Il cd. Decreto Concretezza ora al vaglio del Senato per la seconda volta, non dovrebbe più subire sostanziali modifiche e prevede tra le altre norme l’introduzione di controlli biometrici dell’identità e di videosorveglianza degli accessi per i dipendenti delle amministrazioni pubbliche ai fini della verifica dell’osservanza dell’orario di lavoro, oltre a prevedere un nuovo principio generale sullo svolgimento della prestazione nella sede di lavoro da parte dei dirigenti delle amministrazioni pubbliche.
L’introduzione dei sistemi suddetti è prevista in sostituzione di quelli di rilevazione automatica attualmente in uso (badge); viene specificato che i sistemi si riferiscono agli accessi.
Sono esclusi dalla previsione dei nuovi sistemi:
- il personale in regime di diritto pubblico (di cui all’articolo 3 del citato D.Lgs. n. 165, e successive modificazioni);
- i dipendenti titolari di un rapporto agile (rapporto di lavoro subordinato che, secondo la definizione di cui all’articolo 18 della L. 22 maggio 2017, n. 81, si svolge senza precisi vincoli di orario o di luogo, con svolgimento della prestazione in parte all’interno di locali aziendali e in parte all’esterno, senza una postazione fissa).
- il personale docente ed educativo , mentre i dirigenti scolastici sono soggetti ad accertamento solo ai fini della verifica dell’accesso, secondo modalità stabilite con apposito decreto emanato dal Ministro per la pubblica amministrazione
Potrebbe essere opportuno valutare le motivazioni dell’esclusione per le categorie in regime di diritto pubblico per le quali vigano attualmente sistemi di rilevazione automatica delle presenze.
Inoltre, nella procedura di adozione dei nuovi sistemi, viene introdotto il richiamo ai princìpi di proporzionalità, non eccedenza e gradualità ai sensi dell’articolo 5, par. 1, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione dei dati, nonché, come specificato dalla Camera, ai sensi dell’art. 52 della Carta dei diritti fondamentali dell’Unione europea (2000/C 364/01). La disposizione europea richiamata richiede infatti che i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento, secondo il cosiddetto principio di minimizzazione dei dati.
Il decreto prevede, quindi, attraverso l’impiego contestuale e non alternativo dei relativi sistemi, il trattamento sia di dati personali quali l’immagine della persona (attraverso l’utilizzo di strumenti di videosorveglianza), sia di dati biometrici.
Occorre ricordare che il Garante per la protezione dei dati personali, nel corso dell’Audizione sul provvedimento in esame presso l’11a Commissione del Senato del 27 novembre 2018, ha espresso una serie di rilievi critici in merito ad alcuni profili della disposizione in commento.
In particolare, il Garante ha sottolineato come la previsione dell’obbligatorio impiego contestuale di due sistemi di verifica del rispetto dell’orario di lavoro (raccolta di dati biometrici e videosorveglianza) ecceda i limiti imposti dalla stretta necessità del trattamento rispetto al fine perseguito, dato che il ricorso contestuale alla videosorveglianza ed ai dati biometrici duplicherebbe l’invasione della Privacy senza aggiungere nulla in termini di contrasto di fenomeni elusivi.
La definizione delle modalità attuative della sostituzione dei sistemi di rilevazione automatica attualmente in uso con quelli di verifica biometrica dell’identità e di videosorveglianza è demandata ad un decreto, avente natura regolamentare, del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione, previa intesa sancita in sede di Conferenza unificata Stato-regioni-province autonome-città ed autonomie locali, previo parere del Garante per la protezione dei dati personali sulle modalità di trattamento dei dati biometrici.
Resta fermo, in ogni caso, il rispetto delle norme europee sul trattamento dei dati biometrici, di cui all’articolo 9 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e delle misure di garanzia in materia di trattamento dei medesimi dati biometrici, predisposte dal suddetto Garante ai sensi dell’articolo 2-septies del codice in materia di protezione dei dati personali (di cui al D.Lgs. 30 giugno 2003, n. 196).
Il Regolamento UE 2016/679 all’art. 4, paragrafo 1, n. 14), definisce i dati biometrici come quei “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Per questi dati, il Regolamento (art. 9) sancisce in linea generale il divieto di trattamento, superabile solo in presenza di alcuni presupposti tra i quali, la necessità per il titolare di adempiere a un obbligo legale o di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri ovvero ancora la necessità del trattamento per l’assolvimento degli obblighi e l’esercizio dei diritti specifici (del titolare del trattamento o dell’interessato stesso) in materia di diritto del lavoro, nella misura in cui sia autorizzato ”dal diritto degli Stati membri”, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi del soggetto passivo (art. 6, par. 1, lett. c) ed e), 3, e articolo 9, par. 2, lett. b), Reg.). Lo stesso Regolamento prevede poi una specifica riserva normativa nazionale per la disciplina dei rapporti di lavoro, consentendo a ogni Stato membro di prevedere “norme più specifiche” in materia, comprensive di “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati” (art. 88, par. 1 e 2, Reg.). I presupposti di legittimità del trattamento dei dati biometrici, anche in materia di lavoro, attengono alla sussistenza di una previsione normativa specifica (di rango legislativo o regolamentare a seconda dei casi), alla necessità del trattamento per la realizzazione dei legittimi fini perseguiti, nonché al rispetto di garanzie appropriate. Al riguardo con il D.lgs. 108/2018 che ha modificato il Codice per la protezione dei dati personali (D.lgs. n. 196 del 2003) in sede di adeguamento al Regolamento europeo, il legislatore ha previsto (con il nuovo art. 2-septies del Codice) un provvedimento generale del Garante recante, appunto, le misure di garanzia necessarie per la legittimità del trattamento dei dati genetici, biometrici e relativi alla salute, nell’esercizio del margine di flessibilità concesso sul punto dal legislatore europeo.
Per quanto riguarda i dirigenti delle amministrazioni pubbliche, essi
sono inclusi nell’ambito di applicazione dei nuovi sistemi e adeguano la propria prestazione nella sede di lavoro alle esigenze dell’organizzazione e dell’incarico dirigenziale svolto, nonché a quelle connesse con la corretta gestione e il necessario coordinamento delle risorse umane.
