Privacy

Dati biometrici e P.A.: netto stop del Garante

Un recente provvedimento del Garante per la Protezione dei Dati Personali mina la liceità del trattamento di dati biometrici nell’ambito del pubblico impiego, a prescindere dalle concrete modalità di trattamento e dalle misure di sicurezza adottate dagli enti pubblici coinvolti. Il motivo è la totale assenza di una valida eccezione al divieto di trattamento di categorie particolari di dati personali ai sensi del Regolamento (UE) 2016/679

Pubblicato il 07 Apr 2021

Nicola Sandon

Associate, Tonucci & Partners

Alessandro Vasta

Partner, Tonucci & Partners

dati biometrici

Nel 2019 un’azienda sanitaria siciliana, con presidi territoriali in 22 diversi comuni facenti parte della provincia di Enna, decide di dotarsi di un sistema di rilevazione delle presenze dei propri dipendenti che prevede il trattamento di dati biometrici, mediante scansione dell’impronta digitale di questi.

La scelta – dettata dall’oggettiva complessità di gestione del personale, spesso operante su più turni all’interno delle 24 ore in presidi ospedalieri e territoriali diversi – viene effettuata anche in considerazione di quanto stabilito dalla neo-approvata l. 56/2019 (la c.d. “Legge concretezza”, contenente interventi diretti a contrastare il fenomeno dell’assenteismo nelle p.a.), la quale all’art. 2 impone ad una serie di enti pubblici di introdurre “sistemi di identificazione biometrica e di videosorveglianza” proprio ai fini della “verifica dell’osservanza dell’orario di lavoro”.

Il provvedimento nei confronti dell’Azienda sanitaria

Forte del presupposto normativo, l’azienda sanitaria sceglie di adottare un sistema in grado di offrire elevate garanzie dal punto di vista della tutela dei dati personali dei lavoratori, prendendo a riferimento, secondo quanto emerge dagli scritti difensivi, le linee guida fornite dall’Autorità con il Provvedimento generale prescrittivo in tema di biometria del 12.11.2014 e un precedente provvedimento autorizzativo[1] emesso dal Garante stesso nei confronti di un’azienda ospedaliera a seguito di verifica preliminare ex art. 17 del D.Lgs. 196/2003. La soluzione prescelta prevede infatti la memorizzazione in forma cifrata del dato biometrico sul badge personale del dipendente, con contestuale cancellazione del dato a livello centralizzato. A quel punto, l’operatore non deve fare altro che apporre il dito su un apposito dispositivo e contestualmente avvicinare il badge al rilevatore delle presenze: il software procede al confronto della stringa cifrata conservata nel badge con l’impronta acquisita localmente e, in caso di riscontro positivo, si limita a memorizzare il numero di matricola del dipendente, l’ora e la data di presenza.

Il sistema entra ufficialmente in funzione nel novembre del 2019, accolto da vari articoli pubblicati sulla stampa locale e nazionale. Articoli che non tardano a attirare l’attenzione del Garante, il quale – a seguito di specifica istruttoria tempestivamente avviata – emette nel gennaio 2021 un’ordinanza nei confronti dell’Azienda sanitaria provinciale di Enna con cui eleva una sanzione amministrativa da 30.000 euro, corredata dalla pubblicazione del testo del provvedimento sul proprio sito web, nonché ingiunge la cancellazione dei dati biometrici dei dipendenti entro sessanta giorni dall’emissione dello stesso, avendo posto in essere il relativo trattamento di dati “in assenza di un idoneo presupposto di liceità”.

Le contestazioni del Garante

Tralasciando alcune contestazioni di minor rilievo, l’Autorità incentra il proprio provvedimento sulla violazione da parte dell’ente siculo dell’art. 9 del GDPR, che disciplina il trattamento delle categorie particolari di dati personali, definizione in cui rientrano anche i ‘dati sensibili’, come definiti dalla precedente normativa. Nel far ciò, il Garante ricostruisce in maniera dettagliata il quadro normativo applicabile al trattamento di dati biometrici nel pubblico impiego, offrendo interessanti spunti di riflessione.

In primo luogo, l’Autorità sottolinea come a seguito dell’entrata in vigore del GDPR, e a differenza di quanto avveniva nel previgente regime, i dati biometrici siano a tutti gli effetti da considerarsi quali ‘dati sensibili’; ciò significa che per procedere al trattamento il titolare è tenuto a individuare non solo un’adeguata base giuridica, ma anche un’eccezione al divieto generale di trattamento contenuto al primo comma dell’art. 9.

L’implementazione presso un ente pubblico di un sistema di rilevazione delle presenze e di verifica dell’osservanza dell’orario di lavoro basato su dati biometrici – prosegue l’Autorità – potrebbe in linea di principio rientrare in due delle deroghe previste dall’art. 9, trattandosi di un trattamento:

  • necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare “in materia di diritto del lavoro[2]; o, in alternativa
  • necessario per “motivi di interesse pubblico rilevante[3], da individuarsi nell’efficientamento della pubblica amministrazione.

Entrambe le succitate deroghe richiedono però espressamente un fondamento normativo: nel primo caso, infatti, il trattamento di dati biometrici è consentito solo “nella misura in cui sia autorizzato” dal diritto dell’Unione o del singolo Stato membro, mentre nel secondo caso l’art. 2-sexies del Codice privacy ha condizionato l’applicazione della deroga prevista dal GDPR al fatto che l’interesse rilevante sia previsto “dal diritto dell’Unione Europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento”.

Il problema – non di poco momento – è che una simile norma semplicemente non esiste nel nostro ordinamento. Già, perché non solo l’iter normativo legato all’art. 2 della Legge concretezza – che prevedeva l’adozione di un regolamento attuativo destinato a individuare “specifiche garanzie per circoscrivere e specificare la portata della norma” – non è mai stato concluso, ma la Legge di bilancio 2021 ha completamente abrogato i commi che imponevano alle pubbliche amministrazioni l’obbligo di dotarsi di soluzioni tecnologicamente avanzate per la verifica dell’orario di lavoro. Lampante esempio di cortocircuito normativo connesso a un impianto legislativo ipertrofico e sempre più complesso.

Ma il Garante non si ferma a questa considerazione, e, quasi a stroncare definitivamente qualsiasi speranza residua degli operatori, specifica come a tale lacuna non sia possibile porre rimedio nemmeno ricorrendo alla deroga del consenso dell’interessato al trattamento dei propri ‘dati sensibili’[4]: come più volte sottolineato sia a livello nazionale[5] che europeo[6], infatti, nell’ambito del contesto lavorativo il consenso non costituisce un valido presupposto di liceità del trattamento, in considerazione della natura del rapporto tra datore di lavoro e dipendente.

Le conseguenze del provvedimento del Garante

L’impatto pratico del provvedimento è senz’altro di notevole rilevanza. Il Garante stabilisce infatti che a oggi non esiste in Italia un presupposto normativo in grado di rendere lecito il trattamento di dati biometrici nell’ambito del pubblico impiego, quanto meno con riferimento alla rilevazione delle presenze dei dipendenti. Il tutto a distanza di nemmeno due anni dall’approvazione di una legge che identificava le tecnologie basate sul trattamento di tale tipologia di dati come uno strumento indispensabile per l’efficientamento degli enti pubblici e la lotta all’assenteismo. A ciò si aggiunga che quanto all’utilizzo di tali dati per ulteriori finalità connesse alla gestione del rapporto di lavoro andrà comunque individuata una disposizione normativa ad hoc, eventualmente facendo leva sulla pur ambigua formulazione dell’art. 2-septies, comma 7, del Codice Privacy (che ammette l’utilizzo di dati biometrici “con riguardo alle procedure di accesso fisico e logico da parte dei soggetti autorizzati nel rispetto delle misure di garanzia di cui al presente articolo”) o ad altre norme specifiche quali quelle che consentono l’uso della firma grafometrica ai sensi del D. lgs. 82/2005. In assenza, il trattamento risulterebbe illegittimo e fonte di un concreto rischio sanzionatorio da parte dell’Autorità.

Ma a ben vedere le conclusioni del Garante, contenute nel provvedimento in esame, hanno una carica dirompente ben più elevata, in grado di valicare i confini del settore del pubblico impiego, andando a interessare imprese ed enti privati: anche i trattamenti da questi effettuati nei confronti dei propri dipendenti sono senz’altro da considerarsi potenzialmente illegittimi in assenza di una disposizione normativa di rango adeguato a supporto e con il Provvedimento generale in tema di biometria adottato nel 2014 dal Garante – guida insostituibile per gli operatori più accorti e attenti alla tutela dei dati dei propri dipendenti – che appare ridimensionato, se non relegato all’irrilevanza.

Si auspica quindi un intervento legislatore che fornisca in tempi brevi un supporto normativo idoneo a colmare il vuoto venutosi a creare e garantisca che enti pubblici e privati possano quanto meno valutare con serenità e certezza l’adozione di sistemi tecnologicamente avanzati nell’ambito del rapporto di lavoro.

Note
  1. Provvedimento del 15 settembre 2016, n. 357.
  2. art. 9, c.2, lett. b) del GDPR.
  3. art. 9, c.2, lett. g) del GDPR.
  4. art. 9, c.2, lett. a) del GDPR.
  5. Cfr. Provvedimento del 13 febbraio 2020, n. 35.
  6. è estremamente improbabile che il consenso costituisca una base giuridica per il trattamento dei dati sul posto di lavoro, a meno che i dipendenti non possano rifiutarsi di concederlo senza subire conseguenze negative”, WP29, ‘Parere 2/2017 sul trattamento dei dati sul posto di lavoro’, 8 giugno 2017.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

V
Alessandro Vasta
Partner, Tonucci & Partners
S
Nicola Sandon
Associate, Tonucci & Partners

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4