Privacy e controllo dei lavoratori attraverso biometria e videosorveglianza
Il parere del Garante per la privacy sul DDL “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e prevenzione assenteismo"
Nell'articolo si analizza come il disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo" ( presentato dal ministro Bongiorno, già approvato dal Senato e in attesa di esame in Commissione alla Camera) , va ad impattare sulle norme che regolamentano la protezione dei dati personali e sulla privacy dei lavoratori.
Il disegno di legge si compone di 6 articoli e inserisce delle modifiche al decreto legislativo 30 marzo 2001, n. 165, prevedendo l’istituzione, presso il Dipartimento della funzione pubblica della Presidenza del Consiglio dei Ministri, di un Nucleo delle azioni concrete di miglioramento dell'efficienza amministrativa denominato "Nucleo della Concretezza”.
Attraverso questo schema legislativo si intende, anche, contrastare l’assenteismo prevedendo che la verifica dell'osservanza dell'orario di lavoro sia svolta attraverso l’introduzione di sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso. Con delle eccezioni richiamate nel comma 1 dell’art. 1.
E’ richiesto il coinvolgimento delle figure dirigenziali che saranno tenute ad adeguare la prestazione nella sede di lavoro alle esigenze dell'organizzazione e a quelle connesse con la corretta gestione e il necessario coordinamento delle risorse umane
Regolamento Privacy UE 679 2016 e Dati biometrici
Cosa dice il Regolamento (UE) 679/2016 su «dati biometrici»: sono i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; (C51)
I dati biometrici, come le impronte digitali, le foto digitali o le scansioni dell’iride, acquisiscono un’importanza sempre maggiore nell’identificazione delle persone nell’era tecnologica.
Sono considerati dati biometrici, coerentemente con i pareri del Gruppo di Lavoro ex art 29 (WP29):
a) i campioni biometrici,
b) i modelli biometrici,
c) i riferimenti biometrici e ogni altro dato ricavato con procedimento informatico da caratteristiche biometriche e che possa essere ricondotto, anche tramite interconnessione ad altre banche dati, a un interessato individuato o individuabile.
I dati biometrici sono, per loro natura, direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all'individuo e denotano la profonda relazione tra corpo, comportamento e identità della persona, richiedendo particolari cautele in caso di loro trattamento.
L'adozione di sistemi biometrici, in ragione della tecnica prescelta, del contesto di utilizzazione, del numero e della tipologia di potenziali interessati, delle modalità e delle finalità del trattamento, può comportare quindi rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato.
In ragione di ciò, qualora si intenda provvedere al trattamento di dati biometrici, è necessario presentare al Garante una richiesta di verifica preliminare..
Il Garante ha imposto la “Comunicazione di Violazione dei Dati Biometrici” o incidenti informatici (accessi abusivi, azione di malware) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione.
Il Parere del Garante sul DDL: non conformità con la normativa sulla privacy
Il Garante, al quale stato richiesto di un parere di conformità della disciplina disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo" , con la normativa di settore in materia di protezione dei dati personali, in data 11 ottobre 2018 ha rilasciato il Parere e ha rilevato una serie di aspetti di non conformità, che si vanno brevemente ad illustrare.
È previsto l’impiego simultaneo e non alternativo, oltre che obbligatorio, di due sistemi di verifica del rispetto dell’orario di lavoro (raccolta di dati biometrici e videosorveglianza). A tale proposito l’Autorità di controllo ravvisa una eccedenza rispetto alle finalità perseguite del ricorso ad entrambe le tipologie di contrasto nella lotta all’assenteismo, senza tralasciare il tema dei costi che le Pubbliche Amministrazioni sarebbero costrette a sopportare per adeguarsi alla normativa.
Per questi motivi si chiede la modifica della norma al fine di tenere conto della gradualità dell’applicazione delle tipologie sopra richiamate (videosorveglianza e biometria) e l’utilizzo di un unico sistema, con caratteristiche idonee al raggiungimento della finalità perseguita.
Quale che sarà la scelta della tipologia da usare si dovrà tenere a mente il rispetto di altri principi quali quello della minimizzazione dei dati trattati rispetto alle esigenze effettivamente perseguite (art. 5, par. 1, lett. a) e c), Reg.)., per cui un impiego massivo di tali tipologie di rilevazione delle presenze è ad avviso del Garante sproporzionato.
Inoltre il rispetto dei principi di liceità, proporzionalità e minimizzazione (comunque applicabili anche in presenza di un trattamento previsto da norma legislativa o regolamentare) richiede che il disegno di legge venga modificato al fine di:
a) limitare la scelta ad un solo strumento di verifica;
b) prevedere in ogni caso l’utilizzo nel rispetto del principio di gradualità delle misure limitative dei diritti delle persone, ove cioè altri sistemi di rilevazione delle presenze non risultino idonei rispetto agli scopi perseguiti;
c) ancorare l’utilizzo alla sussistenza di specifici fattori di rischio ovvero a particolari presupposti quali ad esempio le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale. La declinazione di tali fattori potrebbe essere demandata ai regolamenti di attuazione, sui quali il Garante dovrà esprimere il parere di competenza.
Il Garante rileva anche un non corretto utilizzo delle definizioni contenute nel disegno di legge, ove si parla di ’identificazione biometrica (one to many matching, confronto “uno a molti”) che si utilizza quando il dato biometrico acquisito in tempo reale di un interessato non conosciuto viene confrontato con tutti i dati biometrici presenti in un database e già associati a soggetti noti, per essere collegato a quello con le caratteristiche più simili, a fini appunto identificativi.
Nel contesto della rilevazione delle presenze, invece, i soggetti abilitati ad accedere sono noti a priori (i dipendenti pubblici di una amministrazione) e il sistema deve effettuare una mera verifica (ossia un confronto “uno a uno”).
Da questo punto di vista si ritiene più corretto il ricorso alla seguente locuzione: ”sistemi di verifica biometrica dell’identità” e poiché a tale categoria sono riconducibili varie tecnologie, si richiama l’attenzione del legislatore sull'opportunità di individuarne già in questa sede una, che risulti compatibile con le esigenze di protezione dei dati personali dei lavoratori.
Rif.
- Provvedimento generale prescrittivo in tema di biometria 12 novembre 2014
- Provvedimento del 15 settembre 2016, che richiama i principi da rispettare e gli adempimenti da effettuare per rendere possibile il ricorso a tecniche biometriche per rilevare la presenza in servizio dei lavoratori.
Pubblicato il 16/02/2019
Fonte: Fisco e Tasse
