GreenPass50+. Un disastro

Verifica Green Pass sul portale INPS:  analisi dei problemi e valutazione di opportunità

di Dott. Christian Bernieri - DPO

Contrariamente a quanto generalmente si pensi, la verifica del Green Pass può essere effettuata con una pluralità di strumenti, alcuni presenti fin dalla prima ora, altri introdotti in occasione delle successive modifiche normative. 

La scelta su come effettuare le verifiche obbligatorie può comportare difficoltà e responsabilità poco visibili che devono essere portate all’attenzione dell’impresa.

PREMESSA

Ecco una sintetica panoramica delle modalità attualmente disponibili:

-    Verifica tramite smartphone con l’APP Verifica 19 

Prevede che il possessore di Green Pass mostri il proprio QR Code al verificatore che procede al controllo senza alcun contatto, senza poter fare copie e salvare il QR code. Questa modalità è considerata sicura poiché il Qr code è disponibile al verificatore solo in visione e per i pochi secondi quindi è estremamente difficile fare copie o creare archivi. 

-    Verifica tramite piattaforma NoiPa

Disponibile solo per gli enti pubblici censiti. Permette, tramite un’interfaccia centralizzata, di verificare con un’unica operazione tutti i lavoratori associati all’ente o all’unità organizzativa di riferimento. Non prevede la verifica dei green pass bensì l’interrogazione di un database e la visione sinottica dei risultati. Questi non possono essere salvati direttamente ma, un utente malintenzionato,  può agevolmente prenderne nota e storicizzarli.

-    Verifica tramite interrogazione diretta della Piattaforma nazionale-DGC

Disponibile per gli enti pubblici con più di 1000 lavoratori. Presenta le stesse modalità operative del portale NoiPa

-    Verifica tramite software e sistemi basati su SDK (Software Development Kit):

ad oggi disponibili in forma piuttosto rozza, limitati ad alcune piattaforme, sono generalmente utilizzate dai produttori di totem e postazioni per automatizzare i controlli ai varchi e ai tornelli. L’interazione varia molto e, generalmente, è data dal produttore la possibilità di registrare direttamente i risultati delle verifiche. Questa pratica è illecita ma pare essere una feature molto gradita da sprovvedute e mal consigliate aziende.

-    Infine, per le aziende pubbliche e private con più di 50 dipendenti è stata prevista la verifica tramite i servizi online del portale INPS: “GreenPass50+”. Questa è la vera novità sulla quale desidero soffermarmi. 

Perché è così importante che sia difficile creare l’archivio dei risultati e fare copie dei QR Code? Perché il Green Pass (o meglio, il QR Code) è nato per rendere non visibile la causa della sua emissione. Questa potrebbe essere la prima dose di vaccino, la seconda dose di vaccino, la guarigione da Covid-19, il tampone antigenico, il tampone molecolare. In ultimo è emersa la necessità di avere un analogo QR code anche per i soggetti esenti, che non possono sottoporsi a vaccinazione e che, tuttavia, devono poter accedere alle attività ove è necessario esibire il QR Code senza discriminazioni. Quest’ultimo QR Code per soggetti esenti è attualmente in via di definizione. 

Riuscire a collezionare i green pass, i QR CODE o anche solo l’esito delle verifiche, permette senza sforzo di rilevare, senza margine di errore, lo stato vaccinale del lavoratore e l’origine del Green Pass.

L’ANALISI

L’analisi che segue vuole essere un concreto supporto per i titolari del trattamento, le imprese, che si trovano a dover scegliere ed adottare la migliore modalità di verifica tra tutte quelle possibili e disponibili. La scelta viene generalmente orientata ad un risparmio di tempo, tuttavia, conduce a difficoltà non previste e ad un aggravio di responsabilità per errori o comportamenti illeciti dei verificatori.

Ogni imprenditore deve poter considerare, oltre ai costi diretti, anche i rischi connessi con la soluzione prescelta.

La prospettiva che mi compete, come DPO, è quella della protezione dei dati e la modalità di analisi attuata deriva da quella utilizzata per elaborare le DPIA (Data Protection Impact Analysis), ossia una valutazione dell’impatto che una determinata scelta, ed il trattamento conseguente, possono comportare. Il bilanciamento tra i pro e i contro, tra i contrapposti interessi, dovrà basarsi su tutti gli elementi. Le conclusioni competono ad ogni titolare, chiamato a sopportare le eventuali conseguenze ma giova ricordare che l'obiettivo dovrà essere il contemperamento degli interessi, non la prevaricazione di uno sull’altro. Chiaramente, tanto più gli elementi considerati sono oggettivi e fattuali, quanto più le conclusioni assumono una valenza necessaria e condivisibile,  allontanandosi dall’arbitro e dalla personalissima prospettiva di un portatore di interesse. 

La meccanica del sistema GreenPass50+ è illustrata dall’INPS in dettaglio nelle recenti circolari e sul sito dedicato: https://www.inps.it/prestazioni-servizi/verifica-del-green-pass-per-laccesso-ai-luoghi-di-lavoro 

Come per gli altri portali disponibili, la verifica non è effettuata attraverso il QR Code del green pass bensì è elaborata sulla base della interrogazione di un database centralizzato e curato dall’INPS.

Alcuni elementi suscitano preoccupazione:

• ogni 24 ore (20 in realtà) l’intero database viene cancellato e sostituito da un nuovo dataset aggiornato. 

• il sistema effettua questo aggiornamento tra le 20 e le 24 di ogni giorno, interrogando la piattaforma nazionale-DGC ed estrapolando i dati necessari. Questo genera uno sfasamento tra i dati reali ed i dati presenti nel database che descriverò più oltre in modo dettagliato.

• durante le 4 ore dell’aggiornamento, il servizio non è disponibile e non è accessibile, quindi non sono possibili verifiche fino al termine delle attività di manutenzione/aggiornamento. Eventuali turni di lavoro che dovessero iniziare tra le 20 e le 24 non possono essere gestiti con le verifiche tramite GreenPass50+. Considerando il settore della ristorazione e molti comparti industriali, questa limitazione è rilevante. 

• gli unici dati acquisiti sono quelli dei lavoratori associati alle aziende che hanno chiesto l’attivazione del servizio. Il database INPS sarà quindi aggiornato solo in parte, con i dati relativi ai green pass del personale che si intende preliminarmente sottoporre a verifica massiva tramite il portale. Non sono sincronizzati dati dei lavoratori per i quali le aziende hanno optato per uno strumento di verifica differente.

• il campione di lavoratori da verificare non è limitato se non da una regola generale, un divieto e una procedura organizzativa interna demandata alla singola impresa utilizzatrice. In pratica, l’addetto alle verifiche può controllare ogni lavoratore associato all’impresa, solo lui può autolimitarsi selezionando i lavoratori effettivamente presenti e non esistono (attualmente) strumenti tecnici o blocchi che impediscano errori o abusi. Non è prevista nemmeno la storicizzazione delle interrogazioni che, in caso di necessità, potrebbero permettere di rilevare utilizzi scorretti ed abusi. La distrazione, la sciatteria, la pruderia della curiosità e la malizia dei controlli pilotati rischiano di diventare frequenti, se non prevalenti, rispetto agli usi corretti e razionali del sistema.

AGGIORNAMENTO DATI

Sempre in tema di aggiornamento dei dati, un aspetto ancora poco esplorato, ma dalla massima rilevanza, riguarda i dati che l’INPS utilizza per associare le aziende ai lavoratori. Il criterio dichiarato si basa sulle comunicazioni UNIEMENS. Senza entrare in tecnicismi tipici del diritto del lavoro, riporto alcune circostanze fattuali che determinano pesanti problemi applicativi:

• i flussi UNIEMENS sono inviati con un certo ritardo, attorno alla metà del mese successivo a quello di riferimento.

• il ritardato invio non è sanzionato, pertanto molte aziende accumulano ritardi pari ad oltre due mesi

Questi elementi, da soli, determinano due fatti gravi:

1. i neoassunti potrebbero non comparire e non essere presenti per tre mesi dopo l’assunzione

2. i lavoratori cessati, continueranno ad essere visibili e a poter essere verificati anche fino a tre mesi dopo la cessazione.

Altre caratteristiche del flusso UNIEMENS portano ad altre violazioni del GDPR, del principio di esattezza e di minimizzazione del dato:

può capitare che vengano elaborati cedolini a distanza di mesi, anche anni dalla cessazione, per conguagli, per la maturazione di premi, per corrispondere arretrati in forza di sentenza o di conciliazione, ricalcolo competenze ecc.

Significa che un verificatore potrebbe controllare il green pass ad un ex collega, che ha lasciato l'azienda da mesi, forse anni, senza che questi lo sappia, senza che ve ne sia obbligo o utilità e, in ultima analisi, in modo completamente illegittimo.

L’ultimo aspetto peculiare degli UNIEMENS riguarda i lavoratori in aspettativa. Chi ricopre cariche elettive, per esempio, continua a comparire nei flussi, anche se non opera per l’azienda. Significa che il green pass dei lavoratori in aspettativa, occupati a fare altro, magari politicamente esposti, potrà essere verificato dall’azienda presso la quale lavoravano e dove risultano ancora assunti, ancorché in aspettativa. Personalmente intravedo un rischio tanto più elevato quanto più ampia sia la visibilità a livello nazionale della carica elettiva del lavoratore.

ERRORI

Come anticipato, l'aggiornamento dei dati con cadenza quotidiana, ogni 24 ore, dà luogo a distorsioni inaccettabili.

Prendendo come ipotesi un lavoratore che effettua il tampone rapido antigenico al mattino presto, ciò che accade è inevitabilmente questo:

1° giorno:

dal momento dell’effettuazione del tampone alla mezzanotte, il sistema restituirà esito NEGATIVO e non vedrà il dato aggiornato. Il lavoratore potrà dimostrare di possedere il Green Pass unicamente mostrando i documenti in suo possesso, rilasciati nel momento dell’esecuzione del tampone. La prima giornata, in pratica, dà luogo solo a FALSI NEGATIVI.

2° giorno:

regolare, le verifiche sono coerenti con la realtà.

3° giorno:

le 48 ore di validità scadono all’ora di rilascio del Green Pass e sino a quell’ora il sistema da esito corretto. Tuttavia, il sistema continua a dare esito POSITIVO di green pass valido anche per tutto il resto della giornata, anche se il green pass è scaduto. L’ultima giornata, in pratica, dà luogo a FALSI POSITIVI.

L’infografica illustra questa situazione in modo visuale.

La norma e le linee guida non chiariscono come risolvere situazioni di conflitto dovute all’incoerenza dei dati. Il buon senso potrebbe essere d’aiuto, sfortunatamente questo non è né uniformemente distribuito né ne è garantita la presenza. 

Nessun criterio di prevalenza è definito pertanto potrebbe essere lecito adottare qualsiasi criterio in modo arbitrario:

criterio formale - l’azienda che decide di effettuare i controlli unicamente con GreenPass50+ dovrà accettare l’impossibilità di verifica dalle 20 alle 24 e dovrà ritenere veritieri unicamente i responsi del sistema, con risultati molto deludenti e notevoli difficoltà

criterio sostanziale - l’azienda consapevole degli errori di GreenPass50+ dovrà dubitare tanto dei risultati positivi quanto di quelli negativi, effettuando un secondo controllo per verificare di non trovarsi nelle situazioni di falso positivo e falso negativo sopra illustrate. In questo caso, il sistema INPS diviene inutile, se non dannoso. 

criterio di buonafede - l’azienda che, in buona fede, accetta il dato più favorevole, si troverebbe ad accettare la verifica con VerificaC19 nella prima giornata, proseguire indifferentemente con qualsiasi sistema durante la seconda giornata e privilegiare GreenPass50+ per la terza giornata, dando quindi la possibilità ai lavoratori di poter contare su una finestra di validità del green pass da tampone antigenico pari a 72 ore, anzichè 48 ore.

citerio caotico - l’azienda alla quale venisse fatta rilevare la frequente incoerenza tra portale INPS e documentazione cartacea potrebbe non riuscire ad identificare correttamente l’origine del problema e ritenere affidabili le fonti, rinunciando alla verifica.

Dato che, in caso di inattesa verifica NEGATIVA, sono ipotizzabili conseguenze rilevanti ai danni del lavoratore, ma anche ai danni dell’impresa in caso di controlli da parte di appaltatori esterni, definire il criterio di prevalenza è essenziale.

In realtà, piuttosto che arrabattarsi per interpretare i dati, meglio sarebbe poter contare su risultati affidabili e coerenti tra i differenti sistemi di verifica, ma pare che questo aspetto non sia una priorità del legislatore.

In termini tecnici, per un DPO, questo profilo ha un rilievo decisamente rilevante poichè ci si trova in aperto contrasto con l’art 5 (comma 1 lett D) del GDPR che impone all’azienda di trattare dati ESATTI ed AGGIORNATI. Sapendo già in partenza che il sistema GreenPass50+ restituisce dati errati almeno una volta su due, occorre abbandonare l’idea di basare le verifiche sui risultati forniti dal portale INPS.

BILANCIAMENTO

Sempre con riferimento al sistema di verifica GreenPass50+, nell’opera di valutazione e bilanciamento degli interessi, occorre mettersi nella prospettiva del soggetto interessato e valutare ogni possibile scenario, con particolare attenzione alle situazioni limite.

PRO per l’IMPRESA

• il sistema potrebbe essere decisamente comodo, permettendo un risparmio di tempo e risorse, permettendo la nomina di un solo addetto alle verifiche

• verrebbe risolto il problema delle verifiche del personale viaggiante e che accede ai luoghi di lavoro presso terzi senza transitare prima per la sede del propri odatore di lavoro

• qualora un cliente lamentasse il fatto di aver inviato un lavoratore privo di green pass, diventa possibile effettuare una verifica da remoto e, con esito positivo, contestare il comportamento del cliente, chiedere di garantire l’accesso al lavoratore e, in ultima analisi, evitare le penali per il mancato servizio

• … a volontà del lettore

PRO per il LAVORATORE

• il lavoratore smette di doversi preoccupare del green pass cartaceo, non deve più portarlo con se

• si riducono i tempi per le verifiche (che non sono tempo tuta e quindi non sono retribuite)

• si riducono le code e gli assembramenti per le verifiche e , con essi, il rischio contagio

• … a volontà del lettore

CONTRO per l’IMPRESA

• è necessaria una verifica delle timbrature prima di effettuare l’interrogazione del sistema, pertanto la verifica non sarà mai perimetrale ma solo ad attività lavorativa già iniziata. Le conseguenze sanzionatorie sono molto differenti e non è più possibile applicare il criterio di maggior favore dato dal respingimento all'ingresso

• i dati non fortemente inaffidabili, questo è già noto in partenza

• … a volontà del lettore

CONTRO per il LAVORATORE

• viene limitato il diritto di non mostrare il green pass, quale che ne sia la ragione

• il lavoratore può essere oggetto di discriminazioni a causa della presenza/assenza/non assenza/non presenza di green pass, rispetto al gruppo sociale di riferimento. La discriminazione può essere sia verso l’azienda (verticale) che perso i colleghi (orizzontale) e seconda del contesto e delle dinamiche tipiche del suo ecosistema lavorativo

• i dati delle verifiche possono, a sua insaputa e senza possibilità di controllo, essere trattenuti dal verificatore e può diventare palese all’azienda e ai colleghi la ragione di emissione del green pass

• viene limitata la possibilità di opporsi al trattamento

• viene limitato il diritto di non essere sottoposto ad un trattamento automatizzato

• il lavoratore non ha più notizia di quando (nella giornata ed in quali giorni) e come viene effettuato il controllo, non ha strumenti per verificare e per contrastare eventuali abusi

• le conseguenze sanzionatorie sono molto più gravi per un controllo durante il lavoro, rispetto al controllo perimetrale

• il lavoratore, più probabilmente, si troverà in situazione di verifica positiva rispetto alla propria azienda e di verifica negativa per gli eventuali terzi verificatori, dovendo gestire situazioni di conflitto frequenti

• … a volontà del lettore

IL RISCHIO DI ABUSI

L’uso della piattaforma INPS GreenPass50+ comporta dei rischi che diventano evidenti se ci si pone in una prospettiva deteriore e maliziosa.

L’abuso ipotizzabile da parte di un lavoratore potrebbe riguardare la dilatazione o la contrazione del tempo di validità del green pass.

Un lavoratore potrebbe sottolineare l’incoerenza dei dati per astenersi dal lavoro nella prima e nella terza giornata, nonostante disponga di un green pass valido.

In modo simmetrico ma opposto, un lavoratore potrebbe valorizzare i falsi positivi e minimizzare i falsi negativi per allungare, di fatto, la copertura del suo green pass ben oltre le 48 ore previste dalla legge.

Pensando ai possibili abusi da parte di un'impresa, la lista diventa molto più lunga e la realtà supera la fantasia.

Il log dei meri accessi rende non punibili le consultazioni eccedenti quelle necessarie, che poi sono le uniche lecite.

Diventa possibile sottoporre a verifica un lavoratore o uno specifico gruppo, in modo ossessivo e continuo, anche in assenza di timbrature e senza connessione con la presenza in azienda.

Corre l’obbligo di ricordare che le verifiche sono rigidamente regolate. Sono obbligatorie e non possono eccedere i limiti di tale obbligo. Non c’è margine discrezionale rispetto ai criteri che definiscono i lavoratori da sottoporre all’obbligo. Per questa ragione, non è lecito controllare un lavoratore in smart working o in ferie.

Il rischio maggiore rimane il fatto che, con estrema semplicità ed in modo invisibile a chiunque, un verificatore potrebbe storicizzare le verifiche dei lavoratori e, trovandone alcuni con green pass scaduto, potrebbe annotare lo stato di NON VACCINATI. Infatti il green pass dei vaccinati, scadendo dopo 12 mesi, non può dar luogo a verifiche negative, come invece può capitare ai possessori di green pass da tampone. 

A prescindere dalla possibilità di un lavoratore di non palesare questo dato, l’azienda potrebbe rilevarlo autonomamente ed in modo occulto. 

Sul punto rilevo un dettaglio determinante: la verifica manuale implica che il lavoratore sappia quando viene sottoposto a controllo. È noto il giorno, l’ora esatta e il luogo poiché la verifica richiede la collaborazione attiva del lavoratore nell’ostensione del QR code. 

La verifica massiva tramite portale INPS è invisibile al lavoratore e, oltre a non permettere un'adeguata documentazione delle interrogazioni, rende il processo completamente opaco.

Il GDPR chiede l’esatto contrario: la trasparenza e la responsabilizzazione.

Infine, tra i rischi, va evidenziato il fatto che una contestazione per green pass scaduto potrebbe giungere in modo non tempestivo e immediato, rendendo difficile, se non impossibile, per il lavoratore giustificare la propria posizione e documentare la reale situazione. 

CASISTICA

Ecco i 4 mostri che il sistema GreenPass50+ dell’INPS  può generare:

Caso pratico n.1

Lavoratore malizioso

• il lavoratore fa il tampone la mattina presto. L’ingresso in azienda non può essere impedito perché esiste la documentazione cartacea.

• Secondo giorno senza problemi entra al lavoro

• Il terzo giorno il lavoratore può sostenere di aver dimenticato il documento e, contando sulla verifica dal portale inps, potrà accedere al lavoro, pur sprovvisto di green pass valido.

• La durata del tampone diventa quindi pari a 72 ore

Caso pratico n.2

Lavoratore sfortunato

• Il lavoratore fa un tampone alla mattina presta ma non conserva i documenti contando sul fatto che tutto risulti elettronicamente.

• in azienda gli viene negato l’accesso poiché la verifica sul portale INPS da esito negativo: i dati non si sono ancora aggiornati.

• secondo giorno senza problemi

• Terzo giorno, il lavoratore distratto si presenta al lavoro, viene fatto entrare perchè la verifica online da esito positivo

• successivamente viene verificato da un cliente che evidenzia con l’app VerificaC19 il green pass scaduto. A quel punto, l’azienda contesta il mancato possesso dell’ green pass e agisce disciplinarmente per il danno patito.

Caso pratico n.3

Azienda maliziosa

• il verificatore accede al sistema e lo interroga ogni 2 ore con riferimento a tutti i lavoratori.

• Appena ne verifica uno scaduto, anche durante la giornata, dichiara di aver fatto la verifica a campione e contesta al lavoratore la presenza sul lavoro, allontanandolo e sanzionandolo.

Caso pratico n4

Azienda sfortunata

• L’azienda verifica i propri lavoratori e risultano tutti POSITIVI

• vengono inviate le squadre al lavoro presso clienti che però verificano nuovamente i lavoratori.

• Trattandosi, per molti di loro, del terzo giorno, la verifica con GreenPass50+ era un falso positivo mentre presso i clienti, dovendo utilizzare VerificaC19, l'esito è immancabilmente NEGATIVO

• A quel punto l’azienda patisce i danni per il disservizio verso i clienti.

CONCLUSIONI

Allo stato attuale, il sistema GreenPass50+ non pare rispondere ai basilari principi di esattezza del dato richiamati dal GDPR, l’uso comprime diritti incomprimibili e, pertanto, non può essere utilizzato in azienda in modo lecito.

I rischi sottesi all’utilizzo del sistema non sono facilmente bilanciabili con i benefici poichè, nei casi deteriori, i possibili danni per i lavoratori sono gravi e irrimediabili.

Anche ammettendo la liceità dell’uso, dovrebbe essere applicato l’articolo 22 del GDPR (Processo decisionale automatizzato relativo alle persone fisiche) che prevede misure di protezione rafforzate. Queste, allo stato attuale, non paiono applicabili per assenza di log, assenza di metodologie (se non organizzative) che limitino gli errori e gli usi deteriori.

Infine, l’informativa standard, che le aziende possono aver reso ai propri lavoratori, necessita certamente di una cospicua integrazione, anche ai sensi dell’art.14 rispetto, ai dati raccolti presso terzi e ai trattamenti sopra descritti. L’informativa deve essere intelligibile, trasparente e completa e, in presenza di un tale velo di opacità sull’intero sistema, pare oltremodo complesso poter adempiere a questo specifico compito.