Annunciata la App per il controllo generalizzato del Green Pass: un’analisi a priori.
Annunciata la App per il controllo generalizzato del Green Pass: un’analisi a priori.
Di Christian Bernieri - DPO
Premessa
Nelle ultime settimane o
gni Datore di Lavoro è alle prese con la procedura di verifica dei Green Pass che, dal 15 ottobre, si applicherà a chiunque entri in azienda per ragioni professionali. Sin dalla pubblicazione delle prime bozze del provvedimento (D.L 127/2021) sono fiorite le più fantasiose interpretazioni, sono emersi un gran numero di problemi pratici ed applicativi e sono diventate subito molto evidenti le particolarità che ci differenziano dal modello standard di riferimento al quale il legislatore ha pensato durante stesura del testo.
Un elemento, in particolare, è stato sottovalutato: con quale strumento effettuare il controllo?
Il D.L. 137/21 rinvia alle modalità previste dal DPCM del 17 giugno 2021 che, pertanto, diventano obbligatorie e vincolanti. Queste prevedono l'utilizzo, in via esclusiva, dell’applicazione mobile Descritta nell’allegato B del provvedimento: l'APP VerificaC19 .
Sono dunque esclusi dalla norma altri sistemi d altre modalità di controllo del Green Pass. Per poter legittimamente utilizzare sistemi differenti occorre una modifica alla norma che, forse in modo poco lungimirante, ha vincolato la verifica ad un unico strumento.
Le linee guida previste per la PA, in via di pubblicazione, contemplano in modo molto naturale la possibilità di utilizzo di sistemi integrati che, unitamente al controllo accessi, alla verifica della temperatura corporea, alle timbrature ecc, permettano di effettuare anche il controllo di validità del Green Pass di ogni lavoratore.
Questi sistemi, ad oggi, non sono previsti dalla norma e non sono utili ai fini della verifica obbligatoria. Utilizzarli significa rischiare di invalidare l’intera procedura di verifica poiché condotta con uno strumento differente da quello preordinato. Inoltre, dal combinato disposto della normativa citata con il GDPR, si può dire che l’uso di sistemi differenti sia addirittura illecito, tuttavia, in modo molto disinvolto, nelle linee guida e nella prassi si da per scontato che siano in uso.
Gli stessi produttori di di totem, stazioni self service e sistemi di controllo accessi stanno integrando il controllo del green pass ai propri prodotti, proponendoli alle aziende e agli enti della PA.
Vi è notizia, peraltro, di sistemi autarchici, in uso importanti presso atenei chiamati a gestire migliaia di studenti, che spostano la fase di controllo ad un momento precedente ossia al momento della validazione di un badge universitario ad uso interno. Pare evidente che il legislatore, in particolare europeo, strutturano le modalità di verifica, temesse scenari di questo tipo, atti a storicizzare e registrare i Green Pass e, di conseguenza, a violare in modo palese la normativa sulla protezione dei dati personali (GDPR). Forse anche per questo negli ultimi mesi sia il Garante Privacy che l’EDPB hanno più volte ribadito l’illiceità dell’archiviazione e della gestione storicizzata dei green pass.
Per completezza citiamo il fatto che, presso gli enti della Pubblica Amministrazione, sia già lecitamente in uso un portale di verifica massiva, basato sulla Piattaforma Nazionale DGC, realizzato in modo tale che il datore di lavoro, o un suo delegato, autenticandosi con credenziali forti, possa verificare il possesso del Green Pass per tutto il personale semplicemente caricando i codici fiscali dei soggetti da verificare. E’ inoltre previsto un secondo sistema, basato sul portale NoiPA, per permettere al datore di lavoro di verificare in modo massivo tutto il personale associato alla sua unità organizzativa o ente.
Pensando al mondo dell’impresa, è stata evidenziata la medesima esigenza ovvero la possibilità di un controllo massivo, rapido, che prescinda alla presenza fisica del lavoratore e che sia, possibilmente, lecito.
Se lo strumento fosse integrato alla App VerificaC19, il testo della norma potrebbe rimanere quasi invariato ma se venisse introdotto uno strumento differente sarebbe necessario modificare il D.L.127/21 oppure integrare l’allegato B del DPCM del 17 giugno 2021.
In queste ore, il Garante Privacy è stato coinvolto per esprimere un parere e orientare correttamente gli sforzi di SOGEI, l'azienda che sta predisponendo il nuovo strumento di verifica.
In attesa di poter leggere il parere del Garante e di poter vedere i dettagli e il funzionamento della nuova APP o apprezzare modifiche alla nuova versione di VerificaC19, analizziamo qui alcune delle criticità relative alla protezione dei dati personali alle quali SOGEI dovrà far fronte.
Differenze nel trattamento
La App VerificaC19, nella versione iniziale, effettua un trattamento di dati minimale:
VerificaC19 comunica con l’esterno una volta al giorno e per scaricare, tramite connessione internet, solo i dati aggiornati per decifrare i QR Code, necessari al proprio funzionamento.
La App lavora esclusivamente “in locale” e in modo “cieco” rispetto all’utilizzatore. La APP non sa chi la sta utilizzando e non sa chi sia la persona che presenta il green pass o quale sia il rapporto tra le due. La App non sa dove si trova, non conosce l’azienda per conto della quale effettua il controllo e, soprattutto, non rimane traccia di nulla nè sulla app ne in interno o su server remoti.
Tecnicamente, per la App, chiunque può controllare chiunque.
Se le si presenta un QRCode relativo ad un Green Pass, l'APP applica un algoritmo (un calcolo) e lo decifra, rendendo leggibile il contenuto del QRCODE, restituendo sullo schermo dello smartphone nome, cognome e data di nascita , oltre che lo stato di validità del green pass stesso.
Qualsiasi sistema di controllo massivo comporta criticità che VerificaC19 può permettersi di non prendere in considerazione:
- chi sta usando la App di verifica?
- di chi sono i green pass da verificare?
- qual è il rapporto tra questi due soggetti?
- qual è la circostanza che autorizza il controllo?
In termini tecnici, il tema si pone per il rispetto del GDPR e del principio di minimizzazione del dato: la legge autorizza solo il Datore di lavoro a verificare esclusivamente i lavoratori (sia da lui assunti che assunti da terzi, o autonomi, i visitatori ecc.) e solo rispetto alla presenza presso i luoghi di lavoro.
Con una app per il controllo massivo, diventa complesso assicurare che il controllo sia limitato ai soggetti chiamati ad effettuare o a subire la verifica.
Nel caso dei sistemi in uso presso la PA, l'autenticazione forte, già in uso presso gli enti, e la mappatura delle piante organiche agevolano questo processo di corrispondenza tra verificatori e verificati, pur con qualche criticità residuale.
Tracce
In secondo luogo, il sistema massivo smette di essere cieco: deve interagire con l’utente e con database esterni che dovrà necessariamente consultare e con i quali sono scambiati dati.
La prima cosa che la App deve conoscere è l’utente.
Conoscere l’utente, le generalità del verificatore (per semplicità pensiamo al datore di lavoro) comporta una traccia informatica, una registrazione, i log di utilizzo, credenziali di autenticazione e profili di autorizzazione. In breve, ci sarà un tracciamento dell’uso della App. A prescindere dall’utilità di questo tracciamento per la gestione degli eventuali abusi, si evidenzia qui un nuovo trattamento da gestire secondo le regole del GDPR: da regolamentare, da organizzare, dati da proteggere, informative da predisporre, basi di legittimazione da individuare, soggetti da inquadrare come titolare o come responsabile del trattamento, ecc.
Identificazione
La seconda cosa che la App deve conoscere è l’elenco dei soggetti da verificare.
Trattandosi di un controllo massivo, non vengono verificati i QRCode, anche perché questo implicherebbe la raccolta delle immagini in un archivio che, come sappiamo, non è lecito. L’identificativo utilizzato, sia esso il codice fiscale o qualsiasi altro codice identificativo, è certamente un dato personale e, come tale, implica delle cautele e degli adempimenti.
Una raccolta di codici fiscali, peraltro, permette di ricostruire ben di più della mera identità dei soggetti a cui i codici si riferiscono: diventa evidente anche la ratio sottostante all’aggregazione. La raccolta dei codici fiscali dei lavoratori testimonia il fatto, come metadato, il fatto che questi lavorino all’interno di una determinata azienda così come, a seconda della natura della aggregazione, potrebbe testimoniare di essere pazienti di un determinato medico, clienti di una determinata palestra, di aver preso un determinato treno, di aver visto un determinato film in un certo cinema in uno specifico momento. Il dato personale presente in una lista, pertanto, espone a rischi gravi ed ulteriori rispetto alla mera identificabilità che, di per sé, potrebbe sembrare, in questo contesto, banale e trascurabile o, quanto meno, necessaria.
Conoscere preventivamente quindi il complesso delle persone da sottoporre a verifica è una circostanza che richiede una riflessione, implica degli adempimenti e merita un livello di protezione adeguato.
L’utilizzatore può autenticarsi e rendersi palese in autonomia, conferendo direttamente le proprie credenziali e qualificandosi di conseguenza, ma le persone da verificare non hanno tale facoltà.
Occorre intermediare e validare il rapporto tra il verificante e il verificato, specialmente perché l’obbligo di controllo ha una portata molto limitata e non può essere esteso ad altri soggetti. L’accesso ai database per compiere questa verifica implica diversi trattamenti:
di nuovo la storicizzazione dell’uso della app, ma anche l'interconnessione e il raffronto con differenti database. L’estrema complessità dei flussi informativi legati ai rapporti di lavoro rende difficile identificare una fonte attendibile, aggiornata, completa con cui effettuare questa verifica.
Non ultimo dovrebbe essere presa in considerazione l’ipotesi del possibile uso ulteriore dei dati di consultazione. Sicuramente un fine nobile, come l’emersione del lavoro nero, potrebbe dare una parvenza di legittimità all’uso disinvolto dei dati ma il GDPR pone la questione in altri termini, valorizzando la dignità degli individui e cercando di proteggerli anche da errori materiali, azioni ingenue e curiose e, genericamente, dalle deludenti implicazioni del fattore umano.
In pratica, occorre chiarire, fin da subito, se i log di queste interrogazioni saranno successivamente utilizzate per altri fini come, per esempio, l’identificazione di differenze tra i database di inps, inail, centro per l’impiego ecc e le situazioni reali che i datori di lavoro hanno riscontrato nella propria azienda ovvero l’elenco dei soggetti sottoposti a verifica. Il GDPR non limita l’attività di governo, ma impone una trasparenza e una finalizzazione del trattamento che, molto spesso, suonano sorprendenti a chi desidera poter usare i dati in modo libero e disinvolto.
Esattezza
La scelta del database da interrogare non è priva implicazioni rispetto al GDPR: il trattamento deve essere effettuato con dati esatti, aggiornati, completi. Ogni errore, ogni omissione, ogni ritardo negli aggiornamenti dovuto alla sincronizzazione di archivi decentralizzati o interconnessi può significare un trattamento illecito. Un datore di lavoro non dovrebbe poter consultare la validità del green pass di un ex dipendente, dal giorno dopo la cessazione. Così come un neoassunto non dovrebbe essere penalizzato rispetto agli altri lavoratori e dovrebbe poter beneficiare di un valido ed efficace controllo sin dal primo giorno.
Interconnessione
In questa acquisizione ed interconnessione di dati risiede un trattamento per il quale il GDPR prevede adempimenti specifici: ogni dato acquisito presso terzi richiede una specifica informativa, differente da quella resa in occasione dell’instaurazione del contratto di lavoro o di fornitura. In pratica i datori di lavoro dovrebbero scrivere una informativa per rendere trasparente questa interconnessione e acquisizione di dati da enti terzi.
L’acquisizione di dati presso terzi dovrà riguardare, probabilmente, anche soggetti esterni all'organizzazione poichè i controlli si estendono a chiunque entri in azienda per causa di lavoro. Per effettuare la verifica massiva di questi soggetti sarà necessario interrogare altri database come, ad esempio, quelli degli ordini professionali, dei centri per l’impiego, ecc.
Base di legittimazione
Individuare la base di legittimazione del trattamento non è semplice poiché l’uso di un sistema massivo non può certamente essere considerato obbligatorio se esiste anche la modalità tradizionale ed individuale di controllo. Il consenso, come noto, non è applicabile in ambito lavoristico a causa dello sbilanciamento tra la posizione del datore e del lavoratore. Il legittimo interesse pare essere una possibile soluzione ma implica che il lavoratore si opponga al trattamento massivo, ostacolando la fluidità che rappresenta l'obiettivo dell’intero sistema di controllo.
Libertà
Nella prospettiva del lavoratore, l’introduzione dei controlli massivi potrebbe comprimere una libertà che, magari poco esercitata, rappresenta pur sempre un margine di scelta lecito e che verrebbe completamente annullato: così come un lavoratore può non dichiarare i propri figli (perdendo i benefici che questo comporta), un lavoratore potrebbe non mostrare il proprio green pass al datore di lavoro patendo le conseguenze che questo comporta. Potrà sembrare una circostanza patologica, magari non meritevole di tutela, ma questa valutazione non può essere generalizzata.
Il lavoratore si troverebbe nell’impossibilità di negare l’esistenza di green pass se il controllo venisse effettuato dall’azienda ed in assenza di sua collaborazione o consenso.
Il rischio sotteso a questa situazione è quello della discriminazione e, tra tutti i rischi, è forse quello più pesante nel bilanciamento degli interessi.
Automazione
Inoltre, citiamo un diritto poco conosciuto ma applicabile al controllo massivo: il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o che incida sulla sua persona. L’art 22 del GDPR prevede una forte limitazione, alcune esclusioni e una serie di misure di prevenzione che dovranno essere attuate sia dal Governo a livello normativo, sia dagli enti coinvolti per la rispondenza della APP ai principi Privacy by Design e by Default, sia dal datore di lavoro che, in veste di titolare, dovrà organizzare il trattamento in modo da non violare questo diritto. Sono pertanto escluse a priori l’applicazione di sanzioni automatiche a seguito di controllo o, comunque, conseguenze rilevanti se non intermediate da una persona fisica e con tutte le garanzie previste dall’art 22.
Delega
Tornando al soggetto utilizzatore, non pare ragionevole che la APP per il controllo massivo sia in uso al datore di lavoro, quanto piuttosto che all’uso sia delegato uno o più collaboratori. Questo aggiunge un livello di complessità di cui tener conto nell’ambito del rispetto del GDPR.
Retaggio
A livello sistematico, ci si domanda se, a seguito dell'introduzione dei controlli massivi, possa avere ancora senso la norma che impone a chiunque di essere in grado di esibire, in modo permanente, il proprio green pass, a pena di sanzione.
Aspetti tecnici
In ultimo possono essere citate alcune delle classiche criticità che rendono le App non allineate ai dettami e ai principi del GDPR:
- la presenza di tracker o sistemi di acquisizione dati sull’uso non è compatibile con le finalità della App. Attualmente VerificaC19 non presenta tracker quindi è lecito supporre che, eventuali nuove funzioni, non implichino modifiche rispetto ai sistemi di tracciamento.
- I dati scambiati su reti pubbliche devono essere necessariamente cifrati e non possono viaggiare in chiaro
- L’interfaccia utente deve essere protetta dall’acquisizione di dati illecita, come l’effettuazione di screenshot o registrazioni dello schermo che gli smartphone possono facilmente realizzare
- Particolare cautela dovrà essere posta anche nella gestione e uso della memoria del dispositivo poiché anche il sistema operativo acquisisce i dati e li condivide per ragioni tecniche (es. crash).
Molte altre implicazioni possono derivare dalle modalità di attuazione e dalle caratteristiche dei sistemi che SOGEI sta implementando ma sarà possibile parlarne solo quando questi saranno resi pubblici.