In materia di privacy anche il legislatore nazionale deve sottostare ai principi europei
Il 6 febbraio 2019 si è tenuta alla Camera dei Deputati, davanti alle Commissioni riunite 1ª Affari costituzionali e 11ª Lavoro pubblico e privato, l’audizione informale del Presidente del Garante per la protezione dei dati personali, Antonello Soro, sul disegno di legge n. 1433, già approvato al Senato, recante interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo.
In tale testo, all’art. 2, si rinviene infatti la previsione per ogni pubblica amministrazione di predisporre congiuntamente sistemi di rilevazione biometrica delle presenze, unitamente a sistemi di videosorveglianza.
Si tratta in realtà di un tema complesso, già oggetto di rilevi in occasione dell’audizione presso il Senato, rispetto alla cui versione è stata apportata in sede di prima lettura una limitata modifica alla previsione di cui all’articolo 2.
Questa modifica deve tuttavia essere valutata alla luce del canone di proporzionalità che nel contesto della protezione dei dati si pone come parametro essenziale di legittimità del trattamento sotto un duplice profilo.
Esso infatti da un lato rappresenta un criterio regolativo essenziale nello svolgimento del trattamento da parte del titolare per quanto concerne la scelta sulla portata e sulle modalità del trattamento; dall’altro lato il principio di proporzionalità rappresenta un parametro generale di legittimità delle limitazioni del diritto alla protezione dei dati da osservare in conformità ai canoni di cui all’articolo 52 della Carta di Nizza anche in sede di esercizio del potere legislativo.
La Carta di Nizza prevede infatti una serie di requisiti molto puntuali per le limitazioni all’esercizio dei diritti e delle libertà dalla stessa riconosciuti e tra questi rileva anzitutto il necessario rispetto del contenuto essenziale del diritto e il principio di proporzionalità, che ammette limitazioni dei diritti fondamentali solo se siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà degli interessati.
I principi di necessità e proporzionalità sono stati declinati in maniera particolarmente puntuale della disciplina della protezione dei dati prima con la direttiva 95/46 e ora con il Regolamento europeo 2016/679.
A tale riguardo va sottolineato che con la famosa sentenza Digital Right, a proposito di Data retention, la Corte di Giustizia europea ha dichiarato invalido un intero atto normativo dell’Unione per violazione del principio di proporzionalità. La Corte in tale occasione ha infatti ritenuto eccessivamente compresso il diritto alla protezione dei dati, nonostante l’indiscutibile merito del fine di contrasto dei reati per effetto di una misura quale la conservazione dei tabulati telefonici e telematici massiva, in quanto indirizzata verso la generalità dei cittadini e non limitata ad esigenze repressive dei soli reati gravi.
Il principio di proporzionalità impone dunque in primo luogo di limitare le misure a vario titolo restrittive del diritto ai soli casi sorretti da esigenze specifiche differenziate, rendendo così generalmente illegittime le misure massive; in secondo luogo i principi di necessità e proporzionalità inducono a ritenere illegittime le misure limitative del diritto ogni qualvolta sia possibile adottare misure parimenti efficaci ma meno invasive.
Per la stessa ragione la Corte di Giustizia europea si è risolta ad annullare per violazione di tali principi un regolamento europeo in materia di pubblicità delle sovvenzioni agricole. Non una norma statale, ma un Regolamento europeo.
In tale occasione la Corte di Giustizia ha avuto modo di affermare che le restrizioni ai diritti fondamentali devono intervenire entro il limite dello stretto necessario. Il regolamento 2016/679 ha valorizzato ulteriormente il canone di proporzionalità, soprattutto in ambito pubblico, riferendolo alla stessa previsione normativa prima ancora che al trattamento in sé, chiedendo quindi al legislatore di contemperare le specifiche esigenze sottese al trattamento con il diritto alla protezione dei dati.
Da ciò consegue logicamente che scrutinio di proporzionalità debba essere ancora più stringente rispetto ai dati ai quali si riconosce una tutela rafforzata in ragione dei rischi inevitabilmente connessi al loro trattamento. Così, per particolari categorie di dati, tra i quali appunto quelli biometrici, il Regolamento sancisce in linea generale un divieto di trattamento superabile solo in presenza di alcuni presupposti, tra i quali, anche in materia lavoristica, non solo la sussistenza della previsione normativa specifica, che in caso di approvazione del disegno di legge di cui oggi si è discusso, sarebbe assicurata, ma anche la necessità del trattamento per la realizzazione dei legittimi fini perseguiti nonché il rispetto di garanzie.
E proprio alla luce di questi parametri va dunque letto l’articolo 2 del disegno di legge che prevede per tutte le amministrazioni pubbliche, eccetto per il personale in regime di diritto pubblico per il lavoro agile, l’introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso ai fini della verifica dell’osservanza dell’orario di lavoro.
L’introduzione di tali sistemi deve avvenire secondo la previsione introdotta al Senato nel rispetto del principio di proporzionalità, non eccedenza e gradualità ai sensi dell’articolo 5 paragrafo 1, lett c) del Regolamento, mentre le attività attuative della norme sono da adottarsi tramite regolamento da adottarsi previo parere del garante sulle modalità di trattamento dei dati biometrici nel rispetto dell’articolo 9 del GDPR e delle misure di garanzia definite dall’Autorità.
La norma prevede attraverso l’impiego contestuale e non alternativo dei relativi sistemi biometrico e di videosorveglianza, il trattamento sia di dati personali (quali l’immagine della persona) con un utilizzo di strumenti di videosorveglianza, sia dei dati biometrici destinatari come detto di una tutela rafforzata che ne ammette l’utilizzo solo in presenza di specifici requisiti.
Nonostante l’inciso prima richiamato inerente al rispetto dei principi di proporzionalità non eccedenza e gradualità la norma deve ritenersi una mera clausola di stile, incompatibile con tali principi sovraordinati anche ad una legge statale, laddove intenda invece perseverare nel configurare la rilevazione biometrica. unitamente peraltro alle videoriprese, come obbligatoria in ogni pubblica amministrazione. Infatti, per dirla con le parole del Garante, non può ritenersi in alcun modo conforme al canone di proporzionalità l’ipotizzata introduzione sistematica, generalizzata ed indifferenziata per le tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze in ragione dei vincoli posti dall’ordinamento europeo per l’invasività di tali forme di verifica.
E per le implicazioni proprie della particolare natura del dato, il requisito dei principi di proporzionalità e minimizzazione introdotti al Senato avrebbero una portata normativa effettiva solo laddove la norma prevedesse da una parte l’alternatività del ricorso alla biometria o alla videosorveglianza, e dall’altra l’ammissibilità della rilevazione biometrica solo in presenza di fattori di rischio specifici per i quali sarebbero vani altri sistemi meno invasisi, vale a dire di particolari presupposti, quali, ad esempio, le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale.
Ma il dettato normativo di per sé è chiaro nel configurare invece tali sistemi come cumulativi, il che di per sè contrasta con il canone di necessità e proporzionalità; inoltre la previsione di tali nuovi sistemi di rilevazione come obbligatori rendono opportuno modificare il testo.
L’articolazione del dettaglio di tali requisiti potrebbe essere demandata ai regolamenti previsti al comma 1 e 4. Ove invece si confermasse la versione attuale della norma, mirante a sancire l’indiscriminata e astratta obbligatorietà dei nuovi sistemi di rilevazione essa sarebbe difficilmente compatibile con il criterio del principio di necessità e proporzionalità per le ragioni prima richiamate.
Ciò a cui bisogna prestare particolare attenzione è la generalizzazione in assoluto perché essa contrasta con il principio di proporzionalità previsto dall’ordinamento europeo.
Mai come nell’ambito della privacy il diritto europeo è intervenuto in maniera così puntuale e specifica, tanto da limitare anche il potere legislativo dei singoli Stati membri che debbono tenere conto dei principi imposti dall’Europa sia a livello normativo, sia a livello di Corti di giustizia che in tale ambito si sono dimostrate particolarmente severe. La ragione di ciò è da rinvenirsi nell’assioma in base al quale la protezione del dato è considerato come la tutela di una grande libertà individuale che non è più la privacy del passato, ma un diritto fondamentale dell’uomo la cui scarsa tutela può giungere a mettere a rischio la vita di una persona.
Attualmente nel mondo in questo momento il dato personale è diventato centrale rispetto a dinamiche attorno alle quali non solo l’economia ruota, ma anche la criminalità, il contrasto fra gli Stati e la minaccia per le persone.
Si tratta di una nuova dimensione della protezione del dato dove anche il legislatore italiano, come quello di tutti gli altri Stati membri, è chiamato a tradurre questa nuova sensibilità in un utilizzo della norma che valorizzi la nuova cultura del dato personale che vede al centro la tutela della persona fisica in quanto essere umano.
Articolo a cura di Elena Bassoli
Elena Bassòli, Avvocato in Genova, Professore a contratto di Diritto della comunicazione elettronica (54 h) e di Cyber Security and Data Protection (Master II liv. post lauream Ingegneria), presso l’Università degli Studi di Genova. Si occupa di diritto e nuove tecnologie dal 1995 ed è autore di oltre 200 pubblicazioni in materia, tra monografie, contributi a collettanee, articoli, note e commenti. Membro del Comitato di Redazione della rivista “Sicurezza e Giustizia”, è formatore per Ministero dell’Interno e Ministero di Giustizia, Presidente ANGIF (Associazione Nazionale Giuristi Informatici e Forensi). Coautore del software Verslex in uso al Senato della Repubblica per l’aiuto alla redazione dei testi normativi. È dottore di ricerca in Metodi e tecniche della formazione e valutazione delle leggi, XII ciclo. Coordinatore della Commissione “Privacy” e Consigliere presso CTI-Liguria (Club Tecnologie dell’Informazione); membro ANDIG-Ass. Naz. Docenti Informatica giuridica e ANDIP-Ass. Naz. Difesa Privacy. Delegato al Congresso Nazionale Forense.