I limiti imposti dalla normativa sulla privacy alla nuova legge contro i furbetti della p.a

di ANTONIO CICCIA MESSINA

Italia Oggi Sette – 17 Giugno 2019

Controlli video-biometrici dei dipendenti pubblici con le dovute garanzie per chi non è un furbetto. La lotta senza quartiere agli assenteisti non deve fare vittime del fuoco amico. E tutto ciò significa che il ddl contro l’ assenteismo nelle pubbliche amministrazioni (noto come «Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’ assenteismo», approvato definitivamente dal senato il 12 giugno scorso) richiede, comunque, un apparato di garanzie, da costruire con i provvedimenti attuativi e con gli adempimenti a carico delle p.a. imposti dalla normativa sulla privacy (il regolamento Ue 2016/679 o Gdpr e il codice della privacy). Vediamo di illustrare tutti i passaggi.

Le amministrazioni interessate devono introdurre, nell’ ambito delle risorse umane, finanziarie e strumentali disponibili a legislazione vigente e della dotazione del fondo appositamente stanziato dalla legge in esame, sistemi di verifica biometrica dell’ identità e di videosorveglianza degli accessi, in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso. La norma, da un punto di vista letterale, si riferisce contemporaneamente sia ai sistemi di verifica biometrica sia agli impianti di videosorveglianza. Peraltro questa prescrizione deve essere letta nel contesto del rispetto del principio di proporzione. L’ unica maniera per introdurre una opzione tra la videosorveglianza e l’ uso della biometria è quella di sostenere che comunque prevale il principio di proporzionalità (richiamato dalla stessa legge) e che, quindi, si deve ricorrere al doppio sistema solo dove è effettivamente necessario.

Si ritiene che le compatibilità economiche (e quindi la ponderazione delle spese a carico dell’ erario: il fondo stanziato per il 2019 è di 35 milioni di euro) sia un elemento da considerare e che porta a basare la possibilità di una (pur antiletterale) considerazione disgiunta delle telecamere e dei dispositivi di controllo dei dati biometrici. L’ installazione e l’ uso degli impianti video-biometrici dovrà avvenire nel rispetto dei princìpi di proporzionalità, non eccedenza e gradualità sanciti dall’ articolo 5, paragrafo 1, lettera c), del regolamento (Ue) 2016/679, e del principio di proporzionalità previsto dall’ articolo 52 della Carta dei diritti fondamentali dell’ Unione europea. Questa è la clausola di salvezza che l’ articolo 2 della legge in esame formula per allineare se stesso alla prevalente normativa europea direttamente applicabile in Italia.

Il problema, qui, è che le norme del regolamento Ue sono state scritte per indicare ai titolari di trattamento di effettuare analisi caso per caso, sulla base delle quali capire se effettuare un certo trattamento e, in caso positivo, come farlo. Una delle parole chiave, a questo proposito, è «minimizzazione»: si deve trattare solo ed esclusivamente il numero minimo dei dati necessari per raggiungere le finalità. In teoria, allora, è incompatibile con un’ impostazione di questo tipo, caso per caso, come si è detto, una norma che a tappeto prescrive un certo trattamento, senza considerazione dei diversi contesti e del diverso grado di rischio. Un altro ragionamento mette in rilievo che viene richiamata una norma di principio (l’ articolo 5), che ha generato all’ interno del regolamento Ue disposizioni di dettaglio. Allora ci si deve chiedere se devono essere rispettate (perché il trattamento sia legittimo) anche queste norme di dettaglio.

Per esempio per i trattamenti a rischio elevato il regolamento Ue prevede che il titolare del trattamento debba valutare se scrivere una valutazione di impatto privacy (articolo 35) o se debba chiedere la consultazione preventiva del Garante. Sempre, per passare in rassegna alcuni adempimenti dettagliati, inquadrabili nella cornice dei principi generali, l’ articolo 36 del regolamento Ue dà facoltà al legislatore nazionale di prevedere casi di trattamenti effettuati nel pubblico interesse per i quali sia obbligatorio chiedere al Garante della privacy un’ autorizzazione preliminare: da questa disposizione si è originato l’ articolo 2-quinquiesdecies, del codice della privacy (dlgs 196/2003), ai sensi del quale il Garante prescrive misure e accorgimenti a garanzia dell’ interessato, che il titolare del trattamento è tenuto ad adottare.

La risposta al quesito (se si devono rispettare le norme di dettaglio scaturite dalle norme di principio del regolamento Ue) non può che essere positiva, altrimenti avremmo una non consentita deroga al regolamento Ue sulla protezione dei dati. Ma se è così, allora avrà decisiva importanza capire che cosa devono fare ora le amministrazioni pubbliche. Qui bisogna distinguere la videosorveglianza e i sistemi biometrici. Per i sistemi biometrici l’ articolo 2 della legge in esame sicuramente individua quale atto di attuazione un decreto del presidente del consiglio dei ministri, su proposta del ministro per la pubblica amministrazione, da adottare, previa intesa in sede di Conferenza unificata stato-regioni, e previo parere del Garante per la protezione dei dati personali. Questo decreto del capo del governo deve dettagliare le modalità di trattamento dei dati biometrici, nel rispetto dell’ articolo 9 del regolamento (Ue) 2016/679 e delle misure di garanzia definite dal predetto Garante, ai sensi dell’ articolo 2-septies del codice della privacy.

Quindi, per far partire il controllo biometrico dell’ osservanza dell’ orario di lavoro, ci vuole un Dpcm e questo decreto deve rispettare l’ articolo 9 del regolamento Ue e anche un provvedimento del Garante (misure di garanzia). Per rispettare l’ articolo 9 del regolamento Ue occorre, in primo luogo, che la legislazione nazionale specifichi «misure appropriate e specifiche» a tutela dei diritti del singolo. Sempre per rispettare l’ articolo 9, ma stavolta il paragrafo 4, del regolamento Ue occorre che il futuro Dpcm si uniformi alle misure di garanzia che verranno adottate dal Garante (articolo 2-septies del Codice della privacy). In particolare, queste misure di garanzia individueranno le misure di sicurezza, comprese quelle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalità per l’ accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.

Quindi, per i dati biometrici, occorre attendere il provvedimento del Garante sulle misure di garanzia e poi il Dpcm. Non è, invece, chiarissima la lettera dell’ articolo 2, comma 1, ultimo periodo e, quindi, non è chiaro se ci voglia un decreto del presidente del consiglio dei ministri anche con riferimento alla videosorveglianza: ma la simmetria degli istituti fa propendere per la risposta affermativa. Accantonando per un attimo la questione se l’ intera legge sia compatibile con il quadro europeo (nella parte in cui è direttamente applicabile in Italia e prevalente sull’ ordinamento interno), questione sollevata dal Garante delle privacy, accantonando tutto ciò, va comunque rilevato che le precauzioni delle disposizioni attuative dovranno essere in grado di elevare uno scudo protettivo a favore di chi non è un «furbetto del cartellino».