I sistemi di controllo biometrico e di videosorveglianza per i dipendenti delle PA
di Mauro Alovisio – Avvocato
La L. 19 giugno 2019, n. 56 ad oggetto: “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” prevede all’art. 2 l’introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza per i dipendenti delle amministrazioni pubbliche ex art. 1, comma 2, D.Lgs. 30 marzo 2001, n. 165, ai fini della verifica dell’osservanza dell’orario di lavoro sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi, in sostituzione dei diversi sistemi di rilevazione automatica.
Sono esclusi dalla previsione: il personale in regime di diritto pubblico (di cui all’art. 3 del citato D.Lgs. n. 165 del 2001, e successive modificazioni); i dipendenti titolari di un rapporto agile (rapporto di lavoro subordinato che, secondo la definizione di cui all’art. 18, L. 22 maggio 2017, n. 81, si svolge senza precisi vincoli di orario o di luogo, con svolgimento della prestazione in parte all’interno di locali aziendali e in parte all’esterno, senza una postazione fissa). L’ obbligo riguarda le amministrazioni pubbliche di cui con esclusione dei dipendenti di cui all’art. 3 del medesimo decreto e fuori dei casi di cui all’art. 18, L. 22 maggio 2017, n. 81.
Gli enti saranno tenuti a dotarsi di tali sistemi nell’ambito delle risorse umane, finanziarie e strumentali disponibili a legislazione vigente e della dotazione del fondo previsto ai sensi dello stesso art. 2, comma 5, della legge concretezza.
I sopra citati sistemi devono essere installati nel rispetto dei principi di proporzionalità, non eccedenza e gradualità sanciti dall’art. 5, paragrafo 1, lettera c), Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e del principio di proporzionalità previsto dall’art. 52 della Carta dei diritti fondamentali dell’Unione europea.
Per quanto riguarda i dirigenti delle amministrazioni pubbliche, il comma 2 del presente art. 2 specifica che essi adeguano la propria prestazione nella sede di lavoro alle esigenze dell’organizzazione e dell’incarico dirigenziale svolto, nonché a quelle connesse con la corretta gestione e il necessario coordinamento delle risorse umane.
La legge concretezza demanda la definizione delle modalità attuative attraverso specifico decreto del Presidente del Consiglio dei ministri, su proposta del Ministro per la pubblica amministrazione, da adottare ai sensi dell’art. 17, comma 3, L. 23 agosto 1988, n. 400, previa intesa in sede di Conferenza unificata di cui all’art. 8 del D.Lgs. 28 agosto 1997, n. 281, e previo parere del Garante per la protezione dei dati personali ai sensi dell’art. 154 del codice in materia di protezione dei dati personali, di cui al D.Lgs. 30 giugno 2003, n. 196, sulle modalità di trattamento dei dati biometrici.
Le sopra citate modalità attuative devono essere definite nel rispetto dell’art. 9 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e delle misure di garanzia definite dal predetto Garante, ai sensi dell’art. 2-septies del citato codice di cui al D.Lgs. n. 196 del 2003.
La legge concretezza presenta molteplici criticità sotto il profilo della protezione dei dati personali già segnalate dalla stessa autorità garante privacy nel parere Parere su uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” – 11 ottobre 2018 e durante la stessa audizione alla Camera del 6 febbraio 2019.
Secondo il sopracitato parere il disposto normativo in materia di concretezza poiché impone l’utilizzo cumulativo dei rilievi biometrici e delle telecamere per accertare il rispetto dell’orario di lavoro in tutte le amministrazioni, senza prevedere misure alternative meno invasive non può ritenersi in alcun modo conforme al canone di proporzionalità”
Il Garante ha richiamato l’attenzione dell’opinione pubblica sui rischi di introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze.
Il Garante aveva rappresentato nel proprio parere sul disegno di legge la necessità di prevedere l’alternatività del ricorso alla biometria o alla videosorveglianza e aveva sottolineato la possibilità di introdurre nuovi sistemi di rilevazione solo in presenza di situazioni di rischio e, dunque, al ricorrere di particolari criticità, laddove altri sistemi di rilevazione delle presenze non risultino idonei rispetto alle finalità perseguite.
In una recente intervista il presidente dell’Autorità garante privacy ha ribadito che “una larga parte dei lavoratori verranno sottoposti ad un controllo biometrico generalizzato, sistematico e indiscriminato attraverso la raccolta di un dato che è particolarmente sensibile. I dati biometrici in Europa godono, grazie al GDPR, di una tutela rafforzata e per questo nessun altro Paese li utilizza per questo motivo”.
Lo stesso presidente ha evidenziato come, pur nell’ottica di c condivisibile di contrastare il grave reato di false attestazioni la strada scelta dal Parlamento è “eccessiva, perché utilizza sistemi di controllo di sorveglianza sproporzionati: sono stati circa 89 i dipendenti accusati del reato su più di 3 milioni di dipendenti pubblici”
L’art. 2-septies del Codice della privacy prevede che in attuazione di quanto previsto dall’art. 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo.
Il provvedimento che stabilisce le misure di garanzia è adottato con cadenza almeno biennale e tenendo conto: a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali; b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure; c) dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea. Il Codice della privacy prevede che lo schema di provvedimento sia sottoposto a consultazione pubblica per un periodo non inferiore a sessanta giorni.
L’art. 2 della legge concretezza non si applica al personale docente ed educativo degli istituti e delle scuole di ogni ordine e grado e delle istituzioni educative. L’art. 2 specifica, infatti, al quarto comma che i dirigenti dei medesimi istituti, scuole e istituzioni sono soggetti ad accertamento esclusivamente ai fini della verifica dell’accesso, secondo modalità stabilite, nell’ambito delle risorse umane, finanziarie e strumentali disponibili a legislazione vigente e della dotazione del fondo di cui al comma 5, con decreto del Ministro per la pubblica amministrazione, di concerto con il Ministro dell’istruzione, dell’università e della ricerca, da adottare ai sensi dell’art. 17, comma 3, L. 23 agosto 1988, n. 400, previo parere del Garante per la protezione dei dati personali, ai sensi dell’art. 154 del citato codice di cui al D.Lgs. n. 196 del 2003, nel rispetto dell’art. 9 del citato Regolamento (UE) 2016/679 e delle misure di garanzia definite dal predetto Garante, ai sensi dell’art. 2-septies del citato codice di cui al D.Lgs. n. 196 del 2003.
L’art. 2, comma 3, prevede le consuete clausole di invarianza degli oneri a carico della finanza pubblica e specifica che le pubbliche amministrazioni tenute a utilizzare i servizi di pagamento degli stipendi messi a disposizione dal Ministero dell’economia e delle finanze devono avvalersi, ai fini dell’attuazione deelle misure previste dallo stesso art. 2 dei servizi di rilevazione delle presenze forniti dal sistema “NoiPA” del suddetto Dicastero. Il ricorso a quest’ultimo sistema (ai fini in oggetto) è facoltativo per le altre pubbliche amministrazioni.
L’art. 2 al comma 5 prevede per l’attuazione degli interventi previsti l’istituzione nello stato di previsione del Ministero dell’economia e delle finanze un apposito fondo da ripartire, con una dotazione di 35 milioni di euro per l’anno 2019. L’utilizzo del fondo è disposto, previa ricognizione dei fabbisogni, con uno o più decreti del Presidente del Consiglio dei ministri, su proposta del Ministro per la pubblica amministrazione, di concerto con il Ministro dell’economia e delle finanze, in relazione alle esigenze presentate.
La Corte dei Conti ha rappresentato, durante l’audizione che pur tenendo conto delle diverse possibilità offerte dalle tecnologie esistenti, appare sottostimata la quantificazione degli oneri per l’attivazione dell’intervento in questione (35 milioni per tutte le oltre diecimila Amministrazioni interessate).
L’utilizzo del fondo è disposto, previa ricognizione dei fabbisogni ed in relazione alle esigenze presentate, con uno o più decreti del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione, di concerto con il Ministro dell’economia e delle finanze.
Ai fini della copertura finanziaria del suddetto stanziamento, si riduce nella misura corrispondente, per il medesimo anno 2019, l’accantonamento relativo al Ministero dell’economia e delle finanze del fondo speciale di conto capitale (fondo destinato alla copertura degli oneri in conto capitale derivanti dai provvedimenti legislativi che si prevede possano essere approvati nel triennio di riferimento).
L’intervento normativo necessita, come ben evidenziato dalla relazione della Corte dei Conti resa in sede di audizione di essere completato con la ripresa del processo di riforma della dirigenza pubblica. Infatti, per garantire non solo la presenza in servizio dei dipendenti, ma anche un effettivo miglioramento della qualità dell’azione amministrativa, occorre potenziare le competenze manageriali dei dirigenti dando luogo ad un assetto organizzativo che preveda una precisa attribuzione di competenze ed la verifica delle prestazioni
Il rinvio per la definizione delle modalità attuative dei controlli previsto dall’art. 2, comma 1, a un decreto del presidente del Consiglio dei Ministri e previo parere del Garante privacy rende molto incerto per gli operatori il quadro regolatorio.
Al di là del rischio di aumento del contenzioso in materia a seguito dei licenziamenti e dei probabili ricorsi per violazione dei principi di proporzionalità del trattamento dei dati sottolineato dalla dottrina più attenta, occorre evidenziare che le pubbliche amministrazioni, nel caso di ricorso ai sopra citati sistemi di controllo devono effettuare ad un’accurata e documentata analisi dei rischi, individuare i soggetti legittimati a trattare i dati rilevati e disciplinare le puntuali condizioni di utilizzo, nonché le garanzie idonee a evitare accessi abusivi o data breach.
Si segnala a riguardo che il Provvedimento generale del Garante per la protezione dei dati personali n. 392 del 2 luglio 2015 prevede l’obbligo delle pubbliche amministrazioni di comunicare, entro 48 ore dalla conoscenza del fatto, al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati.
