1. Home
  2. Settori di Attività
  3. Protezione dei dati personali
  4. Assenteismo nelle P.A., videosorveglianza e sistemi di identificazione biometrica

Assenteismo nelle P.A., videosorveglianza e sistemi di identificazione biometrica

videosorveglianza

L’11 ottobre scorso è stato pubblicato sul sito del Garante il parere richiesto dalla Presidenza del Consiglio dei ministri in relazione allo schema di disegno di legge in 6 articoli recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”.
La disposizione che maggiormente rileva sotto il profilo della protezione dei dati personali è l’art. 2 rubricato “Misure per il contrasto all’assenteismo” che, ai fini della verifica dell’osservanza dell’orario di lavoro da parte dei pubblici dipendenti, al comma 1 prevede l’introduzione nelle P.A. sia di sistemi di identificazione biometrica e sia di videosorveglianza, in sostituzione dei diversi sistemi di rilevazione automatica delle presenze attualmente in uso.
Le amministrazioni interessate dalla norma sono quelle indicate all’articolo 1, comma 2, del decreto legislativo n. 165/2001: trattasi cioè di tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale.
Resta escluso invece il personale di diritto pubblico di cui all’articolo 3 del citato decreto, quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 e quello con qualifica dirigenziale.
Scopo primario dell’introduzione di queste misure è verificare l’osservanza dell’orario di lavoro da parte dei pubblici dipendenti nell’ottica più generale di contrasto dell’assenteismo (come recita la rubrica dell’art. 2), al fine di ottenere, se non l’eliminazione, quantomeno la drastica riduzione delle false attestazioni di presenza in servizio da parte dei pubblici dipendenti.
L’impiego simultaneo dei due sistemi di controllo delle presenze comporterebbe un trattamento contemporaneo sia di dati personali quali l’immagine della persona (ripresa attraverso sistemi di videosorveglianza), sia di dati biometrici che il GDPR annovera tra le categorie particolari di dati personali che godono di una protezione rafforzata ai sensi dell’art. 9 del Regolamento UE 2016/679.
Per valutare la conformità del disegno di legge alla normativa privacy occorre premettere che con l’entrata in vigore del GDPR, per essere considerato lecito, il trattamento dei dati deve alternativamente fondarsi sulla necessità per il titolare:
– di adempiere ad un “obbligo legale”;
– di eseguire “un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, di cui è investito” oppure

– (qualora i dati oggetto del trattamento siano dati biometrici) di “assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro” nella misura in cui sia autorizzato “dal diritto …. degli Stati membri … in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 6, par. 1, lett. c) ed e), 3, e art. 9, par. 2, lett. b), Reg. UE 2016/679).
Questa disposizione limita, quindi, rispetto al passato, la possibilità dell’impiego di tecniche biometriche nel contesto lavorativo e conseguentemente l’ambito di liceità dei relativi trattamenti (art. 5, par. 1, lett. a), GDPR.
Il successivo art. 6, paragrafo 3, lettera b) del GDPR impone inoltre che il trattamento sia ispirato al rispetto dei principi di proporzionalità e di “minimizzazione dei dati” trattati rispetto alle esigenze effettivamente perseguite (v. art. 5, par. 1, lett. a) e c), GDPR).
Poste queste premesse il Garante della privacy, con riferimento al disegno di legge in esame, ha osservato che, se da un lato sotto il profilo meramente formale le basi giuridiche prospettate appaiono idonee a legittimare anche il trattamento di dati biometrici, dall’altro l’impiego simultaneo e non alternativo dei due sistemi di verifica del rispetto dell’orario di lavoro (raccolta di dati biometrici e videosorveglianza), appare eccedente rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori.
L’introduzione sistematica e generalizzata di tali sistemi e, in particolare, di quelli di rilevazione delle presenze tramite identificazione biometrica, oltre che eccessivamente costosa risulterebbe quindi anche sproporzionata rispetto al fine perseguito, soprattutto se si considera l’invasività di tali forme di verifica e la natura del dato trattato.
Per tali ragioni il Garante, nell’ottica di assicurare il rispetto dei principi di liceità, proporzionalità e minimizzazione (comunque applicabili anche in presenza di un trattamento previsto da norma legislativa o regolamentare) ha suggerito di integrare l’art. 2, comma 1, dello schema di disegno legge:
a) limitando la scelta ad un solo strumento di verifica;
b) prevedendone, in ogni caso, l’utilizzo nel rispetto del principio di gradualità delle misure limitative dei diritti delle persone, ove cioè altri sistemi di rilevazione delle presenze non risultino idonei rispetto agli scopi perseguiti;
c) ancorandone l’utilizzo alla sussistenza di specifici fattori di rischio ovvero a particolari presupposti (ad esempio: le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale).
Da ultimo si ricorda che un’ulteriore forma di tutela è ravvisabile ai sensi dell’art. 88, par. 3 del GDPR nell’obbligo per ciascuno Stato membro di comunicare alla Commissione Europea le disposizioni di legge adottate che incidono sul trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.

Condividi l’articolo

Menu