.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

27 ottobre 2021

Green Pass - una guida alla sopravvivenza

Green Pass - una guida alla sopravvivenza


Di Christian Bernieri - Principal Consultant in Bernieri Consulting

@prevenzione    blog@6ft.it



Oggi debuttano i controlli del Green Pass nelle aziende private e negli enti pubblici: un’operazione titanica, disciplinata da una norma di legge ermetica, interpretata ed ampliata con FAQ e Linee guida e decisamente poco integrata rispetto al resto dell’ordinamento.


Aziende, enti e lavoratori si trovano accomunati dall’attesa per ciò che potrà accadere e dalla perplessità rispetto ai tanti risvolti inesplorati che l’applicazione pratica comporta.


I più lungimiranti hanno cercato di prepararsi, per quanto possibile, procurandosi bozze di lavoro, raccogliendo anticipazioni e sfruttando al meglio il poco tempo concesso dai ritardi nella predisposizione e pubblicazione dei documenti ufficiali.


Da oggi, probabilmente, diventeranno visibili un gran numero di situazioni particolari che non trovano risposta nella norma o, rispetto alle quali, l’applicazione della norma assume contorni grotteschi.


Vediamo un campione di casi comuni e frequenti e, per ciascuno, un breve vademecum di sopravvivenza, ovviamente basato sulla nostra interpretazione della norma. Omettiamo i pesanti riferimenti a norme, articoli e commi lasciando ai consulenti il piacere di recuperarli nella vastità del corpus juris.


  1. fuori orario

La gestione dei controlli sul personale che accede fuori dall’orario standard di apertura dei locali crea molte difficoltà. Anche nel migliore dei casi, i controlli, quando affidati ad addetti alla verifica, coprono l’intera giornata lavorativa ma nei limiti della loro presenza. Le aziende che operano su più turni, possono nominare addetti su ciascun turno ma le aziende che applicano il classico orario 9-18 non hanno personale in servizio al di fuori di questa fascia. Restano scoperte situazioni come: il personale dell’impresa di pulizie che termina il proprio lavoro prima dell’apertura o che lo inizia durante la notte; lavoratori che accedono fuori orario per recuperare attrezzature e materiali, chi effettua straordinari, guardiania e vigilanza, solo per citare i casi più frequenti.

Per le aziende private, la norma da massima libertà al datore di lavoro nell’organizzazione dei controlli e i limiti funzionali preesistenti costituiscono il criterio per giudicare adeguato il controllo effettuato. Non è richiesta l’estensione delle verifiche oltre all’orario di disponibilità degli addetti e ciò genera certamente una scopertura che, tuttavia, deve essere accettata poiché non eliminabile senza una radicale modifica organizzativa dell’azienda. La norma non chiede tanto. Ricordiamo che l’obbligo dell’azienda si limita al dovere di istituire una procedura di verifica, non è tenuta a dare la garanzia della capillarità ed efficacia del controllo. 


  1. richieste di garanzia

Molte aziende hanno provato a risolvere il problema del controllo del personale addetto alle pulizie chiedendo ai rispettivi appaltatori di sottoscrivere lettere di impegno, manleva, garanzia, sino ad autocertificazioni sul fatto che il personale operante sia dotato di green pass. Questa soluzione ricorda certi formalismi che hanno vanificato l’efficacia di molte norme prevenzionistiche. Nel caso delle verifiche del Green Pass, non si può parlare di norme di prevenzione e il risultato non è accrescere il rischio ma rendersi ridicoli. Per come è strutturata l’intera meccanica del Green Pass, non è possibile per un datore di lavoro garantire nulla rispetto ai propri lavoratori. I controlli in azienda possono essere legittimamente condotti a campione, pertanto non tutti i lavoratori sono verificati ogni giorno e, soprattutto, nulla può essere detto sul possesso del Green Pass dieci minuti dopo l’effettuazione della verifica. I green pass con scadenza a 48-72 ore, non permettono al datore di lavoro di dare alcuna garanzia sulla validità nel prosieguo della giornata, pertanto, chiedere di garante l’invio di operatori dotati di green pass è illogico, tecnicamente impossibile e implica la violazione di una legge poiché sottende la conoscenza della tipologia di green pass e della causa del suo rilascio.


  1. manleva sulle responsabilità

Rimanendo all’esempio delle richieste incongrue appena descritte, rileviamo che, per come è scritta la norma, il datore di lavoro non deve dichiarare alcunché. Ricordiamo che, nel mondo dell’impresa, i contratti generalmente obbligano ad una prestazione di risultato, non di mezzi: l’impresa deve eseguire una prestazione o erogare un servizio. Se questo non avviene, si applicano le regole previste dal contratto o dal codice civile che permettono di gestire gli eventuali danni patiti dal committente. Non serve ribadire questo principio che, nella sua evidenza, pare offuscato dalla babele normativa emergenziale introdotta con il Green Pass. Rispetto ai professionisti, i prestatori d’opera, l’obbligazione di mezzi, tipica di queste figure, potrebbe astrattamente giustificare la richiesta del committente che, tuttavia, sarebbe rivolta direttamente al professionista che per come è concepita la norma, non deve effettuare la verifica in qualità di datore di lavoro, quanto piuttosto è soggetto all’obbligo più generale di possesso del green pass, riferito alla figura di lavoratore. Anche in questo caso, dunque, si darebbe luogo ad un cortocircuito logico e normativo, chiedendo informazioni che non è lecito condividere, il che rende consigliabile soprassedere sulla richiesta originaria.


  1. obblighi differenti e sovrapposizione

I lavoratori attenti, che hanno preso molto sul serio gli obblighi a proprio carico, sono preoccupati dal fatto che potrebbe essere sanzionati.

Il datore di lavoro è tenuto a organizzare verifiche perimetrali, è sufficiente quindi effettuare i controlli all’inizio della giornata, dopodichè, per l’azienda, senza rischio di sanzioni, il lavoro può proseguire anche se il green pass dovesse perdere la sua validità. 

La prospettiva del lavoratore è differente e si preoccupa dell’ipotesi di controllo, successivo all’inizio della giornata, da parte di un ente terzo, chiamato alla verifica e all’applicazione della norma verso i lavoratori. Il tenore letterale della norma evidenzia questa asimmetria: il lavoratore è tenuto a possedere un green pass valido “ai fini dell'accesso ai luoghi” di lavoro e, recandosi da un cliente, si espone al rischio di essere, oltre che bloccato all’ingresso, anche sanzionato, cosa che non accadrebbe se il lavoro venisse svolto all’interno della propria impresa.

Già da alcuni giorni, i lavoratori hanno iniziato a limitare la disponibilità al proprio datore di lavoro solo fino ad una certa ora, consapevoli del fatto che, successivamente, il loro green pass sarebbe risultato non valido in caso di verifica. Questa situazione riguarda tutti i green pass emessi a seguito di tampone che, probabilmente, scadranno durante la giornata lavorativa.

Lo scrupolo dei lavoratori sta generando situazioni complicate poichè l’azienda non è tenuta ad accettare una prestazione parziale, o meglio, nel diritto del lavoro non è previsto un istituto adeguato e si rimanda a ferie, permessi e strumenti rigidamente disciplinati ma che non coprono questa nuova situazione. L’azienda è addirittura messa in difficoltà da una simile segnalazione poiché manifesta, con tutta evidenza, la causa di emissione del green pass e lo riconduce al tampone piuttosto che alla vaccinazione.


  1. richiesta preventiva

Arrivando all’azienda e mettendosi nella sua prospettiva, la quotidianità sta evidenziando l'importanza organizzativa della richiesta preventiva, prevista dalla norma, di conoscere la disponibilità del Green Pass dei propri collaboratori.

Purtroppo le richieste hanno assunto toni perentori e sono spesso corredate da paventate fosche conseguenze tutte da capire.

Probabilmente, con toni più pacati e più aderenti a ciò che la norma realmente autorizza, si riuscirebbe ad organizzare e pianificare le attività senza generare tensioni e senza violare norme di legge.

Ciò che può essere richiesto al lavoratore è di valutare e comunicare la previsione della possibilità di non essere in possesso della  certificazione  verde  COVID-19. Si tratta di una formulazione innaturale, goffa e pesante, tuttavia rappresenta il necessario compromesso per poter organizzare le attività senza violare la riservatezza del lavoratore rispetto ad argomenti che lui solo può governare e conoscere.

Non è lecito chiedere lo stato vaccinale, non è lecito chiedere la scadenza del green pass, non è lecito pretendere garanzie nè è pensabile imputare al lavoratore responsabilità se la sua dichiarazione dovesse non coincidere con la situazione di fatto.

Il lavoratore non può promettere all’azienda di non ammalarsi, non può autocertificare che il giorno successivo non avrà la febbre, non può promettere di ricordarsi di stampare il green pass e portarlo al lavoro. Le circostanze che influiscono sul possesso del GP sono troppe e in gran parte non influenzate dalla volontà del lavoratore. Si pensi al furto della borsa e alla indisponibilità del GP e del cellulare sul quale è salvato, si pensi alla farmacia eccezionalmente chiusa per allagamento proprio la mattina in cui è prenotato il tampone, ecc. Sempre ritornando a principi generali di antica memoria, al lavoratore non può essere chiesto nulla di impossibile e la previsione del futuro è decisamente al di là delle possibilità ordinarie. Diverso è chiedere collaborazione, nei modi e con i limiti che la norma ci suggerisce.


  1. controllo massivo

I controlli massivi, previsti dalla norma, che mettono il datore di lavoro in condizione di verificare il possesso del green pass dei collaboratori in autonomia,  semplicemente interrogando i database nazionali (INPS in particolare), implicano l’impossibilità per i lavoratori di “dimenticare” il green pass.

Le proteste in atto in queste ore, evidenziano le conseguenze che questo controllo massivo può comportare:

il lavoratore, in possesso di green pass, che non presenta il documento ritenendo di poter essere qualificato assente ingiustificato e, quindi, non licenziabile, potrebbe accorgersi di essere ritenuto assente ordinario e, quindi, passibile anche di licenziamento per motivi disciplinari. La distinzione tra assenza ingiustificata per mancanza di green pass e assenza per non essersi presentati al lavoro è radicale. Se il lavoratore è, di fatto, in possesso di green pass, il controllo automatizzato operato dall’azienda riconduce necessariamente la sua eventuale assenza in un atto che nulla ha a che vedere con il green pass e che lo espone a conseguenze probabilmente non contemplate e decisamente spiacevoli.


  1. stranieri

i lavoratori stranieri in italia sono fortemente penalizzati e l’applicazione dei controlli sta conducendo a distorsioni.

E’ necessario  distinguere una fase di prima applicazione rispetto al momento in cui la normativa sarà a regime. La norma attualmente richiede, nei fatti, una applicazione basata sul buonsenso e sulla verosimiglianza dei casi concreti piuttosto che sulla rigidità del controllo effettuato da uno strumento tecnico, imperfetto, incompleto, in corso di modifica, che come un semaforo, determina chi può passa e chi deve rimanere fuori dall’azienda. Questo principio è pacificamente ammesso dalla norma stessa con riferimento alla documentazione sanitaria che, nelle mille forme e personalizzazioni tipiche di ogni ente sanitario, è difficilmente riconoscibile, interpretabile dal verificatore e decisamente invisibile alle applicazioni di verifica attualmente disponibili. Tuttavia esiste e non tenerne conto sarebbe una insopportabile discriminazione, lesiva di diritti degni del massimo riguardo. Nelle ultime ore, sono pervenute indicazioni ufficiali in tal senso con riferimento ai trasportatori ed è lecito trasporre queste preziose indicazioni anche ad altri contesti

Consentire l’ingresso in azienda ad un lavoratore straniero, dotato di documenti che possano essere considerati analoghi a quelli che, in Italia, consentono l’emissione di un Green Pass, non solo è possibile, ma è addirittura doveroso. 


  1. differenze di rango

in generale, si osservano soluzioni creative che, nella frenesia collettiva di rispetto dell’obbligo di verifica del Green Pass, ignorano l’esistenza di altre norme, preesistenti e di ben altra natura. Come pacificamente confermato dal legislatore, i controlli sul possesso del green pass non sono una misura sanitaria o di igiene. Non è verosimile evocare responsabilità penali in capo al datore di lavoro che, peraltro, non è chiamato a dare garanzia di efficacia dei controlli. La norma ha natura ordinaria e prevede sanzioni di tipo amministrativo e, nel tentativo di rispettare i suoi dettami,  non è consigliabile rischiare sanzioni penali adottando comportamenti che violino norme di rango superiore o, comunque, dal maggiore impatto complessivo.

Non è pensabile, per esempio, raccogliere anticipatamente i green pass dei lavoratori per agevolare e sveltire i controlli. La conseguente violazione della normativa privacy introduce un rischio gigantesco e mina libertà e diritti di altissimo rango, a fronte del rispetto di una misura decisamente meno nobile.

Non è pensabile creare assembramenti nel tentativo di organizzare ed eseguire i controlli del green pass. 


Si potrebbe continuare con infiniti altri casi pratici. I prossimi giorni dovranno essere utilizzato per condividere situazioni che meritano una gestione attenta, coordinata ed uniforme, per non generare difformità nell'applicazione della norma.





Credit Photo: IL QUINTO ELEMENTO  - Regia di Luc Besson
Scritto da at Nessun commento:

“Non sono stato io” non funziona più. Il colpevole ai tempi del GDPR

“Non sono stato io” non funziona più. Il colpevole ai tempi del GDPR

di Dott. Christian Bernieri - DPO




Dopo ogni attacco informatico, ogni azienda colpita si sente vittima incolpevole, cerca il supporto dei tutori dell’ordine e auspica pene severe per i colpevoli. Il recente caso SIAE non fa eccezione.

Purtroppo molti dei colpevoli non sono noti ma uno è certo e già individuato: l’azienda stessa, certamente danneggiata ma, non per questo, esentata dalle proprie responsabilità. 

Infatti, dopo un data breach, spesso, oltre ai colpevoli, vengono sanzionate anche le imprese colpite.



Ogni volta che si verifica un data breach si leggono dichiarazioni della prima ora che, salvo scivoloni imbarazzanti come il recente caso che ha coinvolto SIAE, paiono comunque mosse da genuino stupore, candida sorpresa e ingenua ricerca di un colpevole. Questo, in modo molto pittoresco, viene subito identificato con una generica figura di hacker o un lavoratore, meglio se in smart working. Agli occhi di un DPO si tratta di folklore che non ha senso commentare. 


Questo atteggiamento, decisamente emotivo, evidenzia l’approccio che i manager, i responsabili della comunicazione e, in ultima analisi, le aziende hanno rispetto ad eventi che riguardino i dati che esse custodiscono.


In caso di data breach, magari conseguente ad un crimine informatico, non c’è un colpevole bensì ce ne sono almeno due: il criminale che è stato capace di rubare i dati e l’azienda che non è stata capace di proteggerli in modo adeguato.

Anche in caso di incidente informatico i colpevoli sono generalmente almeno due: l’azienda danneggiata, che magari ha perso tutti i dati contenuti nei propri server, e il fornitore al quale ci si appoggia che, magari per inadeguatezza, magari a sua volta vittima di una disfunzione di filiera, ha fondato le premesse per la responsabilità del suo cliente, il titolare del trattamento.


La sorprendente rivelazione lascia spesso basiti i vertici aziendali e non contribuisce a mantenere la lucidità necessaria per gestire la crisi, tuttavia è un fatto che, per quanto difficile da accettare, deve essere conosciuto e preventivamente considerato.


L’equivoco probabilmente nasce dall’errata considerazione che i dati appartengano a chi li ha raccolti e li tratta: costui, derubato, violato nei server o ingannato da criminali informatici, si sente depredato di un valore analogo ad un asset o ad un bene faticosamente acquisito. 

Il GDPR ci insegna che i dati personali appartengono unicamente alla persona fisica alla quale si riferiscono e che sono, incidentalmente, in custodia presso enti ed aziende ai fini di uno specifico trattamento. La consegna dei propri dati personali avviene sotto condizione e sulla base di una promessa di adeguata protezione, sia dall’abuso del custode stesso, sia dal furto che altri potrebbero perpetrare.

Non mantenere questa promessa rappresenta la colpa dell’azienda che, certamente, ha subito un attacco ma che, in termini tecnici, non ha saputo garantire un adeguato livello di protezione. L’articolo 24 del GDPR ci svela un mondo nuovo e sorprendente.

La richiesta che il GDPR ci fa non è nuova e non può sorprenderci, almeno non in Italia dove, sin dal 1942, ogni imprenditore è chiamato a garantire condizioni di lavoro e protezione adeguate rispetto ai rischi per la sicurezza del lavoro. Mutatis mutandis, pur con le dovute differenze, sono evidenti le analogie e l’identità di approccio rispetto ad eventi che, tradizionalmente, sono ricondotti alla sorte, al caso, al fato, alla malizia o all’inadeguatezza di un soggetto esterno rispetto all’imprenditore stesso.


Il concetto di adeguatezza si presta a interpretazioni di comodo se non viene parametrato ad un criterio oggettivo e, per comprenderne la portata, occorre fare riferimento al mondo reale:


  • Quali dati personali sono trattati dall’azienda? La natura dei dati sottende il loro valore, sia rispetto agli usi preordinati, sia rispetto agli eventuali usi deteriori e malevoli del titolare del trattamento, dei responsabili del trattamento o di terzi. Alla crescita del valore cresce anche il rischio di attacco.


  • Quali standard di protezione esistono nel panorama a cui abbiamo accesso? Il GDPR non include la lista della spesa: non ci dice cosa dobbiamo fare per essere a norma, demanda al titolare la definizione di ciò che è necessario ed adeguato. Il concetto di adeguatezza tecnologica ed organizzativa si sta delineando giorno dopo giorno, anche grazie ai provvedimenti del Garante che, a volte con ottica preventiva, altre volte intervenendo su singole violazioni, ci indicano la strada per l’esatta applicazione del GDPR.


  • Cosa è capitato nel mondo? Questa domanda è forse la più difficile da affrontare ma è qui che si manifesta tutta la potenza tipica della capacità di adattamento dell’essere umano. Imparare dai propri errori è naturale e necessario e, oggi, è necessario anche imparare dagli errori altrui. L’approccio migliore è imparare anche da ciò che sarebbe potuto essere un errore e che, per fortuna, non ha avuto conseguenze: si parla di Near Miss. Studiare i data breach, gli attacchi informatici, gli incidenti di sicurezza e i mancati incidenti  rappresenta una strategia vincente e ci permette di essere preparati rispetto ad eventi che possono replicarsi ai danni della nostra azienda in qualsiasi momento.


L’adeguatezza del livello di prevenzione e di protezione, sia sotto il profilo tecnico che organizzativo, va ricercato partendo da una approfondita analisi interna, aggiungendo la prospettiva di un attore malevolo e del peggior caso ipotizzabile e, infine, facendo tesoro dell’esperienza di chi ha già affrontato problemi analoghi.


Questa è l’unica strategia che un titolare del trattamento può applicare per meritare la fiducia delle persone che gli affidano i propri dati.


Chi si occupa di sicurezza informatica sa che non esiste un sistema sicuro ma che, al contrario, ogni sistema ha delle vulnerabilità e che queste sono tanto più pericolose quanto più è alto l’interesse di un attaccante a violare il sistema stesso. In pratica, per dati molto appetibili è necessario un livello di protezione elevato poiché è più alto il rischio e la probabilità che siano bersaglio di un attacco. Quanto più è abile l'attaccante, quanto più dev’essere solida e raffinata la protezione e questo fa lievitare velocemente il livello di competenza necessario e naturalmente i costi.

Decidere di rinunciare, di farsi bastare qualcosa di meno o non riuscire a garantire un livello adeguato significa, in ultima analisi, aver accettato uno standard inadeguato, più semplice da ottenere o manutenere ed economicamente più sostenibile.

Ecco l’origine della responsabilità. Ecco svanire la sorpresa per l’azienda naïve vittima di attacco che, in ultima analisi, sa di aver fatto la scelta sbagliata.








Scritto da at Nessun commento:

26 ottobre 2021

GreenPass50+. Un disastro

Verifica Green Pass sul portale INPS:  analisi dei problemi e valutazione di opportunità


di Dott. Christian Bernieri - DPO



Contrariamente a quanto generalmente si pensi, la verifica del Green Pass può essere effettuata con una pluralità di strumenti, alcuni presenti fin dalla prima ora, altri introdotti in occasione delle successive modifiche normative. 

La scelta su come effettuare le verifiche obbligatorie può comportare difficoltà e responsabilità poco visibili che devono essere portate all’attenzione dell’impresa.



PREMESSA


Ecco una sintetica panoramica delle modalità attualmente disponibili:


-    Verifica tramite smartphone con l’APP Verifica 19 

Prevede che il possessore di Green Pass mostri il proprio QR Code al verificatore che procede al controllo senza alcun contatto, senza poter fare copie e salvare il QR code. Questa modalità è considerata sicura poiché il Qr code è disponibile al verificatore solo in visione e per i pochi secondi quindi è estremamente difficile fare copie o creare archivi. 


-    Verifica tramite piattaforma NoiPa

Disponibile solo per gli enti pubblici censiti. Permette, tramite un’interfaccia centralizzata, di verificare con un’unica operazione tutti i lavoratori associati all’ente o all’unità organizzativa di riferimento. Non prevede la verifica dei green pass bensì l’interrogazione di un database e la visione sinottica dei risultati. Questi non possono essere salvati direttamente ma, un utente malintenzionato,  può agevolmente prenderne nota e storicizzarli.


-    Verifica tramite interrogazione diretta della Piattaforma nazionale-DGC

Disponibile per gli enti pubblici con più di 1000 lavoratori. Presenta le stesse modalità operative del portale NoiPa


-    Verifica tramite software e sistemi basati su SDK (Software Development Kit):

ad oggi disponibili in forma piuttosto rozza, limitati ad alcune piattaforme, sono generalmente utilizzate dai produttori di totem e postazioni per automatizzare i controlli ai varchi e ai tornelli. L’interazione varia molto e, generalmente, è data dal produttore la possibilità di registrare direttamente i risultati delle verifiche. Questa pratica è illecita ma pare essere una feature molto gradita da sprovvedute e mal consigliate aziende.


-    Infine, per le aziende pubbliche e private con più di 50 dipendenti è stata prevista la verifica tramite i servizi online del portale INPS: “GreenPass50+”. Questa è la vera novità sulla quale desidero soffermarmi. 



Perché è così importante che sia difficile creare l’archivio dei risultati e fare copie dei QR Code? Perché il Green Pass (o meglio, il QR Code) è nato per rendere non visibile la causa della sua emissione. Questa potrebbe essere la prima dose di vaccino, la seconda dose di vaccino, la guarigione da Covid-19, il tampone antigenico, il tampone molecolare. In ultimo è emersa la necessità di avere un analogo QR code anche per i soggetti esenti, che non possono sottoporsi a vaccinazione e che, tuttavia, devono poter accedere alle attività ove è necessario esibire il QR Code senza discriminazioni. Quest’ultimo QR Code per soggetti esenti è attualmente in via di definizione. 

Riuscire a collezionare i green pass, i QR CODE o anche solo l’esito delle verifiche, permette senza sforzo di rilevare, senza margine di errore, lo stato vaccinale del lavoratore e l’origine del Green Pass.




L’ANALISI


L’analisi che segue vuole essere un concreto supporto per i titolari del trattamento, le imprese, che si trovano a dover scegliere ed adottare la migliore modalità di verifica tra tutte quelle possibili e disponibili. La scelta viene generalmente orientata ad un risparmio di tempo, tuttavia, conduce a difficoltà non previste e ad un aggravio di responsabilità per errori o comportamenti illeciti dei verificatori.

Ogni imprenditore deve poter considerare, oltre ai costi diretti, anche i rischi connessi con la soluzione prescelta.


La prospettiva che mi compete, come DPO, è quella della protezione dei dati e la modalità di analisi attuata deriva da quella utilizzata per elaborare le DPIA (Data Protection Impact Analysis), ossia una valutazione dell’impatto che una determinata scelta, ed il trattamento conseguente, possono comportare. Il bilanciamento tra i pro e i contro, tra i contrapposti interessi, dovrà basarsi su tutti gli elementi. Le conclusioni competono ad ogni titolare, chiamato a sopportare le eventuali conseguenze ma giova ricordare che l'obiettivo dovrà essere il contemperamento degli interessi, non la prevaricazione di uno sull’altro. Chiaramente, tanto più gli elementi considerati sono oggettivi e fattuali, quanto più le conclusioni assumono una valenza necessaria e condivisibile,  allontanandosi dall’arbitro e dalla personalissima prospettiva di un portatore di interesse. 









La meccanica del sistema GreenPass50+ è illustrata dall’INPS in dettaglio nelle recenti circolari e sul sito dedicato: https://www.inps.it/prestazioni-servizi/verifica-del-green-pass-per-laccesso-ai-luoghi-di-lavoro 


Come per gli altri portali disponibili, la verifica non è effettuata attraverso il QR Code del green pass bensì è elaborata sulla base della interrogazione di un database centralizzato e curato dall’INPS.



Alcuni elementi suscitano preoccupazione:


  • ogni 24 ore (20 in realtà) l’intero database viene cancellato e sostituito da un nuovo dataset aggiornato. 


  • il sistema effettua questo aggiornamento tra le 20 e le 24 di ogni giorno, interrogando la piattaforma nazionale-DGC ed estrapolando i dati necessari. Questo genera uno sfasamento tra i dati reali ed i dati presenti nel database che descriverò più oltre in modo dettagliato.


  • durante le 4 ore dell’aggiornamento, il servizio non è disponibile e non è accessibile, quindi non sono possibili verifiche fino al termine delle attività di manutenzione/aggiornamento. Eventuali turni di lavoro che dovessero iniziare tra le 20 e le 24 non possono essere gestiti con le verifiche tramite GreenPass50+. Considerando il settore della ristorazione e molti comparti industriali, questa limitazione è rilevante. 


  • gli unici dati acquisiti sono quelli dei lavoratori associati alle aziende che hanno chiesto l’attivazione del servizio. Il database INPS sarà quindi aggiornato solo in parte, con i dati relativi ai green pass del personale che si intende preliminarmente sottoporre a verifica massiva tramite il portale. Non sono sincronizzati dati dei lavoratori per i quali le aziende hanno optato per uno strumento di verifica differente.


  • il campione di lavoratori da verificare non è limitato se non da una regola generale, un divieto e una procedura organizzativa interna demandata alla singola impresa utilizzatrice. In pratica, l’addetto alle verifiche può controllare ogni lavoratore associato all’impresa, solo lui può autolimitarsi selezionando i lavoratori effettivamente presenti e non esistono (attualmente) strumenti tecnici o blocchi che impediscano errori o abusi. Non è prevista nemmeno la storicizzazione delle interrogazioni che, in caso di necessità, potrebbero permettere di rilevare utilizzi scorretti ed abusi. La distrazione, la sciatteria, la pruderia della curiosità e la malizia dei controlli pilotati rischiano di diventare frequenti, se non prevalenti, rispetto agli usi corretti e razionali del sistema.




AGGIORNAMENTO DATI


Sempre in tema di aggiornamento dei dati, un aspetto ancora poco esplorato, ma dalla massima rilevanza, riguarda i dati che l’INPS utilizza per associare le aziende ai lavoratori. Il criterio dichiarato si basa sulle comunicazioni UNIEMENS. Senza entrare in tecnicismi tipici del diritto del lavoro, riporto alcune circostanze fattuali che determinano pesanti problemi applicativi:


  • i flussi UNIEMENS sono inviati con un certo ritardo, attorno alla metà del mese successivo a quello di riferimento.

  • il ritardato invio non è sanzionato, pertanto molte aziende accumulano ritardi pari ad oltre due mesi


Questi elementi, da soli, determinano due fatti gravi:

  1. i neoassunti potrebbero non comparire e non essere presenti per tre mesi dopo l’assunzione

  2. i lavoratori cessati, continueranno ad essere visibili e a poter essere verificati anche fino a tre mesi dopo la cessazione.



Altre caratteristiche del flusso UNIEMENS portano ad altre violazioni del GDPR, del principio di esattezza e di minimizzazione del dato:

può capitare che vengano elaborati cedolini a distanza di mesi, anche anni dalla cessazione, per conguagli, per la maturazione di premi, per corrispondere arretrati in forza di sentenza o di conciliazione, ricalcolo competenze ecc.

Significa che un verificatore potrebbe controllare il green pass ad un ex collega, che ha lasciato l'azienda da mesi, forse anni, senza che questi lo sappia, senza che ve ne sia obbligo o utilità e, in ultima analisi, in modo completamente illegittimo.



L’ultimo aspetto peculiare degli UNIEMENS riguarda i lavoratori in aspettativa. Chi ricopre cariche elettive, per esempio, continua a comparire nei flussi, anche se non opera per l’azienda. Significa che il green pass dei lavoratori in aspettativa, occupati a fare altro, magari politicamente esposti, potrà essere verificato dall’azienda presso la quale lavoravano e dove risultano ancora assunti, ancorché in aspettativa. Personalmente intravedo un rischio tanto più elevato quanto più ampia sia la visibilità a livello nazionale della carica elettiva del lavoratore.




ERRORI


Come anticipato, l'aggiornamento dei dati con cadenza quotidiana, ogni 24 ore, dà luogo a distorsioni inaccettabili.


Prendendo come ipotesi un lavoratore che effettua il tampone rapido antigenico al mattino presto, ciò che accade è inevitabilmente questo:


1° giorno:

dal momento dell’effettuazione del tampone alla mezzanotte, il sistema restituirà esito NEGATIVO e non vedrà il dato aggiornato. Il lavoratore potrà dimostrare di possedere il Green Pass unicamente mostrando i documenti in suo possesso, rilasciati nel momento dell’esecuzione del tampone. La prima giornata, in pratica, dà luogo solo a FALSI NEGATIVI.


2° giorno:

regolare, le verifiche sono coerenti con la realtà.


3° giorno:

le 48 ore di validità scadono all’ora di rilascio del Green Pass e sino a quell’ora il sistema da esito corretto. Tuttavia, il sistema continua a dare esito POSITIVO di green pass valido anche per tutto il resto della giornata, anche se il green pass è scaduto. L’ultima giornata, in pratica, dà luogo a FALSI POSITIVI.


L’infografica illustra questa situazione in modo visuale.




La norma e le linee guida non chiariscono come risolvere situazioni di conflitto dovute all’incoerenza dei dati. Il buon senso potrebbe essere d’aiuto, sfortunatamente questo non è né uniformemente distribuito né ne è garantita la presenza. 


Nessun criterio di prevalenza è definito pertanto potrebbe essere lecito adottare qualsiasi criterio in modo arbitrario:


criterio formale - l’azienda che decide di effettuare i controlli unicamente con GreenPass50+ dovrà accettare l’impossibilità di verifica dalle 20 alle 24 e dovrà ritenere veritieri unicamente i responsi del sistema, con risultati molto deludenti e notevoli difficoltà


criterio sostanziale - l’azienda consapevole degli errori di GreenPass50+ dovrà dubitare tanto dei risultati positivi quanto di quelli negativi, effettuando un secondo controllo per verificare di non trovarsi nelle situazioni di falso positivo e falso negativo sopra illustrate. In questo caso, il sistema INPS diviene inutile, se non dannoso. 


criterio di buonafede - l’azienda che, in buona fede, accetta il dato più favorevole, si troverebbe ad accettare la verifica con VerificaC19 nella prima giornata, proseguire indifferentemente con qualsiasi sistema durante la seconda giornata e privilegiare GreenPass50+ per la terza giornata, dando quindi la possibilità ai lavoratori di poter contare su una finestra di validità del green pass da tampone antigenico pari a 72 ore, anzichè 48 ore.


citerio caotico - l’azienda alla quale venisse fatta rilevare la frequente incoerenza tra portale INPS e documentazione cartacea potrebbe non riuscire ad identificare correttamente l’origine del problema e ritenere affidabili le fonti, rinunciando alla verifica.


Dato che, in caso di inattesa verifica NEGATIVA, sono ipotizzabili conseguenze rilevanti ai danni del lavoratore, ma anche ai danni dell’impresa in caso di controlli da parte di appaltatori esterni, definire il criterio di prevalenza è essenziale.


In realtà, piuttosto che arrabattarsi per interpretare i dati, meglio sarebbe poter contare su risultati affidabili e coerenti tra i differenti sistemi di verifica, ma pare che questo aspetto non sia una priorità del legislatore.


In termini tecnici, per un DPO, questo profilo ha un rilievo decisamente rilevante poichè ci si trova in aperto contrasto con l’art 5 (comma 1 lett D) del GDPR che impone all’azienda di trattare dati ESATTI ed AGGIORNATI. Sapendo già in partenza che il sistema GreenPass50+ restituisce dati errati almeno una volta su due, occorre abbandonare l’idea di basare le verifiche sui risultati forniti dal portale INPS.




BILANCIAMENTO


Sempre con riferimento al sistema di verifica GreenPass50+, nell’opera di valutazione e bilanciamento degli interessi, occorre mettersi nella prospettiva del soggetto interessato e valutare ogni possibile scenario, con particolare attenzione alle situazioni limite.


PRO per l’IMPRESA

  • il sistema potrebbe essere decisamente comodo, permettendo un risparmio di tempo e risorse, permettendo la nomina di un solo addetto alle verifiche

  • verrebbe risolto il problema delle verifiche del personale viaggiante e che accede ai luoghi di lavoro presso terzi senza transitare prima per la sede del propri odatore di lavoro

  • qualora un cliente lamentasse il fatto di aver inviato un lavoratore privo di green pass, diventa possibile effettuare una verifica da remoto e, con esito positivo, contestare il comportamento del cliente, chiedere di garantire l’accesso al lavoratore e, in ultima analisi, evitare le penali per il mancato servizio

  • … a volontà del lettore


PRO per il LAVORATORE

  • il lavoratore smette di doversi preoccupare del green pass cartaceo, non deve più portarlo con se

  • si riducono i tempi per le verifiche (che non sono tempo tuta e quindi non sono retribuite)

  • si riducono le code e gli assembramenti per le verifiche e , con essi, il rischio contagio

  • … a volontà del lettore


CONTRO per l’IMPRESA

  • è necessaria una verifica delle timbrature prima di effettuare l’interrogazione del sistema, pertanto la verifica non sarà mai perimetrale ma solo ad attività lavorativa già iniziata. Le conseguenze sanzionatorie sono molto differenti e non è più possibile applicare il criterio di maggior favore dato dal respingimento all'ingresso

  • i dati non fortemente inaffidabili, questo è già noto in partenza

  • … a volontà del lettore


CONTRO per il LAVORATORE

  • viene limitato il diritto di non mostrare il green pass, quale che ne sia la ragione

  • il lavoratore può essere oggetto di discriminazioni a causa della presenza/assenza/non assenza/non presenza di green pass, rispetto al gruppo sociale di riferimento. La discriminazione può essere sia verso l’azienda (verticale) che perso i colleghi (orizzontale) e seconda del contesto e delle dinamiche tipiche del suo ecosistema lavorativo

  • i dati delle verifiche possono, a sua insaputa e senza possibilità di controllo, essere trattenuti dal verificatore e può diventare palese all’azienda e ai colleghi la ragione di emissione del green pass

  • viene limitata la possibilità di opporsi al trattamento

  • viene limitato il diritto di non essere sottoposto ad un trattamento automatizzato

  • il lavoratore non ha più notizia di quando (nella giornata ed in quali giorni) e come viene effettuato il controllo, non ha strumenti per verificare e per contrastare eventuali abusi

  • le conseguenze sanzionatorie sono molto più gravi per un controllo durante il lavoro, rispetto al controllo perimetrale

  • il lavoratore, più probabilmente, si troverà in situazione di verifica positiva rispetto alla propria azienda e di verifica negativa per gli eventuali terzi verificatori, dovendo gestire situazioni di conflitto frequenti

  • … a volontà del lettore



IL RISCHIO DI ABUSI

L’uso della piattaforma INPS GreenPass50+ comporta dei rischi che diventano evidenti se ci si pone in una prospettiva deteriore e maliziosa.


L’abuso ipotizzabile da parte di un lavoratore potrebbe riguardare la dilatazione o la contrazione del tempo di validità del green pass.

Un lavoratore potrebbe sottolineare l’incoerenza dei dati per astenersi dal lavoro nella prima e nella terza giornata, nonostante disponga di un green pass valido.

In modo simmetrico ma opposto, un lavoratore potrebbe valorizzare i falsi positivi e minimizzare i falsi negativi per allungare, di fatto, la copertura del suo green pass ben oltre le 48 ore previste dalla legge.


Pensando ai possibili abusi da parte di un'impresa, la lista diventa molto più lunga e la realtà supera la fantasia.

Il log dei meri accessi rende non punibili le consultazioni eccedenti quelle necessarie, che poi sono le uniche lecite.

Diventa possibile sottoporre a verifica un lavoratore o uno specifico gruppo, in modo ossessivo e continuo, anche in assenza di timbrature e senza connessione con la presenza in azienda.

Corre l’obbligo di ricordare che le verifiche sono rigidamente regolate. Sono obbligatorie e non possono eccedere i limiti di tale obbligo. Non c’è margine discrezionale rispetto ai criteri che definiscono i lavoratori da sottoporre all’obbligo. Per questa ragione, non è lecito controllare un lavoratore in smart working o in ferie.


Il rischio maggiore rimane il fatto che, con estrema semplicità ed in modo invisibile a chiunque, un verificatore potrebbe storicizzare le verifiche dei lavoratori e, trovandone alcuni con green pass scaduto, potrebbe annotare lo stato di NON VACCINATI. Infatti il green pass dei vaccinati, scadendo dopo 12 mesi, non può dar luogo a verifiche negative, come invece può capitare ai possessori di green pass da tampone. 

A prescindere dalla possibilità di un lavoratore di non palesare questo dato, l’azienda potrebbe rilevarlo autonomamente ed in modo occulto. 


Sul punto rilevo un dettaglio determinante: la verifica manuale implica che il lavoratore sappia quando viene sottoposto a controllo. È noto il giorno, l’ora esatta e il luogo poiché la verifica richiede la collaborazione attiva del lavoratore nell’ostensione del QR code. 


La verifica massiva tramite portale INPS è invisibile al lavoratore e, oltre a non permettere un'adeguata documentazione delle interrogazioni, rende il processo completamente opaco.

Il GDPR chiede l’esatto contrario: la trasparenza e la responsabilizzazione.


Infine, tra i rischi, va evidenziato il fatto che una contestazione per green pass scaduto potrebbe giungere in modo non tempestivo e immediato, rendendo difficile, se non impossibile, per il lavoratore giustificare la propria posizione e documentare la reale situazione. 



CASISTICA


Ecco i 4 mostri che il sistema GreenPass50+ dell’INPS  può generare:


Caso pratico n.1

Lavoratore malizioso

  • il lavoratore fa il tampone la mattina presto. L’ingresso in azienda non può essere impedito perché esiste la documentazione cartacea.

  • Secondo giorno senza problemi entra al lavoro

  • Il terzo giorno il lavoratore può sostenere di aver dimenticato il documento e, contando sulla verifica dal portale inps, potrà accedere al lavoro, pur sprovvisto di green pass valido.

  • La durata del tampone diventa quindi pari a 72 ore


Caso pratico n.2

Lavoratore sfortunato

  • Il lavoratore fa un tampone alla mattina presta ma non conserva i documenti contando sul fatto che tutto risulti elettronicamente.

  • in azienda gli viene negato l’accesso poiché la verifica sul portale INPS da esito negativo: i dati non si sono ancora aggiornati.

  • secondo giorno senza problemi

  • Terzo giorno, il lavoratore distratto si presenta al lavoro, viene fatto entrare perchè la verifica online da esito positivo

  • successivamente viene verificato da un cliente che evidenzia con l’app VerificaC19 il green pass scaduto. A quel punto, l’azienda contesta il mancato possesso dell’ green pass e agisce disciplinarmente per il danno patito.


Caso pratico n.3

Azienda maliziosa

  • il verificatore accede al sistema e lo interroga ogni 2 ore con riferimento a tutti i lavoratori.

  • Appena ne verifica uno scaduto, anche durante la giornata, dichiara di aver fatto la verifica a campione e contesta al lavoratore la presenza sul lavoro, allontanandolo e sanzionandolo.


Caso pratico n4

Azienda sfortunata

  • L’azienda verifica i propri lavoratori e risultano tutti POSITIVI

  • vengono inviate le squadre al lavoro presso clienti che però verificano nuovamente i lavoratori.

  • Trattandosi, per molti di loro, del terzo giorno, la verifica con GreenPass50+ era un falso positivo mentre presso i clienti, dovendo utilizzare VerificaC19, l'esito è immancabilmente NEGATIVO

  • A quel punto l’azienda patisce i danni per il disservizio verso i clienti.



CONCLUSIONI


Allo stato attuale, il sistema GreenPass50+ non pare rispondere ai basilari principi di esattezza del dato richiamati dal GDPR, l’uso comprime diritti incomprimibili e, pertanto, non può essere utilizzato in azienda in modo lecito.

I rischi sottesi all’utilizzo del sistema non sono facilmente bilanciabili con i benefici poichè, nei casi deteriori, i possibili danni per i lavoratori sono gravi e irrimediabili.

Anche ammettendo la liceità dell’uso, dovrebbe essere applicato l’articolo 22 del GDPR (Processo decisionale automatizzato relativo alle persone fisiche) che prevede misure di protezione rafforzate. Queste, allo stato attuale, non paiono applicabili per assenza di log, assenza di metodologie (se non organizzative) che limitino gli errori e gli usi deteriori.

Infine, l’informativa standard, che le aziende possono aver reso ai propri lavoratori, necessita certamente di una cospicua integrazione, anche ai sensi dell’art.14 rispetto, ai dati raccolti presso terzi e ai trattamenti sopra descritti. L’informativa deve essere intelligibile, trasparente e completa e, in presenza di un tale velo di opacità sull’intero sistema, pare oltremodo complesso poter adempiere a questo specifico compito.



Scritto da at 3 commenti:
Iscriviti a: Post (Atom)