Il parere del Garante sullo schema di decreto in tema di disciplina relativa alla prevenzione dell’assenteismo

Scarica PDF Stampa
Parere su uno schema di decreto del Presidente del Consiglio dei ministri concernente la disciplina di attuazione della disposizione di cui all’articolo 2 della legge 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” – 19 settembre 2019

Premessa

Nel provvedimento in esame, il garante per la protezione dei dati personali ha reso il proprio parere su uno schema di decreto avente ad oggetto la disciplina di attuazione della normativa in materia di prevenzione dell’assenteismo delle pubbliche amministrazioni.

In particolare, la legge 56 del 2019 ha previsto l’introduzione di sistemi di verifica biometrica dell’identità e di video sorveglianza degli accessi per controllare il rispetto dell’orario di lavoro da parte dei dipendenti delle pubbliche amministrazioni. Detta normativa, poi, ha attribuito a un decreto del presidente del Consiglio dei Ministri il compito di predisporre la relativa disciplina attuativa.

La presidenza del consiglio ha, così, sottoposto all’esame del garante per la privacy lo schema di decreto attuativo, affinché l’autorità di controllo fornisca il proprio parere in ordine al rispetto della normativa in materia di protezione dei dati personali.

Nello specifico, lo schema di decreto stabilisce all’articolo 2, dedicato all’oggetto e all’ambito di applicazione del provvedimento, che lo stesso riguarda soltanto il personale avente rapporto di lavoro subordinato con le pubbliche amministrazioni e pertanto la disciplina in esame è rivolta soltanto a detti ultimi enti. L’articolo 3, invece, riguarda le modalità di acquisizione delle informazioni biometriche e stabilisce che, preventivamente alla raccolta di tali dati, deve essere resa l’informativa all’interessato e la raccolta medesima deve avvenire in presenza dell’interessato stesso attraverso sistemi che possono acquisire le caratteristiche biometriche, calcolare le informazioni in tempo reale e memorizzarle in forma crittografata su un dispositivo sicuro. L’articolo 4 si occupa delle caratteristiche che devono avere i sistemi di verifica biometrica dell’identità e prevede che essi debbano utilizzare degli apparati in grado di rilevare le informazioni biometriche, i quali devono esser istallati presso i varchi di accesso alle sedi delle pubbliche amministrazioni. L’articolo 5, invece, si occupa dell’attività di video sorveglianza degli accessi, stabilendo che essi siano controllati attraverso dispositivi di video sorveglianza che devono essere installati vicino ai rilevatori di presenza, in modo da acquisire le immagini di coloro i quali attraversino, in entrata o in uscita, il varco. Viene, inoltre, previsto che l’accesso alle immagini che sono memorizzate venga tracciato attraverso un sistema di log e che le informazioni vengano conservate per almeno sei mesi. L’articolo 6 si occupa, invece, dei sistemi di verifica biometrica dell’identità e di sorveglianza degli accessi per controllare il rispetto dell’orario di lavoro da parte dei lavoratori e stabilisce che detti sistemi debbano consentire di identificare e rilevare ciò che avviene vicino al varco di accesso, in modo da poter segnalare qualsiasi evento anomalo o sospetto dei dipendenti ma anche dei soggetti non qualificabili come dipendenti della pubblica amministrazione. L’articolo 7, infine, riguarda le modalità di approvvigionamento dei sistemi con cui effettuare la verifica biometrica e la sorveglianza degli accessi e prevede che le relative attrezzature vengano acquisite attraverso gli strumenti messi a disposizione da Consip S.p.a.

Il parere del Garante

Esaminato lo schema di regolamento in oggetto, il Garante ha preliminarmente ritenuto opportuno ribadire i propri dubbi circa la compatibilità della Legge 56/2019 rispetto alla disciplina, sia europea che nazionale, in materia di tutela della privacy (perplessità che il garante aveva già manifestato nel suo precedente parere sullo schema di disegno di legge). In particolare, le perplessità del garante riguardano il fatto che la legge preveda l’obbligo di utilizzare contestualmente due diversi sistemi per verificare il rispetto dell’orario di lavoro, cioè la raccolta dei dati biometrici e la videosorveglianza. Infatti, secondo il garante, la previsione di un duplice strumento di controllo contrasta con il principio di proporzionalità e di necessità del trattamento rispetto alle sue finalità. In secondo luogo, la disposizione legislativa contrasta con detti principi anche nella misura in cui sembra prevedere che la rilevazione biometrica e il sistema di sorveglianza debbono essere obbligatoriamente istallati in ogni pubblica amministrazione (invece di prevedere l’uso di tali strumenti invasivi solo allorquando l’uso di altri strumenti meno invasivi sia inidoneo al raggiungimento della finalità perseguita).

Partendo da tale premessa e quindi dal fatto che già la legge cui lo schema di decreto deve dare attuazione presenta profili di perplessità circa il rispetto della normativa in materia di privacy, il Garante evidenzia come, conseguentemente, anche le norme attuative contenute nello schema di decreto oggetto del parere presentino dei grossi dubbi di legittimità. Tuttavia, il garante ritiene comunque utile indicare alcune misure che serviranno per garantire una maggiore protezione dei dati degli interessati anche in caso di uso degli strumenti previsti dalla normativa.

In particolare, il garante ritiene che all’interno dell’art.  3 debba essere previsto che il dispositivo sicuro dove devono essere memorizzati i dati biometrici che vengono utilizzati dal personale di controllo dei varchi per verificare il passaggio del dipendente, deve essere dato nell’esclusiva disponibilità dell’interessato e gli deve essere consegnato subito dopo che i dati sono stati ivi registrati, mentre deve essere contestualmente cancellata ogni ulteriore copia dei dati.

L’art. 4, invece, deve essere integrato precisando che i dati biometrici, forniti dagli interessati al momento di passaggio dai varchi, possono essere memorizzati solo per il tempo necessario a compiere la verifica e poi devono essere immediatamente cancellati.

Inoltre, poiché nello schema di decreto non è previsto quali debbono essere i dati biometrici che il dipendente deve fornire al passaggio dal varco, il Garante ritiene che debbano invece essere specificati all’interno del decreto e in particolare devono essere individuati quelli che presentano caratteristiche meno invasive per l’interessato e che possono essere acquisiti soltanto con la collaborazione dell’interessato stesso.

Infine, il Garante ritiene che debba essere previsto nello schema di decreto anche l’obbligo di fornire agli interessati la opportuna informativa in materia di privacy, indicando le cautele adottate nel trattamento e i tempi di conservazione dei dati.

Per quanto riguarda l’art. 6, il Garante nutre ancora più perplessità posto che lo stesso sembra prevedere che debbono essere rilevate tutte le attività anomale o sospette non solo del personale dipendente, ma anche degli altri soggetti che accedono dai varchi (es. visitatori o collaboratori non dipendenti), soggetti questi ultimi cui non si applica la normativa in commento. Secondo il Garante, quindi, la disciplina dell’art. 6 sembra più orientata a garantire la sicurezza degli accessi, piuttosto che il contrasto all’assenteismo, quindi tale finalità potrebbe essere raggiunto con strumenti e modalità meno invasive come l’installazione di telecamere vicino all’ingresso (invece che con un sistema di rilevazione delle presenze).

Inoltre, secondo il Garante, per garantire la normativa in materia di videosorveglianza dei lavoratori durante lo svolgimento delle proprie mansioni, sarebbe necessario prevedere nel decreto che le telecamere non vengano orientate sull’eventuale personale di sorveglianza degli ingressi.

Il Garante aggiunge, poi, che nel decreto dovranno essere previsti anche i tempi di conservazione delle immagini, secondo le regole previste dal Provvedimento generale del Garante in materia di videosorveglianza, nonché le misure di sicurezza che le PA dovranno prevedere per prevenire rischi di accessi non autorizzati.

Infine, il decreto dovrà indicare se i controlli sui dati biometrici verranno effettuati da personale incaricato oppure da sistemi automatizzati.

Per quanto riguarda infine l’art. 7, il Garante precisa che per l’acquisto degli strumenti e delle attrezzature attraverso il Consip, il decreto dovrà anche prevedere che nella scelta si tenga conto anche delle caratteristiche dei prodotti in modo da rispettare il principio della privacy by default e by design.

Il Garante chiude, poi, il proprio parere evidenziando come sarebbe opportuno inserire nel decreto anche un apposito articolo che prevede che la singola pubblica amministrazione compia una valutazione di impatto ai sensi del GDRP prima di attivare i sistemi di controllo.

Volume consigliato

 

 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento