Green Pass, controlli e dati, c'è qualcosa che non va

Privacy e sicurezza - Paolo Ricchiuto* - 27 ottobre 2021

Tra una contestazione e l'altra, il Green Pass è utilizzato giornalmente sui luoghi di lavoro. Ma continuano a emergere disarmonie difficili da spiegare. Una, in particolare, riguarda gli strumenti attraverso i quali un datore di lavoro può dare dimostrazione del corretto e regolare svolgimento dei controlli, visto il divieto di conservare i dati. In un paese normale, se esistono limitazioni nel trattamento delle informazioni, dovrebbero esistere sempre. Invece non è così. Vediamo perché.

Allo stato attuale, in esito alla pubblicazione del DPCM 12.10.21, il datore di lavoro ha diverse strade per poter gestire i controlli:

- incarica qualcuno che all'ingresso controlla a tutti i lavoratori il Green Pass mediante l'app VerificaC19;

- svolge i controlli a campione (o controllando solo una parte all'ingresso, o, nel corso della giornata, richiedendo il Green Pass ad alcuni dipendenti);

- si serve di una delle nuove possibilità messe a disposizione dal DPCM 12.10.21, e in particolare per i datori di lavoro privati che occupino più di 50 dipendenti, della funzionalità GreenPass50+, da ultimo fatta oggetto del lancio operativo sul sito dell'INPS (vedi messaggio INPS n. 3589 del 21.10.21).
Una procedura che permette di interrogare a distanza la piattaforma contenente i dati sui vaccini e i tamponi, e "consente la verifica asincrona del Certificato verde Covid-19 con riferimento all'elenco di codici fiscali dei propri dipendenti, noti all'Istituto al momento della richiesta".

Quale che sia la strada, quello che è certo è che, un po' in virtù dei vincoli di natura generale sulla sicurezza del lavoro previsti dal decreto 81/08; un po' sulla base delle disposizioni specifiche in materia di Green Pass (art. 9-septies e octies  del decreto-legge 52/21, così come modificato dai vari ultimi interventi normativi), il datore di lavoro deve esser in grado di dimostrare fattivamente di aver svolto i compiti a casa, e di aver effettuato i controlli, non potendosi certo considerare sufficiente a tale fine la produzione di più o meno infiocchettate procedure astratte.

Come fare ? Come acquisire e mantenere questa prova ? Se è certo – e ovvio – che il datore di lavoro possa conservare e trattare il dato di colui che risulta sprovvisto del Green Pass, può considerarsi altrettanto legittima la conservazione dei dati relativi a tutti i controlli andati a buon fine nell'arco di ogni singola giornata?

Tutti sappiamo che nel DPCM 17.06.21 esisteva un vincolo granitico, che inibiva a monte qualsiasi possibilità di tenere traccia dei controlli effettuati: l'art. 13 comma 5 di quel DPCM, infatti, vietava in qualsiasi forma la raccolta dei dati dell'intestatario del Green Pass. E la modifica da ultimo apportata dal DPCM 12.10.21, pur avendo chiarito che quello sbarramento non opera per i dati "strettamente necessari all'applicazione" delle norme, non permette di considerare superato il problema del quale stiamo parlando, e cioè la conservazione massiva di tutti i controlli effettuati con esito positivo.

C'è la privacy. Non si può fare.

E allora se svolgo i controlli a tappeto, è certo che non non posso conservare i dati dei controlli con esito positivo.
Se li svolgo a campione, potrei provare a sostenere che tenere traccia di chi ho controllato sia "strettamente necessario" per evitare di compulsare sempre le stesse persone.

Ma – e veniamo alla annunciata disarmonia – cosa succede se uso le nuove funzionalità messe a disposizione dal DPCM 12.10.21? Operano gli stessi limiti? Nemmeno per sogno.
Si legge nell'allegato H al DPCM 12.10.21 (art. 4.4, nella parte dedicata alla nuova funzionalità disponibile sul portale INPS), quanto segue: 
I log applicativi del Portale istituzionale dell'INPS tracceranno solo le seguenti informazioni: 
- CF del datore di lavoro pubblico o privato; 
- User-id del soggetto che ha effettuato l'interrogazione; 
- Elenco dei CF verificati; 
- Data e ora di esecuzione dell'interrogazione. 
I log applicativi sono conservati per dodici mesi.

Ecco allora una scenetta degna del teatro dell'assurdo:

- se controllo il tuo Green Pass all'accesso sul luogo di lavoro, non posso trattare e conservare i dati se l'esito è positivo, e qualora un domani mi dovessi trovare a dover dimostrare di aver effettivamente gestito gli adempimenti, al di là dei pezzi di carta su procedure e designazione degli incaricati, sarei sostanzialmente nudo e privo della possibilità di difendermi in caso di contestazione;

- se invece svolgo i controlli sul portale INPS con la funzionalità GreenPass50+, ho a disposizione un comodissimo file dei log applicativi, che viene conservato legittimamente per 12 mesi, all'interno del quale non trovo solo i dati del verificatore che ho incaricato, ma anche tutti i codici fiscali di tutti coloro che ho controllato, compresi ovviamente i controlli con esito positivo: in caso di contestazione, quindi, chiedo un ordine di esibizione e mi difendo senza alcun problema.
Strano, no? 

* Avvocato in Roma