Privacy al test per i "furbetti" della pubblica amministrazione
Per la bio-videosorveglianza dei dipendenti pubblici ci vuole una preventiva valutazione di impatto privacy. Lo ha scritto il Garante per la protezione dei dati, nel parere (provvedimento n. 167 del 19 settembre 2019) sullo schema di dpcm, che attua l'articolo 2 della legge 56/2019, recante «Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo».
Il parere del Garante, che aveva esplicitato le criticità della legge (a forte rischio di contrasto con la normativa europea sulla privacy e in via di superamento dopo la presa di distanze annunciata dal nuovo ministro per la p.a. Fabiana Dadone in un'intervista su ItaliaOggi del 27 settembre 2019), formalmente non è un parere sfavorevole, ma dire che sia un «via libera» è troppo, dal momento che si tratta di un lungo elenco di lacune da colmare.
In via prioritaria, come già segnalato da ItaliaOggi del 14 giugno 2019, il Garante rimarca la necessità, prima di partire con il sistema di doppio controllo (biometria e videosorveglianza), di scrivere una analitica valutazione di impatto privacy. Il Garante, nel suo parere, mette nero su bianco che siamo di fronte contemporaneamente a una tecnologia di trattamento innovativa, al trattamento di dati particolarmente delicati, e a categorie di interessati «vulnerabili», quali sono i lavoratori dipendenti.
Sulla base di queste considerazioni il Garante ritiene che nel dpcm si debba inserire una specifica disposizione che preveda che la singola amministrazione, prima dell'attivazione del sistema effettui la valutazione di impatto ai sensi dell'articolo 35 del Regolamento Ue sulla protezione dei dati 2016/679 (Gdpr). Peraltro più enti potranno redigere insieme questa valutazione (nota anche come Dpia, dall'acronimo inglese), se le amministrazioni hanno caratteristiche simili (il Garante fa l'esempio del comparto ministeri).
Nella maniera più collaborativa possibile, il Garante, che pure continua a sollevare le sue perplessità per un controllo sproporzionato e eccessivo, ricorda che la Valutazione d'impatto deve essere sottoposta al vaglio del Garante (articolo 2-quinquiesdecies del Codice della privacy), che potrà provvedere anche con provvedimento di carattere generale. Il Garante si è anche reso disponibile ad assistere gli enti interessati a definire mediante convenzioni le modalità tecnico-organizzative di erogazione dei servizi.
Lungo l'elenco delle lacune dello schema di regolamento. Il garante invita a precisare che i dati biometrici forniti dal dipendente pubblico presso i varchi di accesso non possono essere memorizzati, se non per il tempo strettamente necessario alla verifica, e poi immediatamente cancellati. Bisogna prediligere, poi, la raccolta meno invasiva possibile di dati biometrici, con la necessaria collaborazione dell'interessato. Sarebbe opportuno, inoltre, la previsione di un sistema alternativo per i casi in cui gli interessati non possano, anche in ragione di proprie caratteristiche fisiche, servirsi del sistema di riconoscimento biometrico. Bisogna ricordare, infine, che gli enti sono tenuti a fornire un'idonea informativa agli interessati.
Fonte: Italia Oggi del 1° ottobre 2019 - Articolo di Antonio Ciccia Messina
