Blog

Contrarietà del Garante all’utilizzo dei dati biometrici ai fini del controllo accessi dei lavoratori della P.A.; passato o futuro?

particolare grattacielo viola

Con l’entrata in vigore del GDPR (Reg. UE2016/679) gli Stati Europei hanno voluto creare una normativa che aspiri a coprire i prossimi venti anni in tema di Protezione di Dati riferiti alle persone fisiche. Parliamo di previsione di un futuro sempre più digitale e sempre più incentrato a carpire, immagazzinare e sfruttare i nostri dati personali.

In particolare, quando si parla di trattamento di dati personali di natura particolare (ex dati sensibili) va posta la massima attenzione alle tutele che devono essere attivate dal Titolare del Trattamento cercando, tuttavia, di impedire che si creino eccessivi ostacoli all’utilizzo di tali dati, specialmente quando il trattamento degli stessi sia necessario per tutelare diritti personali o pubblici di rango superiore al dato trattato.

L’occasione che recentemente si è manifestata con l’audizione del Garante presso le Commissioni riunite I (Affari Costituzionali) e XI (Lavoro) della Camera dei Deputati (6 febbraio 2019) è proprio quella di approfondire l’equilibrio che va sempre ricercato tra il diritto del Titolare del Trattamento all’utilizzo dei dati di cui viene in possesso (lecitamente si intende) e la protezione che va accordata al dato personale trattato con i relativi diritti dell’interessato.

Parliamo di necessarietà e proporzionalità come principi cardine da tenere sempre in mente.

Il principio di proporzionalità rappresenta un parametro generale di legittimità delle limitazioni del diritto alla protezione dati, da osservare – in conformità ai canoni di cui al 52 della Carta di Nizza – anche in sede di esercizio del potere legislativo.

In particolare va evidenziato che il principio di proporzionalità ammette limitazioni dei diritti fondamentali solo se “siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà”.

A tale riguardo va sottolineato che con la sentenza Digital Rights a proposito di data retention, la Corte di Giustizia ha dichiarato invalido un intero atto normativo dell’Unione per violazione del principio di proporzionalità. Il diritto alla protezione dei dati si è ritenuto, infatti, eccessivamente compresso (nonostante l’indiscutibile merito del fine di contrasto dei reati) da una misura, quale la conservazione dei tabulati telefonici e telematici, massiva in quanto indirizzata alla generalità dei cittadini e non limitata ad esigenze repressive dei soli reati gravi.

Il Regolamento 2016/679 ha valorizzato ulteriormente il canone di proporzionalità soprattutto in ambito pubblico, riferendolo alla stessa previsione normativa prima ancora che al trattamento in sé, chiedendo quindi al legislatore di contemperare le specifiche esigenze sottese al trattamento con il diritto alla protezione dati.

Così, per particolari categorie di dati tra i quali, appunto, quelli biometrici, il Regolamento sancisce in linea generale il divieto di trattamento, superabile solo in presenza di alcuni presupposti tra i quali, in particolare (e anche in materia lavoristica): (1) la sussistenza di una previsione normativa specifica; (2) la necessità del trattamento per la realizzazione dei legittimi fini perseguiti, nonché (3) il rispetto di garanzie appropriate.

L’articolo 2 del ddl per cui si è avuta la specifica audizione qui in commento, prevede per tutte le amministrazioni pubbliche – eccetto per il personale in regime di diritto pubblico e per il lavoro agile – l’introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso, ai fini della verifica dell’osservanza dell’orario di lavoro.

Il Garante evidenzia che l’eventuale introduzione di tali sistemi debba avvenire – secondo la previsione introdotta al Senato – “nel rispetto dei princìpi di proporzionalità, non eccedenza e gradualità ai sensi dell’articolo 5, par. 1, lettera c)”, del Regolamento.

Le modalità attuative della norma sono demandate a regolamenti da adottarsi, previo parere del Garante sulle modalità di trattamento dei dati biometrici, nel rispetto dell’articolo 9 del Regolamento e delle misure di garanzia definite dall’Autorità.

La norma prevede attraverso l’impiego contestuale -e non alternativo- dei relativi sistemi, il trattamento sia di dati personali quali l’immagine della persona (con l’utilizzo di strumenti di videosorveglianza), sia di dati biometrici, destinatari come detto di una tutela rafforzata che ne ammette l’utilizzo solo in presenza di specifici requisiti.

Nonostante l’inciso inerente il rispetto dei principi di proporzionalità, non eccedenza e gradualità, il Garante ritiene che la norma sia incompatibile con tali principi, laddove intenda – come parrebbe dato il tenore letterale – continuare a configurare la rilevazione biometrica – unitamente alle videoriprese – quale obbligatoria in ogni pubblica amministrazione.

Infatti, sempre secondo il Garante, non può ritenersi in alcun modo conforme al canone di proporzionalità l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni, di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo per l’invasività di tali forme di verifica e le implicazioni proprie della particolare natura del dato.

Chi scrive, invece, non condivide l’approccio conservatore del Garante, frutto di orientamenti stratificati negli anni dalla medesima Autorità, a causa della quale non si è mai riusciti a superare lo storico problema delle “timbrature amiche”, eccessivamente diffuse anche nelle più piccole amministrazioni comunali.

È evidente che se da una parte la previsione di sistemi cumulativi (videosorveglianza e trattamento del dato biometrico) può contrastare con i canoni di necessità e proporzionalità, dall’altra va altrettanto evidenziato che i sistemi di videosorveglianza sono ormai diffusi in tutti gli edifici pubblici nonché presenti in ogni angolo delle nostre strade cittadine mentre, in riferimento alla gestione del trattamento del dato biometrico, esistono delle soluzioni tecnologiche che possono evitare che il Titolare del Trattamento venga in possesso del dato stesso.

Esistono in commercio, infatti, sistemi di verifica dei dati biometrici che funzionano semplicemente attraverso piccoli lettori che non memorizzano alcun dato ma si limitano solamente a verificare la coincidenza tra il dato biometrico dell’impronta digitale e quello inserito in un piccolo badge assegnato al lavoratore, così da permettere l’accesso solo in caso si verifichi la coincidenza tra i due dati.

Insomma, limitare tout court l’utilizzabilità del dato biometrico, senza mai minimamente ipotizzare comportamenti conformi che, tuttavia, possano permettere di parlare di utilizzo lecito del dato biometrico, sembra quasi anacronistico.

Eppure, secondo il Garante, l’astratta, generalizzata e indifferenziata presunzione normativa di sussistenza, per tutte le pubbliche amministrazioni, di fattori di rischio tali da far ritenere quello biometrico l’unico sistema in grado di assicurare il rispetto dell’orario di lavoro, non appare compatibile con il principio di proporzionalità.

L’esclusione, tuttavia, non sembra assoluta laddove afferma che “per realizzare il condivisibile fine del contrasto dell’assenteismo e della falsa attestazione della presenza in servizio, dovrebbe farsi ricorso a misure meno limitative del diritto alla protezione dei dati, utilizzando i sistemi di rilevazione biometrica, solo in presenza di fattori di rischio specifici, qualora soluzioni meno invasive debbano ragionevolmente ritenersi inidonee allo scopo”.

Ci si auspica che il legislatore, quindi, nel ddl in esame, possa ipotizzare un corretto utilizzo del dato biometrico, limitandone certamente la portata ma prevedendone la legittima utilizzabilità, con tutte le accortezze e limitazioni del caso, anche con l’ausilio di una tecnologia ormai pronta ad affrontare tematiche così importanti e delicate.

Condividi:

Leggi gli altri articoli del blog

INTELLIGENZA ARTIFICIALE: RIFLESSI IN AMBITO TRIBUTARIO

Il Regolamento europeo 2024/1689 (“AI Act”) stabilisce norme per l’uso dell’IA, incluso il settore fiscale, mirate a garantire trasparenza e protezione dei diritti dei contribuenti. L’IA può migliorare l’efficienza e l’equità fiscale, supportando la prevenzione dell’evasione e l’analisi dei dati, ma solleva preoccupazioni per la privacy e il diritto a un processo giusto. In Italia, progetti come Ve.Ra. dimostrano l’uso dell’IA nella selezione dei contribuenti a rischio, ma è fondamentale mantenere il controllo umano e garantire un trattamento dei dati sicuro e rispettoso dei diritti.

CYBERSECURITY: L’ITALIA SECONDO I RAPPORTI CLUSIT E ASSINTEL-CONFCOMMERCIO

All’indomani della chiusura dei lavori del Security Summit tenutosi a Milano, un breve contributo sulla situazione nazionale in tema di cybersicurezza alla luce dei dati del Rapporto Clusit 2024 sulla sicurezza ICT in Italia e del Rapporto annuale sull’evoluzione della cybersecurity, realizzato da Assintel – Confcommercio.

Contattaci