Patente a crediti per la sicurezza sul lavoro: il Garante Privacy spiega cosa correggere

Rilascio patente: soggetti interessati, requisiti e durata sospensione

Ai sensi dell’articolo 27 del D.lgs. n. 81/2008, a decorrere dal 1° ottobre 2024, sono tenuti al possesso della patente le imprese e i lavoratori autonomi che operano fisicamente nei cantieri temporanei o mobili, ad eccezione di chi svolge soltanto forniture o prestazioni di natura intellettuale come ingegneri, architetti o geometri.

Sono escluse anche le imprese in possesso dell’attestazione di qualificazione SOA, in classifica pari o superiore alla III, indipendentemente dalla categoria di appartenenza.

Per ottenere la patente, è necessario soddisfare specifici requisiti, tra cui l’iscrizione alla Camera di Commercio, la designazione del responsabile del servizio di prevenzione e protezione, il rispetto degli obblighi formativi previsti dal D.lgs. 81/2008, il possesso del DVR (documento di valutazione dei rischi), il possesso del Durc (Documento unico di regolarità contributiva) valido e la certificazione di regolarità fiscale.

Nel caso in cui la patente abbia un punteggio inferiore a 15 crediti, non sarà possibile continuare a lavorare in cantiere, salvo il completamento delle attività già in corso in cui sia stato eseguito almeno il 30% del valore dei lavori affidati.

Operare senza la patente o con un punteggio insufficiente comporta sanzioni amministrative significative e l’esclusione dai lavori pubblici per sei mesi.

La sospensione della patente può durare fino a dodici mesi, con la durata che viene valutata in relazione alla gravità degli infortuni, alla natura delle violazioni in materia di salute e sicurezza e alle eventuali recidive.

Come funziona il sistema e chi può accedere alle informazioni

La piattaforma digitale, accessibile tramite Spid, Spid Professionale, CIE, CNS ed eIDAS, consente la visualizzazione delle informazioni relative alla patente direttamente dal portale dei servizi dell’ispettorato.

I dati consultabili includono lo stato della patente, il punteggio iniziale e aggiornato, eventuali sospensioni e decurtazioni. Il sistema distingue in modo rigoroso i livelli di accesso alle informazioni, calibrando la visibilità dei dati in base alla funzione del soggetto che interroga il portale.

I titolari della patente e i loro delegati possono visualizzare l’intero set informativo: dai dati anagrafici al punteggio aggiornato, fino agli eventuali provvedimenti di sospensione o decurtazione.

Le pubbliche amministrazioni, i rappresentanti dei lavoratori per la sicurezza e i committenti, invece, accedono soltanto a un riepilogo essenziale dell’impresa e della patente, comprensivo dello stato e del punteggio. I coordinatori per la sicurezza e gli organismi paritetici possono consultare i dati limitatamente alle esigenze connesse alle rispettive attività istituzionali, come previsto dallo schema di decreto.

Per ciascun accesso, l’utente è tenuto a dichiarare formalmente, sotto la propria responsabilità e ai sensi del DPR 445/2000, il titolo che legittima la consultazione delle informazioni, in modo da garantire la tracciabilità e la correttezza del trattamento.

L’interrogazione avviene in modalità puntuale, inserendo il codice fiscale del titolare della patente.

Infrastruttura cloud, autenticazione forte e responsabilità

La “patente a crediti” può rappresentare un modello virtuoso, purché l’infrastruttura che la sorregge sia costruita con la stessa attenzione riservata ai requisiti di sicurezza nei cantieri. Un modello, insomma, dove la compliance non sia un accessorio, ma una parte integrante del progetto.

L’architettura del sistema è interamente in cloud, è rilasciata sul Polo strategico nazionale (PNS) con misure di sicurezza perimetrali, filtraggio della rete e tracciatura degli accessi.

Il sistema prevede due modalità di consultazione: una riservata a titolari e delegati, l’altra basata su autodichiarazione del titolo abilitante, da parte degli altri soggetti legittimati.

In entrambi i casi è richiesta un’autenticazione forte, mentre l’Ispettorato nazionale del lavoro agisce come titolare autonomo del trattamento, avvalendosi di eventuali responsabili nominati ai sensi dell’art. 28 del GDPR.

Interlocuzione con il Garante e conformità al GDPR

Lo schema di decreto in esame è stato elaborato tenendo conto delle indicazioni fornite dall’Ufficio del Garante nel corso delle interlocuzioni avute, con l’obiettivo di assicurare la piena conformità del trattamento dei dati personali alla normativa vigente.

In particolare, è stato definito con chiarezza il ruolo dell’Ispettorato nazionale del lavoro come titolare del trattamento dei dati nell’ambito del servizio patente a crediti, erogato tramite il portale gestito dallo stesso Ispettorato.

In questo contesto, l’Ispettorato può avvalersi di responsabili del trattamento secondo quanto previsto dall’articolo 28 del Regolamento europeo.

Sono state inoltre individuate le tipologie di dati accessibili attraverso il portale, garantendo che vengano esposti solo i dati strettamente necessari e pertinenti rispetto alle finalità del servizio, evitando qualsiasi riferimento a provvedimenti amministrativi o giurisdizionali che possano ledere la privacy, nel rispetto del principio di minimizzazione.

Ogni categoria di utenti, pubblici o privati, ha accesso selettivo alle informazioni in base alle proprie funzioni istituzionali o legali. Il sistema limita il periodo di conservazione e consultazione dei dati, conformemente al principio di limitazione della conservazione.

Infine, l’adozione di misure tecniche e organizzative assicura un livello di sicurezza adeguato ai rischi, tra cui specifici meccanismi di tracciamento che registrano e conservano le informazioni necessarie per verificare l’effettiva abilitazione degli utenti che accedono ai dati della patente, rispettando così i principi di integrità, riservatezza e gli obblighi di sicurezza previsti dal Regolamento.

Due rilievi del Garante: password sicure e log non modificabili

Nel suo parere, il Garante ha preso atto positivamente dell’approccio graduale e selettivo adottato dall’Ispettorato, fondato sul principio di minimizzazione e sulla necessità di accesso mirato ai dati.

Ha riconosciuto che le informazioni trattate sono, in linea di massima, pertinenti rispetto agli scopi della patente a crediti e che lo schema di decreto è frutto, come prima ricordato, di un’interlocuzione preventiva con l’Autorità stessa. Tuttavia, il via libera non è incondizionato.

L’Autorità chiede infatti due integrazioni puntuali e non trascurabili sul piano della sicurezza informatica.

La prima riguarda la gestione delle credenziali: le password utilizzate dagli utenti del sistema devono essere protette da funzioni crittografiche non reversibili e coerenti con lo stato dell’arte.

In particolare, il Garante richiama le proprie linee guida del dicembre 2023, secondo cui l’hash delle password deve rispettare standard robusti e aggiornati, in modo da mitigare i rischi anche in caso di violazione dei sistemi.

La seconda osservazione riguarda i file di log e il tracciamento delle attività sulla piattaforma. Il decreto prevede già la registrazione delle operazioni più rilevanti, dalla creazione alla modifica o cancellazione delle patenti, fino alle verifiche dei requisiti.

Tuttavia, secondo il Garante, il sistema deve garantire in modo esplicito l’immodificabilità e l’integrità dei log, definendo con precisione quali dati devono essere conservati per ciascun evento.

Inoltre si chiede di escludere l’indirizzo email ordinario dell’utente dai dati tracciati, poiché non necessario ai fini della sicurezza e contrario al principio di proporzionalità.

Un test importante per la digitalizzazione della PA

La patente a crediti è più di uno strumento per migliorare la sicurezza sul lavoro. Rappresenta un primo esempio concreto di come i dati personali possano essere integrati in un sistema pubblico digitale con finalità trasversali, tra trasparenza, controllo e prevenzione.

È anche un banco di prova per le future piattaforme che coinvolgeranno soggetti pubblici e privati, imponendo una riflessione sempre più seria sulla necessità di una cyber security strutturale nella progettazione dei servizi digitali della pubblica amministrazione.

Il Garante Privacy, pur riconoscendo i progressi compiuti, ha dunque posto condizioni tecniche ben precise.

Il messaggio è chiaro: nessuna innovazione può dirsi completa se non è costruita attorno a principi solidi di accountability, minimizzazione e sicurezza.

La fiducia degli utenti – imprese, lavoratori o enti pubblici – dipenderà dalla capacità di garantire che la gestione dei dati sia sempre all’altezza delle aspettative.