. 87/2021), che prevede per il datore di lavoro pubblico o privato la possibilità, derivante da specifiche esigenze organizzative e con il fine di garantire l’efficace programmazione del lavoro, di richiedere ai lavoratori l’eventuale mancanza di possesso del Green Pass con un preavviso sufficiente a soddisfare le predette esigenze di ordine logistico.

Successivamente, alla vigilia dell’applicazione degli obblighi – con una tempistica, pertanto, non certo favorevole ai datori di lavoro, sia in ambito pubblico che privato – sono stati pubblicati i due decreti del Presidente del consiglio dei ministri, firmati lo scorso 12 ottobre, con cui sono state rispettivamente adottate le “Linee guida in materia di condotta delle pubbliche amministrazioni pe l’applicazione della disciplina in materia di obbligo di possesso e di esibizione della certificazione verde COVID-19 da parte del personale” e apportate modifiche al DPCM 17 giugno 2021 con riguardo alle modalità e agli strumenti di verifica dei Green Pass.

Green pass: linee guida aggiornate per PA e privati al decreto-bis, con i nuovi adempimenti privacy

L’estensione delle modalità di verifica dei Green Pass

Soffermandoci, in questa sede, ad approfondire il contenuto del DPCM 12 ottobre 2021 con cui sono state apportate modifiche al DPCM 17 giugno 2021 con riguardo alle modalità di verifica dei green pass – emanato a seguito del parere espresso in via d’urgenza dall’Autorità Garante privacy – occorre sottolineare, in via incidentale, come il provvedimento trovi applicazione tanto all’ambito pubblico quanto a quello privato.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

In questa prospettiva, si osserva come alcune delle nuove modalità di verifica introdotte siano, per di più, specifiche per la pubblica amministrazione e che, per tale ragione, siano state riportate anche all’interno delle linee guida più sopra richiamate.

Con l’introduzione di un comma 10 all’art. 13 del DPCM 17 giugno 2021, sono stati introdotti ulteriori strumenti di verifica, che vanno ad aggiungersi all’app “VerificaC19” – che resta valida – “al fine di assicurare il più efficace ed efficiente processo di verifica del possesso delle certificazioni verdi COVID-19 nell’ambito lavorativo pubblico e privato”.

In particolare, le nuove modalità “consentono una verifica quotidiana e automatizzata del possesso delle certificazioni verdi in corso di validità del personale effettivamente in servizio, di cui è previsto l’accesso ai luoghi di lavoro”, senza che siano rivelate le ulteriori informazioni conservate, o comunque trattate, nell’ambito della Piattaforma nazionale Digital Green Certificate (PN-DGC).

Green Pass: le ultime indicazioni del Garante Privacy, ma rimangono aspetti da chiarire

Nello specifico, sono state introdotte:

  1. la possibilità di utilizzare un pacchetto di sviluppo per applicazioni (Software Development Kit-SDK), rilasciato dal Ministero della salute con licenza open source, che consente di integrare nei sistemi di controllo, inclusi quelli di rilevazione delle presenze (es. tornelli all’ingresso), le funzionalità di verifica della Certificazione verde COVID-19, mediante la lettura del QR code;
  2. un’interazione, in modalità asincrona, tra la Piattaforma NoiPA e la PN-DGC per la verifica del possesso dei green pass in corso di validità da parte di dipendenti pubblici degli enti aderenti a NoiPA;
  3. un’interazione, in modalità asincrona, tra il Portale istituzionale INPS e la PN-DGC per la verifica del possesso dei green pass in corso di validità da parte di dipendenti dei datori di lavoro, con più di cinquanta dipendenti (sotto questa soglia rimane l’utilizzo dell’app “VerificaC19”) sia privati che pubblici non aderenti a NoiPA. Una soluzione senz’altro “appetibile” – in ragione della sua immediatezza – in ambito privato, che consente ai soggetti delegati ai controlli da parte del datore di lavoro l’inserimento, anche in blocco, dei codici fiscali dei dipendenti da controllare, affinché il portale INPS “rivolga” le richieste alla piattaforma di Sogei;
  4. un’interoperabilità applicativa, in modalità asincrona, tra i sistemi informativi di gestione del personale delle amministrazioni pubbliche con almeno mille dipendenti, anche con uffici di servizio dislocati in più sedi fisiche, e la PN-DGC, per la verifica del possesso dei green pass in corso di validità da parte dei dipendenti. Modalità da attivare previa autorizzazione e accreditamento, sulla base di apposita convenzione con il Ministero della Salute.

Il pacchetto di sviluppo (SDK) per la verifica della certificazione

È utile osservare come, così come sancito dal comma 12, il pacchetto di sviluppo (SDK) messo a disposizione dal Ministero della Salute possa essere utilizzato “per la verifica della Certificazione verde COVID-19 anche in ambiti diversi da quello lavorativo”.

Pensiamo, ad esempio, a tutte quelle attività e ambiti per i quali vige l’obbligo di possesso ed esibizione dei green pass fin dall’estate scorsa, per mano dell’art. 9-bis D.L. 52/2021, introdotto ex art. 3 D.L. 105/2021 (convertito, con modificazioni, nella L. 126/2021).

Il pacchetto, disponibile su GitHub con licenza open source unitamente alla documentazione tecnica e le raccomandazioni da osservare nella realizzazione dell’applicativo, nella sostanza consente l’integrazione nei sistemi di controllo degli accessi delle medesime funzionalità già presenti nell’app “VerificaC19”.

Come riportato all’interno del paragrafo 2 dell’allegato H al decreto in esame, dopo la scansione del QR code del green pass eseguita da parte dell’applicazione che utilizza la SDK, il flusso logico previsto per la corretta fruizione della modalità, si compone di quattro fasi:

  1. Ricezione della richiesta di verifica green pass, contenente la rappresentazione del contenuto del QR code.
  2. Verifica della versione della componente SDK se la versione minima richiesta non è rispettata la verifica del QR code tramite SDK è inibita, altrimenti si prosegue alla fase successiva.
  3. Esecuzione della decodifica del contenuto del QR code attraverso le funzionalità esposte dall’SDK (decompressione, validazione formale, verifica della firma recuperando il relativo certificato di firma (DSC)).
  4. Lettura dei dati decodificati in fase 3 e applicazione delle regole di validazione definite dal Ministero della Salute al fine di considerare il green pass valido”.

I requisiti minimi richiesti per sfruttare le funzionalità dell’SDK

Con riferimento ai requisiti minimi richiesti per poter sfruttare le funzionalità dell’SDK, occorrerà quanto segue:

  1. Dispositivo hardware in grado di leggere un QR code (ad esempio, una fotocamera).
  2. Connettività alla rete Internet per l’invocazione dei servizi di backend della PN-DGC che permettono di scaricare le informazioni e i dati necessari al corretto funzionamento del sistema in modalità periodica ogni 24 ore.
  3. Sistema operativo Android a partire dalla versione 7.
  4. Sistema di storage per memorizzare i dati restituiti dai servizi di backend (vedi requisito 2)”.

Alcune precisazioni sulla protezione dei dati personali

In ogni caso, sotto il profilo della protezione dei dati personali il comma 13 specifica come il trattamento dovrà essere “effettuato limitatamente alle informazioni pertinenti e alle operazioni strettamente necessarie alla verifica della validità delle Certificazioni verdi COVID-19”, con previsione di un divieto di conservazione del codice bidimensionale (QR code) dei green pass sottoposti a verifica, nonché di estrazione, consultazione, registrazione o comunque di un trattamento delle informazioni per finalità ulteriori rispetto a quelle previste dall’obbligo.

Per quanto riguarda invece il ricorso alle funzionalità disponibili tramite il Portale INPS e la piattaforma NoiPA, è lo stesso Garante privacy a sottolineare la necessità di adottare “misure tecniche e organizzative per garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti”, sulla scia del dettato normativo dell’art. 32 del Regolamento (UE) 2016/679 (GDPR).

Lavoro e Green Pass: considerazioni finali

Occorre, infine, considerare due ulteriori aspetti.

Da un lato, nel caso di controlli effettuati mediante il Portale INPS, la piattaforma NoiPA o il sistema di interoperabilità applicativa per il settore pubblico, il comma 15 prevede la possibilità per il soggetto che, da un primo controllo, non risultasse in possesso di un green pass in corso di validità, di richiedere che una nuova verifica della propria certificazione sia effettuata al momento dell’accesso al luogo di lavoro attraverso l’app “VerificaC19”.

Dall’altro, la possibilità prevista dal comma 14 per cui, “nelle more del rilascio e dell’eventuale aggiornamento delle certificazioni verdi COVID-19 da parte della piattaforma nazionale DGC, i soggetti interessati possono comunque avvalersi dei documenti rilasciati, in formato cartaceo o digitale, dalle strutture sanitarie pubbliche e private, dalle farmacie, dai laboratori di analisi, dai medici di medicina generale e dai pediatri di libera scelta che attestano o refertano” una delle alternative condizioni alla base del rilascio dei green pass in formato QR code.

Un elemento di flessibilità senz’altro favorevole a colmare gli immancabili disguidi e ritardi tecnici, ma che – come già correttamente osservato da altri[1] – mette a serio rischio “il sistema faticosamente concertato dal Governo e dall’Autorità [Garante] privacy per evitare una condivisione di dati personali eccessiva [e di natura “particolare” ex art. 9, GDPR, ndr] (oltre che per evitare di affidare il sistema a certificati facilmente falsificabili ed, infine, per evitare di rendere troppo complesse le operazioni di verifica delle certificazioni)”.

 

NOTE

  1. Green Pass: le ultime indicazioni del Garante Privacy, ma rimangono aspetti da chiarire – Cyber Security 360

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3