Bello ! un forum dove uno scrive e nessuno da certezze.
Sarebbe bello avere risposte proprio anche in vista delle nuove restrizioni.
Possibile che non ci sia nessuno che risponde ? Magari proviamo a contattare SOGEI che ha sviluppato l’app.
Certo, concordo che certificare le applicazioni sarebbe la soluzione migliore. Ma il green pass è una misura che (sulla carta) ha già una data di morte. Presumo che a livello Ministeriale non si faranno sforzi di questa entità.
Vedo più percorribile la strada delle PR su VerificaC19…
1 Mi Piace
Il forum è fatto da persone come lei… non è un collegamento diretto con gli sviluppatori nè, tanto meno, con il Ministero.
1 Mi Piace
Salve,
Volevo complimentarmi con molti di voi per il valore tecnico della discussione. In passato mi sono occupato di sicurezza informatica e ho voluto approfondire questi aspetti per curiosità. Devo dire che, vista la temporaneità della esigenza e la legge in vigore, non mi aspettavo tutto questo interesse da parte della industria sul tentativo di fare business sul controllo dei greenpass.
Su questo mi sentirei di dire che se una qualsiasi azienda si accolla la responsabilità e quindi autocertifica per iscritto l’equivalenza tra un controllo fatto con la sua soluzione e l’app statale, non vedo perché non si potrebbe vendere una soluzione alternativa.
Stesso codice = stesso risultato
L’app dovrebbe essere intesa come il suo codice e non il suo deliverable.
Voi vedete ulteriori ostacoli?
Diversi.
Oltre all’equivalenza, occorrerebbe una valutazione sul rispetto delle regole di privacy e protezione dei dati personali: ribadito piu’ volte che il green pass si legge offline e poi ci se ne dimentica.
Lo sviluppatore, lato suo, puo’ anche pensare di aver incastonato l’app ufficiale in un totem, ma, lato povero disgraziato costretto a esibire il green pass anche per fare pipì, ciò non è altrettanto evidente.
Fortunatamente le regole parlano chiaro: si usa solo l’app nazionale ufficiale (a meno di eccezioni autorizzate esplicitamente come quella per le scuole).
Poi ben vengano gl esercizi di sviluppo, almeno chi produce software si cimenta con concetti ormai ineludibili come firme digitali, valore documtale, minimizzazione dei dati trattati ecc. Certo, ci sarebbero contesti più duraturi ed eticamente accettabili per fare questo tipo di esercizio (per esempio produzione di documenti immateriali autoconsistenti, annotazioni postume autoconsistenti su documenti informatici soggetti a duplicazione, firma elettronica o accesso fisico a luoghi con CIE ecc.). Anche se posso capire che per chi sviluppa software avvicinarsi al controllo diffuso e totale possa avere un fascino proibito e cavalcare l’onda possa andare a vantaggio del business, non vedo perché scervellarsi per trovare metodi dubbi per semplificare l’applicazione di qualcosa che chi ha imposto richiede espressamente di applicare solo in un certo modo.
1 Mi Piace
Capisco le osservazioni, ma non capisco il reale problema pratico. Oggi la mia azienda mi ha chiesto di inviare il GP alla infermeria per conservarlo ed esibirlo all’occorrenza senza “disturbarmi”. Questa tecnicamente non è una violazione della privacy? Credo di si. Questo esempio era per dire che, se qualcuno fa storie perchè il sistema automatico non è certificato e bla bla bla… attende e arriva con comodo l’omino con lo smartphone.
Certo che e’ una violazione della privacy, Non in senso assoluto (che potrebbe non esistere) ma perche’ e’ un trattamento di dati che eccede quanto lo Stato ha stabilito e permesso nell’ambito di questa operazione. Se non è un porblema pratico questo…
L’hai mandato il GP al datore di lavoro?
Semplicemente il trattamento fuori legge non andrebbe nemmeno proposto. Perché, semplificando, non si è veramente liberi di opporcisi. Intanto perché non si potrebbe essere sufficientemente istruiti per accorgersi della pericolosità del trattamento. Ma anche essendo preparati, non pensi che una persona che chieda l’intervento dell’omino con lo smartphone venga preso per il solito rompicoglioni? Non pensi che mediamente una persona che entri in un ambiente con l’etichetta del rompicoglioni venga trattata diversamente? (Domanda retorica,. Leggenda vuole che mediamente al cliente antipatico il personale del ristorante sputi a turno nel piatto - leggenda senz’altro non vera ma rende l’idea)
È vero quello che dici, non ho dato il GP e verrò chiamato (anche in orari scomodi) per questo quando necessario. Da me chi non ha il GP è trattato oggettivamente male, come il cliente rompiscatole, ma ti domando : il governo non lo ha fatto per questo l’obbligo del GP?
Ciao a tutti, avrei una domanda: ma io che ho la mia app per tenere traccia di chi entra e chi esce nella mia azienda. Posso leggere il greenpass per mantenere il mio registri accessi, cioè salvarne quindi i dati anagrafici? Altrimenti, ad ora dovrebbe essere obbligatorio avere una persona adibita a questo compito e quindi far leggere il greenpass e poi far registrare manualmente la persona. Ergo, su piccole aziende può essere fatto, su aziende in cui ci sono diversi punti di accesso e centinaia e centinaia di persone che entrano e escono, non può essere fatto.
Per quanto riguarda la lettura del green pass offline, mi pare che questa sia una regola dettata da verifica c-19 che, per ovvi motivi (non dare alito a chi, senza motivo avrebbe urlato a “non ho una connessione internet”), viene garantita offline, perché ad oggi, con la crittografia SSL non c’è motivo per cui il la stringa del greenpass non debba passare online.
Ad ora c’è un obbligo di legge che è quello di VERIFICARE il green pass con verifica c-19 e ti garantisce che questa verifica viene fatta offline senza salvare dati.
Ma allo stato attuale non vi è niente, salvo che non mi sia perso qualcosa, che vieta la lettura con app differenti.
Ci sono un po di “grigi” che non riesco a capire, qualcuno ne sa qualcosa in più?
Salvare copia dei green pass (quindi salvare il QR code o parte dei dati in esso contenuti) non è legale. Il GDPR sancisce che i dati particolari di carattere sanitario possono essere trattati solo in casi specifici e da soggetti autorizzati (ad eccezione di qualche deroga specifica). Non a caso il green pass e la verifica con C19 funziona come sappiamo. E non a caso il tutto è stato sviluppato su approvazione specifica da parte del Garante. Quindi, come dice Francesco, tutto quello che è stato riportato qui, ad oggi, si limita ad un mero esercizio di sviluppo, perché non è applicabile.
Per quanto riguarda l’utilizzo di app differenti mi risulta che ci sia un decreto specifico in cui si indica che VerificaC19 è l’unica modalità consentita (perdonatemi ma non ho sotto mano il riferimento normativo).
1 Mi Piace
Buongiorno a tutti, innanzitutto ringrazio tutti i partecipanti a questa interessante discussione. Per me è davvero utile. Volevo dare un punto di vista su i punti sollevati in particolare negli ultimi contributi vista anche l’ obbligatorietà sul posto di lavoro. Parto a ritroso evidenziando che una app su un cellulare non è uno strumento valido per gestire gli ingressi in una azienda per almeno due punti:
- la lettura attraverso fotocamera di cellulare di un qr code presente su un altro telefonino (e quindi riflessi etc) è difficoltosa ed induce lentezza. Barcode readers professionali aiutano molto da questo punto di vista riducendo i tempi di almeno un ordine di grandezza.
- mancanza di automatismi. Con il modello attuale devo avere diverse persone adibite al controllo del pass. Un check su totem o ai tornelli cambia di molto l’ efficenza del processo.
A mio avviso è chiaro che la norma che obbliga alll’ uso di una specifica app su cellulare non tiene conto della complessità di cui sopra.
Ultimo aspetto: la privacy è un tema con cui ogni impresa fa i conti da tempo. Ci sono regole ben definite e sanzioni potenzialmente molto importanti. Le imprese si adeguano e trovano soluzioni. Penso che questo approccio dovrebbe essere seguito anche in questo caso definendo modalità e lasciando libera l’ implementazione. Oltretutto le informazioni “sensibili” presenti sul qrcode sono quasi tutte già a disposizione dell’ azienda ad eccezione, forse, della motivazione del greenpass e prodotto e date delle vaccinazioni. Forse la vera info sensibile è proprio il motivo per cui è stato rilasciato il greenpass. Mi sono perso qualcosa? A mio avviso, come operatori del settore, essere pronti con soluzioni enterprise ready che rispettino le normative privacy potrebbe rilevarsi utile nel prossimo futuro
Ciao Grazie della risposta.
La verità è che dentro il GreenPass ci sono dati che non sono di carattere sanitario.
Il CI, Nome, Cognome, Data di nascita. Salvare questi dati non è salvarsi il green pass, poiché da questi dati non riproduci un greenpass, ne tanto meno stai salvando dati di carattere sanitario.
Detto ciò, cercando di spiegare i mie dubbi perché pare un po’ buttata la appositamente fumosa, per la verifica sono pienamente d’accordo che ad ora non è applicabile, poiché è specificato che la Verifica è fattibile esclusivamente con la app.
E questo è scritto, per fortuna, chiaramente Anche del decreto del 14 giugno Che sotto allego.
https://www.governo.it/sites/governo.it/files/Dpcm_Green_Pass.pdf
Pagina 18
Per il resto, Io sto leggendo il Decreto e onestamente, sono sempre più dubbioso di quello che hanno fatto a livello Legislativo.
Cito:
“La verifica della certificazione verdi COVID-19 è effettuata mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile descritta nell’alegato B che consete unicamente di controllare l’autenticità, la validità e l’integrità della certiicazione e di conscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione”
E continuo:
“L’attività di verifica delle certificazione non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”
Ora, il mio grosso dubbio è sempre questo: “Attività di VERIFICA” che è ad oggi solo legale con Verifica C-19, ergo, qua viene specificato tutto ciò che viene fatto con VERIFICA C-19 e, come specificato, l’attività di verifica non mi permetterebbe di salvare, significa che nel momento che verifico lla validità io non posso salvare niente, ma, ovviamente previa concessione del titolare del green pass, niente vieta di farlo in un secondo momento. (sempre escludendo i dati relativi allo stato di salute)
Ecco, il mio dubbio è sempre su questo e non viene definito da nessuna altra parte: altri applicativi possono LEGGERE il qrcode e tenere i dati?
Per i dati ovviamente mi riferisco ai dati anagrafici e non quelli relativi alle informazioni sanitarie.
Tenersi un Nome Cognome Data di nascita e dirò di più anche il CI, non comporta in alcun modo di tenere una copia del green pass, ne di tenere dati relativi allo stato di salute della persona.
Detto tutto ciò, speriamo che ci possa essere qualcosa di più chiaro.
Perché come dice giustamente Ugo Castellani, nel commento sopra, credo che non stiano tenendo conto di realtà in cui la metodologia descritta non è assolutamente applicabile, e il controllo finirebbe per essere una cosa di facciata.
Oltre a questo, non sto leggendo da nessuna parte (ma questo ovviamete magari ci sono delle sentenze che non ho verificato) in cui si dice che una copia del qrcode non può essere custodita da un soggetto terzo, nel decreto non ve ne è traccia.
***Edit ***
per tenere la copia del green pass, in effetti sto trovando alcune cose che in effetti lo vietano.
Quindi la nuda e cruda copia, è effettivamente vietato tenerla o chiederla.
Una mia personalissima interpretazione, in base anche ai vari provvedimenti del Garante che puoi consultare qui:
Uno dei principi fondamentali è quello di finalità, ovvero il fatto che il trattamento del DGC sia legittimo soltanto per il fine per il quale è stato predisposto. Di conseguenza a tale principio è possibile richiedere di esibire il proprio DGC solo per quanto espressamente dichiarato dai vari DPCM (es. l’accesso ad un ristorante al chiuso) e solo per la sua validazione con l’app ufficiale.
Si ritorna sempre al principio della centralità dell’utente nel trattamento dei suoi dati: se nel tuo esempio chiedi ad un fornitore di esibire il suo DGC per entrare nella tua azienda e lo leggi con una tua app, chi gli garantisce che tu in realtà - tecnicamente lo puoi fare! - non stai salvando tutti i dati o ancora non memorizzi per altri fini (estremizzo: tenere una lista di fornitori no-vax) i suoi dati sanitari contenuti proprio nel DGC?
Tra gli atti del Garante trovi delle considerazioni analoghe a quelle che ho riportato sopra per l’app “Mitiga”, usata in alcuni stadi:
1 Mi Piace
Grazie per i Link, sto dando un’occhiata.
Sono assolutamente d’accordo sulla finalità.
Sul discorso chi gli garantisce che io non sto salvando una lista di no-vax ( come hai detto tu per esempio estremo di illegalità), beh qua potrebbero arrivare ovviamente le stesure della privacy che spiegano per filo e per segno, come e per cosa tratterò e cosa tratterò dei tuoi dati. Su questo non vedo grossi limiti.
Se tu ritieni che i dati che mi stai dando non siano sicuri con me, deve ovviamente essere possibile non salvarli.
La app Mitiga secondo me era abbastanza differente, la sopra, se non ho capito male, si attesta/attestava proprio lo stato di salute di una persona, tenendosi “i risultati dei test” che venivano fatti dagli utenti, che, a mio avviso, è ben più delicato del nome e cognome.
Alla fine la finalità che tutte le aziende vogliono avere ad ora è la solita.
Avere un registro accessi, in modo e maniera che se c’è un positivo si possa capire con chi è stato a contatto, evitando di fare compilare quei fogli di carta che erano/sono imbarazzanti, in quanto in caso di positività è palese che qualcosa si perderebbe.
Ad ogni modo, leggo più approfonditamente i documenti del garante che mi hai girato , ma continuo ad avere perplessità sulla modalità che stanno prevedendo per il controllo.
A mio avviso, lasciando tutto in mano a Verifica C-19 senza automatismi, i controlli saranno fatti male e poco.
Però questo è un parere personale che ovviamente, spero sia smentito.
La cosa che ci tengo però a capire è che, al momento della stesura di questi provvedimenti, non era previsto un’obbligatorietà per TUTTI i posti di lavoro, privati e non.
A mio avviso, saranno obbligati a fare delle modifiche o comunque a studiare soluzioni, se vogliono che questo pass possa funzionare e visto che ne dovrebbero prolungare la validità a 12 mesi, credo che per 12 mesi abbiano intenzione di usarlo a prescindere da ciò che succede.
Staremo a vedere.
Grazie comunque della risposta, è sempre interessante e utile confrontarsi.
peccato che con verificac19 non puoi nemmeno fare lo screenshoot,
se Tizio ha fatto il tampone lunedi alle 16
entra in azienda mercoledi alle 15, è verde.
Poi fanno un controllo alle 17 e me lo trovano rosso.
E che ca…spita, e ora che si fa ?
invece registrare i log delle entrate, con data, ora e risultato (verde) sarebbe una sicurezza per chi fa entrare l’ospite,
ancora piu’ ragionevole registrare, memorizzare e decifrare l’intero GP
(la data di nascita me la chiedono sempre per farmi gli auguri
e la data di vaccinazione è davvero un dato cosi’ sensibile ? … suvvia )
vale per datore di lavoro e lavoratore, ristorante e cliente, palestra e atleta
A mio avviso associare una normativa ad una app è sbagliato comunque:
Va rispettata la normativa che va descritta nel miglior modo possibile e poi il software che si utilizza deve essere sviluppato nel rispetto delle normative. Riguardo ai dubbi di cui sopra chi ci dice che chi controlla non sta usando una altra app? In quel caso si sta contravvenendo alla normativa e quindi si è perseguibili. Onestamente vedo molto più pericoloso che si creino file agli ingressi e quindi dopo due o tre giorni nessuno controlla più. Credo che la procedura da seguire sia quella che garantisce che le persone siano protette ovviamente nel rispetto delle normative privacy. Ripeto le aziende sono ormai abituate al trattamento dei dati
1 Mi Piace
in effetti si, i dati relativi alla salute e alle scelte che l’individuo compie in tale ambito (ricorda che nel GP è memorizzato se è generato a partire da un tampone, da una guarigione o da un vaccino) sono tra i dati considerati più sensibili.
Ad esempio sulle palestre il Garante ha proprio dato un parere negativo (anche la mia palestra aveva provato a chiedere di caricarlo sull’app e ha dovuto fare subito marcia indietro).
Buonasera a tutti,
avete un pezzo di codice java che passando la lista delle chiavi in json verifica la firma del green pass?
1 Mi Piace
Visto che stiamo facendo tutti la stessa cosa vorrei mostrarvi cosa ho trovato
Forniscono anche un sdk per poter comandare scanner, stampante e tutte le periferiche di rete incluse
Tornando al ruolo dell’app ufficiale, credo che il senso della norma è indicare che tale app è l’unica discriminante per ritenere un greenpass valido. Se lei dice che lo è, hai un GP valido, altrimenti no.
Se concordiamo su questo, allora non capisco perchè in una azienda non può essere sovrapposto un controllo custom ma più comodo per la stessa azienda. Se l’azienda fornitrice del sistema garantisce che il controllo è affidabile e che non memorizza i dati, dove sta il problema?
Io dipendente giro con il bedge, mica è il sistema ufficiale per riconoscere una persona? Ma in azienda lo è.
Ovviamente se capita una situazione di conflitto si ricontrolla usando il sistema ufficiale, non vedo nessun problema su questo.
Ma poi, onestamente, in generale, quale dato sto svelando al mio datore di lavoro che può crearmi problemi?
Dati anagrafici? Li sa
Codice Fiscale? Lo sa
Se ho fatto il vaccino? Lo sa
Quale tipo do vaccino? Non credo possa fregare a qualcuno
Se ho avuto il covid? Lo sa
Quando ho fatto il vaccino e quanti ne ho fatti? Credo serva a nulla
Onestamente non vedo alcun reale problema per il lavoro. Se invece parliamo di cinema, mostre, musei, etc… allora li capisco le obiezioni.