L'Autorità per la Privacy ha pubblicato il parere sul DPCM di attuazione della disposizione di cui all'art.2 della legge 56/2019 "Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo"

Con parere doc. web n. 9147920 del 19 settembre 2019, il Garante Privacy ha formulato alcune osservazioni sullo schema di regolamento concernente la disciplina di attuazione della disposizione di cui all’art.2 della legge 56/2019, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo”.

In primis, il Garante evidenzia che il DPCM delinea la disciplina di attuazione della disposizione di rango primario, individuando i criteri, le modalità e i termini ai quali le amministrazioni dovranno attenersi per la realizzazione dei sistemi di rilevamento biometrico e di videosorveglianza necessari per la realizzazione delle misure di contrasto del fenomeno dell’assenteismo sul posto di lavoro nelle PA.

I dubbi

Il Garante rileva come la norma di legge che lo schema di regolamento è tenuto ad attuare presenti profili di dubbia compatibilità con la disciplina europea e nazionale in materia di protezione dei dati personali, come già rilevato dal Garante in sede di parere sullo schema di disegno di legge, nonché di audizione dinanzi alle Commissioni parlamentari competenti. Ciò in quanto la previsione dell’obbligatorio impiego contestuale di due sistemi di verifica del rispetto dell’orario di lavoro (raccolta di dati biometrici e videosorveglianza) contrasta con l’esigenza di stretta necessità del trattamento rispetto al fine perseguito; esigenza tanto più rilevante rispetto ai dati biometrici, annoverati nella categoria di dati personali cui la disciplina europea accorda maggiore tutela.

La norma, quindi, per il Garante non sembra conforme a tali principi laddove intenda configurare la rilevazione biometrica (unitamente peraltro alle videoriprese) quale obbligatoria in ogni pubblica amministrazione, poiché non può ritenersi in alcun modo conforme al canone di proporzionalità - come declinato dalla giurisprudenza europea e interna - l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le PA di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato.

In seguito, nel parere sono formulate alcune osservazioni su:

  • sistema di verifica biometrica dell’identità (art.3 e 4 del DPCM): oltre alle specifiche di dettaglio, si evidenzia la necessità di fornire un’idonea informativa agli interessati ai sensi dell’art. 13 del Regolamento enunciando le cautele adottate (es. l’assenza di centralizzazione dei dati) e i tempi di conservazione dei dati;
  • impiego di sistemi di videosorveglianza (art.5 e 6): sarebbe opportuno precisare nello schema di regolamento che le videocamere non saranno orientate su eventuale personale di vigilanza; devono essere individuati i tempi di conservazione delle immagini riprese da tali apparati; relativamente alla conservazione delle immagini, devono poi essere dettagliate le misure di sicurezza che le amministrazioni dovranno adottare per prevenire i rischi di accessi non autorizzati alle immagini stesse; specificata la modalità con cui il sistema di videosorveglianza sarà in grado di effettuare i controlli indicati nell’articolo 6 dello schema di regolamento, con riguardo alla capacità di identificare, individuare e rilevare ciò che avviene in prossimità dei varchi e di segnalare qualsiasi evento anomalo o sospetto;
  • modalità di approvvigionamento dei sistemi e rispetto dei principi di privacy by design e privacy by default (art.7);
  • soggetti (art.8): sarebbe opportuno chiarire quali sono i compiti e i ruoli del titolare e del responsabile ai fini della protezione dei dati svolti dai soggetti coinvolti;
  • valutazione di impatto sulla protezione dei dati: si propone di inserire una specifica disposizione nel regolamento che preveda che la singola amministrazione, in qualità di datore di lavoro e titolare del trattamento, prima dell’attivazione del sistema prescelto effettui una valutazione di impatto ai sensi dell’articolo 35 del Regolamento


  • Grafiche E. Gaspari Srl
  • Via M. Minghetti 18
  • 40057 Cadriano
  • di Granarolo Emilia (Bologna)
  • Certificazione ISO
  • Certificazione
    UNI EN ISO 9001
    per i servizi di stampa e postalizzazione

© Copyright 2019 Gaspari S.r.l.