Assenteismo nella PA, il Garante della Privacy mette nero su bianco alcune richieste di modifica relativamente alla normativa sulle impronte digitali contro le pratiche scorrette.
Nell’audizione del Presidente dell’Autorità Garante per la protezione dei dati personali, correlato al DDL Concretezza, ci si è confrontato sulla parte relativa ai controlli biometrici. E il Garante della Privacy si pronuncia abbastanza severamente su alcuni aspetti che dovrebbe introdurre la nuova normativa in materia.
Assenteismo nella PA, il Garante Privacy propone modifiche ai controlli biometrici
La modifica dovrà essere valutata alla luce del canone di proporzionalità, che nel contesto della protezione dati si pone come parametro essenziale di legittimità del trattamento, sotto un duplice profilo:
- Da un lato, esso rappresenta un criterio regolativo essenziale nello svolgimento del trattamento, da parte del titolare, per quanto concerne in particolare la scelta sulla portata e le modalità del trattamento stesso.
- Per altro verso, il principio di proporzionalità rappresenta un parametro generale di legittimità delle limitazioni del diritto alla protezione dati, da osservare – in conformità ai canoni di cui al 52 della Carta di Nizza – anche in sede di esercizio del potere legislativo.
La Carta prevede infatti una serie di requisiti puntuali per le limitazioni dell’esercizio dei diritti e delle libertà dalla stessa riconosciuti (tra i quali appunto anche il diritto alla protezione dei dati personali). Tra questi rilevano, in particolare, il necessario rispetto del contenuto essenziale del diritto e il principio di proporzionalità, che ammette limitazioni dei diritti fondamentali solo se “siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà”.
I principi di necessità e proporzionalità sono stati declinati con particolare nettezza dalla disciplina di protezione dati (prima direttiva 95/46, ora Regolamento 2016/679 e direttiva 2016/680 (per giustizia penale e polizia) e interpretati con implicazioni di assoluto rilievo dalla Corte di giustizia.
A tale riguardo va sottolineato che con la sentenza Digital Rights a proposito di data retention, la Corte di Giustizia ha dichiarato invalido un intero atto normativo dell’Unione per violazione del principio di proporzionalità. Il diritto alla protezione dei dati si è ritenuto, infatti, eccessivamente compresso (nonostante l’indiscutibile merito del fine di contrasto dei reati) da una misura, quale la conservazione dei tabulati telefonici e telematici, massiva in quanto indirizzata alla generalità dei cittadini e non limitata ad esigenze repressive dei soli reati gravi.
I Controlli Biometrici
Così, per particolari categorie di dati tra i quali, appunto, quelli biometrici, il Regolamento sancisce in linea generale il divieto di trattamento, superabile solo in presenza di alcuni presupposti tra i quali, in particolare (e anche in materia lavoristica):
- la sussistenza di una previsione normativa specifica
- la necessità del trattamento per la realizzazione dei legittimi fini perseguiti, nonché
- il rispetto di garanzie appropriate.
Alla luce di questi parametri va, dunque, letto l’articolo 2 del ddl, che prevede per tutte le amministrazioni pubbliche – eccetto per il personale in regime di diritto pubblico e per il lavoro agile – l’introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso, ai fini della verifica dell’osservanza dell’orario di lavoro.
L’introduzione di tali sistemi deve avvenire – secondo la previsione introdotta al Senato – “nel rispetto dei princìpi di proporzionalità, non eccedenza e gradualità ai sensi dell’articolo 5, par. 1, lettera c)”, del Regolamento.
Le modalità attuative della norma sono demandate a regolamenti da adottarsi, previo parere del Garante sulle modalità di trattamento dei dati biometrici, nel rispetto dell’articolo 9 del Regolamento e delle misure di garanzia definite dall’Autorità.
La proposta di modifica
Sarebbe dunque opportuno modificarne il testo prevedendo espressamente:
a) l’alternatività del ricorso alla rilevazione biometrica e alle videoriprese;
b) l’ammissibilità della rilevazione biometrica in presenza di fattori di rischio specifici ovvero di particolari presupposti quali, ad esempio le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale. L’articolazione, nel dettaglio, di tali requisiti ben potrebbe essere demandata ai regolamenti di cui ai commi 1 e 4.
Ove invece si confermasse la versione attuale della norma – interpretandola come volta a sancire l’indiscriminata e astratta obbligatorietà dei nuovi sistemi di rilevazione – essa sarebbe difficilmente compatibile con il criterio di “necessità nel rispetto del principio di proporzionalità” di cui all’art. 52 della Carta di Nizza.
L’Air (analisi impatto regolazione) richiama, sul punto, l’esigenza di contrasto di un fenomeno, quale quello della falsa attestazione della presenza in servizio, indubbiamente grave ma rispetto al quale non sembrano emergere dati univoci in ordine alla sua sistematica e generalizzata diffusione nelle pubbliche amministrazioni. Le statistiche ci dicono infatti che il 10 % dei provvedimenti di licenziamento disciplinare adottati nell’ultimo anno derivino da accertamento in flagranza di falsa attestazione della presenza in servizio: in valore assoluto 89, metà dei quali definiti con altro tipo di provvedimento, in alcuni casi anche per mutata contestazione.
E’ un dato di per sé sicuramente rilevante, ma non sintomatico della pervasività generale del fenomeno o comunque tale da giustificare l’adozione, in ciascuna amministrazione pubblica, di un sistema di rilevazione della presenza in servizio così invasivo.