Diritti interna

Doveri interna

ricerca avanzata

Parere su uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo" - 11 ottobre 2018 [9051774]

VEDI ANCHE NEWSLETTER DEL 15 OTTOBRE 2018

 

[doc. web n. 9051774]

Parere su uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo" - 11 ottobre 2018

Registro dei provvedimenti
n. 464 dell'11 ottobre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;

Visto l’articolo 36, par. 4, del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101; di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000; 

Relatore il dott. Antonello Soro;

PREMESSO

1. La Presidenza del Consiglio dei ministri ha richiesto il parere del Garante su uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”.

Lo schema, corredato dalla relazione illustrativa e dalla relazione tecnica, si compone di 6 articoli, di seguito, brevemente illustrati.

L’articolo 1 (“Istituzione del Nucleo della Concretezza”) interviene inserendo nel decreto legislativo 30 marzo 2001, n. 165, dopo l'articolo 60, gli articoli 60-bis, 60-ter e 60-quater. In particolare, si provvede a disciplinare l’istituzione, presso il Dipartimento della funzione pubblica della Presidenza del Consiglio dei Ministri, di un Nucleo delle azioni concrete di miglioramento dell'efficienza amministrativa denominato "Nucleo della Concretezza”.

L’articolo 2 (“Misure per il contrasto all’assenteismo”), contiene le disposizioni di maggiore interesse sotto il profilo della protezione dei dati personali. 

Al comma 1 è previsto che le amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo n. 165/2001, ai fini della verifica dell'osservanza dell'orario di lavoro, introducano sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso. Resta escluso il personale di diritto pubblico di cui all'articolo 3 del citato decreto, quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 e quello con qualifica dirigenziale (come si evince, per quest’ultimo dalla relazione illustrativa). 

Le modalità attuative della disposizione verranno disciplinate mediante un decreto del Presidente del Consiglio dei ministri, da adottarsi su proposta del Ministro per la pubblica amministrazione, previo parere del Garante.

Al comma 2 è previsto, al fine di garantire il più efficace svolgimento delle funzioni dirigenziali, che i dirigenti delle amministrazioni pubbliche adeguino la prestazione nella sede di lavoro alle esigenze dell'organizzazione e a quelle connesse con la corretta gestione e il necessario coordinamento delle risorse umane. 

Il comma 3 consente alle pubbliche amministrazioni di avvalersi dei servizi di rilevazione delle presenze forniti dal sistema “NoiPA” del Ministero dell’economia; mentre il comma 4 stabilisce che, per il personale docente ed educativo del Ministero dell'istruzione, dell'università e della ricerca, le modalità attuative delle misure siano stabilite con decreto del  Ministro  competente, adottato di concerto con il Ministro per la pubblica amministrazione, previo parere del Garante.

L’articolo 3 dello schema ("Adeguamento dei fondi destinati al trattamento economico accessorio delle amministrazioni a seguito di assunzioni straordinarie") reca disposizioni di interpretazione autentica dell'articolo 23 del decreto legislativo 27 maggio 2017, n. 75.

L’articolo 4 ("Misure per accelerare le assunzioni mirate e il ricambio generazionale nella pubblica amministrazione") prevede che, a decorrere dall'anno 2019, le Amministrazioni dello Stato, anche ad ordinamento autonomo, le agenzie e gli enti pubblici non economici  ivi compresi quelli di cui all'articolo 70, comma 4, del decreto legislativo n. 165/2001, possano procedere ad assunzioni di personale a tempo indeterminato, stabilendo determinati limiti.

L’articolo 5 ("Disposizioni in materia di buoni pasto") è finalizzato, come evidenziato nella relazione illustrativa, a porre rimedio ai gravi disservizi verificatisi nell'utilizzazione dei buoni pasto fomiti da alcuni aggiudicatari.

Infine, l’articolo 6 contiene una clausola di salvaguardia. 

RILEVATO

2. Per quanto riguarda i profili di protezione dei dati personali, l’articolo 2 dello schema, al comma 1, stabilisce l’obbligo per le amministrazioni pubbliche specificamente indicate di introdurre “sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso”. 

I “sistemi di rilevazione automatica”, cui la norma fa riferimento, sono gli strumenti di rilevazione della presenza che consentono l’attestazione e la contabilizzazione dell’orario di servizio in via automatizzata già introdotti dalla disciplina di settore in sostituzione delle modalità cartacee (c.d. “foglio firma”), in ragione della loro maggiore attendibilità e verificabilità obiettiva dei dati rilevati.

Le misure prospettate nell’articolo 2 sono preordinate alla “verifica dell'osservanza dell'orario di lavoro” a fini, più in generale, di “contrasto dell’assenteismo” (come recita la rubrica dell’articolo), e allo scopo (come si legge nella relazione illustrativa) di ottenere “l’eliminazione o comunque la drastica riduzione delle false attestazioni di presenza in servizio”.

Le modalità attuative della previsione normativa sono demandate a regolamenti da adottarsi previo parere del Garante sulle modalità di trattamento dei dati biometrici, nel rispetto del dettato dell’articolo 9 del Regolamento e delle misure di garanzia definite ai sensi dell’articolo 2-septies del decreto legislativo n. 196 del 2003 (recante il Codice in materia di protezione dei dati personali), introdotto dal decreto legislativo n. 101 del 2018.

La norma prevede, quindi, attraverso l’impiego simultaneo (e non alternativo) dei relativi sistemi, il trattamento sia di dati personali quali l’immagine della persona (attraverso l’utilizzo di strumenti di videosorveglianza), sia di dati biometrici che il nuovo quadro giuridico europeo annovera tra le “categorie particolari di dati personali“ che godono di una protezione rafforzata ai sensi del citato articolo 9 del Regolamento stesso.

Occorre considerare che fra i requisiti di liceità del trattamento, il Regolamento comprende la necessità per il titolare di adempiere ad un “obbligo legale” o di eseguire “un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, di cui è investito” oppure, qualora i dati oggetto del trattamento siano dati biometrici, la circostanza che il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro” nella misura in cui sia autorizzato “dal diritto …. degli Stati membri … in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 6, par. 1, lett. c) ed e), 3, e articolo 9, par. 2, lett. b), Reg.). Questa disposizione limita, quindi, rispetto al passato, la possibilità dell’impiego di tecniche biometriche nel contesto lavorativo e conseguentemente l’ambito di liceità dei relativi trattamenti (art. 5, par. 1, lett. a), Reg.).

L’articolo 6, paragrafo 3, lettera b) del Regolamento riferisce, inoltre, il canone di proporzionalità alla stessa previsione normativa del trattamento, che deve appunto essere proporzionata rispetto al legittimo obiettivo perseguito, sulla scorta di un principio affermato da una consolidata giurisprudenza della Corte di giustizia dell’Unione europea e della Corte europea dei diritti umani  (cfr. Corte di Giustizia dell’Unione europea, 9 novembre 2010, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke; 8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland; 21 dicembre 2016, Tele2 Sverige, C-203/15 e 698/15 nonché, per quanto concerne la Corte europea dei diritti umani, in ordine al canone di proporzionalità in via generale, cfr., in particolare, sez. II, sent. 28 novembre 2017, ric. n. 70838-13; Grande Camera, 5 settembre 2017, Bărbulescu c. Romania (n. 61496/08 ).

Lo stesso Regolamento prevede poi una specifica “riserva” normativa nazionale nella materia dei rapporti di lavoro consentendo ad ogni Stato membro di prevedere “norme più specifiche” purché queste includano “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati” (art. 88, par. 1 e 2, Reg.). 

Tutto ciò premesso, il Garante svolge le seguenti considerazioni.

RITENUTO

3. La base giuridica del trattamento e il principio di proporzionalità.

Alla stregua delle disposizioni del Regolamento sopra esaminate, sotto il profilo meramente formale le basi giuridiche prospettate appaiono idonee a legittimare il trattamento di dati biometrici (norme di rango primario e regolamentari: art. 2, commi 1 e 4, dello schema).

3.1. L’obbligatorietà e la simultaneità dell’impiego dei sistemi.

Il tenore letterale della disposizione (utilizzo della congiunzione “e”) sembra prevedere l’impiego simultaneo (e non alternativo), oltre che obbligatorio, di due sistemi di verifica del rispetto dell’orario di lavoro (raccolta di dati biometrici e videosorveglianza).

Ciò appare eccedente (oltre che inutilmente costoso) rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori. Da questo punto di vista, quindi, la norma deve essere modificata prevedendo correttamente l’utilizzo di un unico sistema, con caratteristiche idonee al raggiungimento della finalità perseguita. 

3.2. L’introduzione non graduale e generalizzata dei sistemi.

In ogni caso, quale che sia lo strumento prescelto, occorre considerare che ogni trattamento di dati, pur effettuato per finalità legittime e nel rispetto della normativa di settore, deve rispettare altri requisiti e in particolare i già descritti principi di liceità e proporzionalità e il principio di “minimizzazione dei dati” trattati rispetto alle esigenze effettivamente perseguite (art. 5, par. 1, lett. a) e c), Reg.).

Sotto questo profilo, sarebbe sproporzionata l’introduzione sistematica e generalizzata di tali sistemi, e in particolare di quelli di rilevazione delle presenze tramite identificazione biometrica, in ragione dell’invasività di tali forme di verifica e della natura del dato trattato.

Si rende quindi necessario, per assicurare il rispetto dei principi di liceità, proporzionalità e minimizzazione (comunque applicabili anche in presenza di un trattamento previsto da norma legislativa o regolamentare) integrare l’articolo 2, comma 1, dello schema di disegno legge sotto i seguenti profili:

a) limitando la scelta ad un solo strumento di verifica;

b) prevedendone in ogni caso l’utilizzo nel rispetto del principio di gradualità delle misure limitative dei diritti delle persone, ove cioè altri sistemi di rilevazione delle presenze non risultino idonei rispetto agli scopi perseguiti;

c) ancorandone l’utilizzo alla sussistenza di specifici fattori di rischio ovvero a particolari presupposti quali ad esempio le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale. La declinazione di tali fattori potrebbe essere demandata ai regolamenti di attuazione, sui quali il Garante dovrà esprimere il parere di competenza.

4. Gli aspetti tecnici e il sistema di “identificazione biometrica”.

Il disegno di legge rimanda a specifici decreti di carattere regolamentare la definizione delle concrete modalità di attuazione del disposto dell’articolo 2, volte ad introdurre le misure, anche tecniche, necessarie per conformare pienamente i trattamenti di dati ai principi e alle garanzie previsti dal Regolamento.

Fermo restando, quindi, che il Garante si riserva ogni valutazione sui profili tecnici connessi all’utilizzo dei sistemi in occasione dell’espressione del previsto parere sugli schemi di decreto, si evidenzia in questa sede che il termine “identificazione biometrica”, non appare adeguato a rappresentare il contesto d’uso del dato biometrico rispetto alle finalità richiamate nella norma e nella relazione illustrativa, quali quelle di controllo degli accessi e di rilevazione delle presenze dei lavoratori. 

L’identificazione biometrica (one to many matching, confronto “uno a molti”) si utilizza quando il dato biometrico acquisito in tempo reale di un interessato non conosciuto viene confrontato con tutti i dati biometrici presenti in un database e già associati a soggetti noti, per essere collegato a quello con le caratteristiche più simili, a fini appunto identificativi. 

Nel contesto della rilevazione delle presenze, invece, i soggetti abilitati ad accedere sono noti a priori (i dipendenti pubblici di una amministrazione) e il sistema deve effettuare una mera verifica (ossia un confronto “uno a uno”).

Da questo punto di vista si ritiene più corretto il ricorso alla seguente locuzione: ”sistemi di verifica biometrica dell’identità” e poiché a tale categoria sono riconducibili varie tecnologie, si richiama l’attenzione del legislatore sull’opportunità di individuarne già in questa sede una, che risulti compatibile con le esigenze di protezione dei dati personali dei lavoratori.

5. Gli obblighi di comunicazione nei confronti della Commissione europea.

Infine, si richiama l’attenzione sulla necessità che ogni Stato membro comunichi alla Commissione europea le disposizioni di legge adottate che incidono sul trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro (cfr. art. 88, par. 3 Reg.).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di disegno di legge recante interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione  dell'assenteismo, con le osservazioni di cui ai punti 3.1., 3.2. e 4..

Roma, 11 ottobre 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia