Nella «Memoria del Presidente del Garante per la protezione dei dati personali nell’ambito del ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni (AS 1018)» si formulano alcune osservazioni di interesse sul trattamento dei dati personali.
Relativamente alla tutela, specie in presenza di minori, annota in primis che il sistema per l’erogazione del reddito di cittadinanza (di seguito: Rdc) comporta un trattamento dei dati personali su larga scala, riferiti:
- ai richiedenti;
- ai componenti il suo nucleo familiare;
- ai dati relativi allo stato di salute;
- alla eventuale sottoposizione a misure restrittive della libertà personale;
- alle condizioni di disagio, in particolare sotto il profilo economico, familiare o sociale.
Si legge che «tale meccanismo, così come delineato, presuppone un patrimonio informativo complesso e articolato, fondato sull’interconnessione di molteplici banche dati, la circolazione di delicatissime informazioni tra una pluralità di soggetti pubblici, nonché il monitoraggio e la valutazione dei consumi e dei comportamenti dei singoli familiari del beneficiario».
Il significato elementare porta la considerazione che la situazione di massiva schedatura comporta rischi e abusi derivanti dalle diverse attività di trattamento, e l’attuazione del Rdc non può «eludere le garanzie dei diritti e delle libertà sancite dalla disciplina di protezione dati, in danno proprio delle persone che tale beneficio intende invece tutelare»: un eccesso di dati non proporzionale alle finalità perseguite, che non tiene conto dei principi di minimizzazione dei dati trattati.
Si evidenziano alcune perplessità rilevanti:
- le previsioni di portata generale risultano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati;
- parimenti, non sono individuati con sufficiente chiarezza i soggetti pubblici coinvolti, né fissati i criteri in base ai quali si possa ritenere di volta in volta giustificato, rispetto agli specifici obiettivi perseguiti e in ottemperanza ai principi di proporzionalità, l’utilizzo di determinate categorie di informazioni;
- le due “piattaforme digitali” necessarie, e l’intervento di diversi soggetti pubblici comporta e presuppongono un massivo flusso di informazioni tra quelle assistite dalla maggiore tutela, ivi incluse quelle presenti nell’archivio dei rapporti finanziari, tra diversi soggetti pubblici, in assenza di un’adeguata cornice di riferimento che individui pertinenti regole di accesso selettivo alle banche dati e di salvaguardia del dato personale, nonché misure tecniche e organizzative volte a scongiurare i rischi di accessi indebiti, utilizzi fraudolenti dei dati o di violazione dei sistemi informativi, oltre a procedure idonee a garantire agli interessati l’agevole esercizio dei loro diritti;
- l’affidamento a terzi soggetti (operatori dei centri per l’impiego e dei servizi comunali) la funzione di monitoraggio dei consumi e dei comportamenti dei beneficiari, nonché di valutazione di eventuali anomalie non è sorretta dal possesso di specifici requisiti, trattando dati particolarmente sensibili, rectius manca una effettiva tutela dall’abuso o uso fraudolento con una politica attenta sulla valutazione dei rischi, in conformità a quanto richiede il Regolamento europeo 679/2016 (ex 25 e 35);
- la disciplina sul rilascio delle attestazioni ISEE è suscettibile di pregiudicare la sicurezza dei dati contenuti nell’Anagrafe tributaria e, soprattutto, nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, finora inaccessibili persino nell’ambito delle ordinarie attività di controllo tributario, in ragione degli elevati rischi connessi al relativo trattamento di tali informazioni.
Complessivamente sembra non siano state affrontate adeguatamente le misure per prevenire i rischi legati ad un illecito trattamento dei dati, imprescindibile esigenza di assicurare la sicurezza tecnica e organizzativa idonea alla protezione di informazioni tanto preziose, sia per altri componenti il nucleo familiare, che per i terzi, evitando:
- anche soltanto il rischio di fraudolente sostituzioni di identità;
- di attacchi informatici;
- facilitati anche dal coinvolgimento di soggetti terzi (ad es. Caf) e dei relativi sistemi informativi (non sempre adeguatamente protetti), nella filiera del trattamento.
Inoltre, si rileva la non correttezza del consenso/inibizione al trattamento da parte degli interessati, ritenuto non conforme ai requisiti del diritto europeo, non potendo in questo caso il consenso costituire un valido presupposto di liceità del trattamento stesso che non rappresenta un presidio adeguato rispetto alla sicurezza di tali informazioni, potendo anche incidere indebitamente su coloro i quali non siano interessati al beneficio.
Si conclude ritenendo che le esigenze di semplificazione non possono essere realizzate in maniera tale da «pregiudicare la sicurezza, l’integrità e la riservatezza dei dati contenuti negli archivi dell’Inps e dell’Agenzia delle entrate, gestiti fino ad oggi nel rispetto di stringenti misure di sicurezza», oltre ad una tracciabilità inusuale degli accessi web per la carenza «nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito)».
L’analisi del Garante della privacy è esemplare nell’affermare una serie di criticità da ricomporre urgentemente per assicurare il rispetto delle indicazioni del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali: i principi di responsabilizzazione dei titolari del trattamento (c.d. accountability) e l’analisi sui rischi che un determinato trattamento di dati personali può comportare, per i diritti e le libertà degli interessati, appare insufficiente o forse del tutto assente.
Passando oltre, e leggendo il testo dell’audizione del Garante della privacy nell’ambito dell’esame del disegno di legge C. 1433 recante «Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo», presso le Commissioni riunite I (Affari Costituzionali) e XI (Lavoro) della Camera dei Deputati (6 febbraio 2019), in relazione al trattamento dei dati biometrici vengono sollevate alcune perplessità rilevanti, e indicata la via per una possibile e pronta soluzione.
Il Garante richiama le precedenti osservazioni, incentrare sull’esigenza di modificare il testo normativo alla luce del canone di proporzionalità, che nel contesto della protezione dati si pone come parametro essenziale di legittimità del trattamento, sotto un duplice profilo:
- da un lato, esso rappresenta un criterio regolativo essenziale nello svolgimento del trattamento, da parte del titolare, per quanto concerne in particolare la scelta sulla portata e le modalità del trattamento stesso;
- per altro verso, il principio di proporzionalità rappresenta un parametro generale di legittimità delle limitazioni del diritto alla protezione dati, da osservare – in conformità ai canoni di cui al 52 della Carta di Nizza – anche in sede di esercizio del potere legislativo.
In effetti, l’uso del dato biometrico dovrebbe rispettare i principi di necessità e proporzionalità, declinati con particolare nettezza «dalla disciplina di protezione dati (prima direttiva 95/46, ora Regolamento 2016/679 e direttiva 2016/680 (per giustizia penale e polizia) e interpretati con implicazioni di assoluto rilievo dalla Corte di giustizia»: la Corte di Giustizia, con la sentenza Digital Rights a proposito di data retention, ha dichiarato invalido un intero atto normativo dell’Unione per violazione del principio di proporzionalità.
Il principio di proporzionalità, riferisce il Garante, impone, dunque:
- in primo luogo di limitare le misure a vario titolo restrittive del diritto ai soli casi sorretti da esigenze specifiche e differenziate, rendendo così generalmente illegittime le misure massive.
- in secondo luogo, i principi di necessità e proporzionalità inducono a ritenere illegittime le misure limitative del diritto ogniqualvolta sia possibile adottare misure parimenti efficaci ma meno invasive.
Entrando nell’analisi giuridica del trattamento dei dati biometrici, viene appuntato che il Regolamento sancisce in linea generale il divieto di trattamento, superabile solo in presenza di alcuni presupposti tra i quali, in particolare (e anche in materia lavoristica):
- la sussistenza di una previsione normativa specifica;
- la necessità del trattamento per la realizzazione dei legittimi fini perseguiti;
- nonché il rispetto di garanzie appropriate.
Alla luce di questi parametri la previsione per tutte le amministrazioni pubbliche – eccetto per il personale in regime di diritto pubblico e per il lavoro agile – l’introduzione di sistemi di verifica – contestuale e non alternativa – biometrica dell’identità e di videosorveglianza (l’immagine della persona) degli accessi in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso, ai fini della verifica dell’osservanza dell’orario di lavoro risulta non congruo.
Anche giustificando «nonostante l’inciso inerente il rispetto dei principi di proporzionalità, non eccedenza e gradualità», la norma (ovvero, l’intero sistema) «deve ritenersi incompatibile con tali principi, laddove intenda… continuare a configurare la rilevazione biometrica -unitamente peraltro alle videoriprese- quale obbligatoria in ogni pubblica amministrazione».
In termini più chiari, annota che la onnipresente schedatura senza distinzioni di sorta «per tutte le pubbliche amministrazioni, di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo per l’invasività di tali forme di verifica e le implicazioni proprie della particolare natura del dato» non può ritenersi in alcun modo conforme al canone di proporzionalità.
Dovrebbe esserci un bilanciamento in relazione allo scopo, ovvero ai c.d. fattori di rischio dell’acquisizione del dato biometrico e non la cumulabilità del ricorso alla biometria e alla videosorveglianza: «sancire l’indiscriminata e astratta obbligatorietà dei nuovi sistemi di rilevazione – essa sarebbe difficilmente compatibile con il criterio di “necessità nel rispetto del principio di proporzionalità” di cui all’art. 52 della Carta di Nizza».
La Carta dei diritti fondamentali dell’Unione europea (CDFUE) prevede espressamente che eventuali limitazioni all’esercizio dei diritti e delle libertà devono essere previste dalla legge e rispettare il contenuto essenziale dei diritti e libertà «Nel rispetto del principio di proporzionalità» in relazione alle finalità di interesse generale riconosciute dall’Unione.
Ma l’esigenza di contrasto di un fenomeno, quale quello della falsa attestazione della presenza in servizio, seleziona il Garante della privacy «indubbiamente grave ma rispetto al quale non sembrano emergere dati univoci in ordine alla sua sistematica e generalizzata diffusione nelle pubbliche amministrazioni. Le statistiche ci dicono infatti che il 10 % dei provvedimenti di licenziamento disciplinare adottati nell’ultimo anno derivino da accertamento in flagranza di falsa attestazione della presenza in servizio: in valore assoluto 89, metà dei quali definiti con altro tipo di provvedimento, in alcuni casi anche per mutata contestazione».
Invero, la falsa attestazione in servizio è ampiamente disciplinata e sanzionata dall’ordinamento, visto che costituisce sempre un danno economicamente apprezzabile per l’Amministrazione pubblica[1].
La giurisprudenza, con riferimento alla speciale tenuità del danno arrecato alla P.A. dall’eventuale “assenza breve ingiustificata”, rileva che l’incidenza dell’accertata condotta delittuosa sull’organizzazione dell’ente interessato potrebbe, comunque, aver arrecato un pregiudizio rilevante per effetto di tale “minima assenza”, poiché esse vanno valutate:
- non soltanto sotto un profilo quantitativo, in riferimento al quantum di retribuzione in ipotesi indebitamente percepito dal deceptor;
- ma anche in quanto mettano in pericolo l’efficienza degli uffici.
Il sistema sanzionatorio è pesante visto che «la falsa attestazione del pubblico dipendente relativa alla sua presenza in ufficio, riportata sui cartellini marcatempo o nei fogli di presenza, integra il reato di truffa aggravata ove il soggetto si allontani senza far risultare, mediante timbratura del cartellino o della scheda magnetica, i periodi di assenza, che rilevano di per sé – anche a prescindere dal danno economico cagionato all’ente truffato fornendo una prestazione nel complesso inferiore a quella dovuta – in quanto incidono sull’organizzazione dell’ente stesso, modificando arbitrariamente gli orari prestabiliti di presenza in ufficio, e ledono gravemente il rapporto fiduciario che deve legare il singolo impiegato all’ente»[2].
Conclude ammettendo che il «dato di per sé sicuramente rilevante, ma non sintomatico della pervasività generale del fenomeno o comunque tale da giustificare l’adozione, in ciascuna amministrazione pubblica, di un sistema di rilevazione della presenza in servizio così invasivo».
Più espressamente, la questione centrale si può riassumere nel fatto che «Pertanto l’astratta, generalizzata e indifferenziata presunzione normativa di sussistenza, per tutte le pubbliche amministrazioni, di fattori di rischio tali da far ritenere quello biometrico l’unico sistema in grado di assicurare il rispetto dell’orario di lavoro non appare compatibile con il principio di proporzionalità».
Anche a voler ammettere un utilizzo di «tecnologie basate su applicazioni e software nella disponibilità del dipendente, sarebbe comunque necessario»:
- individuare i soggetti legittimati a trattare i dati rilevati;
- le puntuali condizioni di utilizzo;
- le garanzie idonee a evitare accessi abusivi o data breach.
Se così fosse possibile, ovvero con ingenti investimenti e spesa di risorse pubbliche (si stima una somma di 35 milioni di euro), l’utilizzo sistematico e generalizzato dell’impronta biometrica e facciale «tale previsione risulterebbe ancora incompatibile con i principi di proporzionalità, non eccedenza, minimizzazione nel configurare l’introduzione dei sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi come astrattamente obbligatoria a prescindere da qualsiasi esigenza concreta e specifica in tal senso».
Una qualche riflessione agostana.
Si legge nella stampa specialistica «Soro boccia i controlli biometrici. Sono eccessivi, da utilizzare solo in caso di rischio»[3], rilevando che la sanzione afflittiva in caso di falsa attestazione (il fenomeno da arginare) è punita severamente con una pena più grave prevista dall’omicidio colposo.
Sull’intera questione si riporta un contributo personale (vedi, anche i link)[4], dove, oltre a richiamare la disciplina già vigente sul fenomeno dell’assenteismo che non verrebbe arricchita da ulteriori norme, segnalavo che «La questione del trattamento dei dati biometrici rientra pienamente nel significato che s’intende attribuire alla nozione di “privacy”...
Il trattamento di dati biometrici dovrebbe essere utilizzato a fronte di una esigenza “indilazionabile” di identificazione o autenticazione univoca di una persona fisica: in casi eccezionali e limitati secondo la ratio legis non come regola ordinaria…
Appare evidente che la questione sul trattamento dei dati biometrici è direttamente collegata ad un diritto della personalità umana di essere trattata con dignità (anche se dipendente pubblico) e senza subire ope legis un trattamento di un dato strettamente personale e unico: inciderebbe sul riconoscimento dei tradizionali diritti di habeas corpus nell’ambito del principio di stretta legalità…
Se la riforma assegna copertura giuridica al trattamento dei dati biometrici per controllare la presenza in ufficio, allora bisogna rivedere i command and control comunitari, e ripensare le regole del Regolamento UE n. 679/2016 in chiave di prevenzione dei reati piuttosto che di tutela della riservatezza, in quanto presumibilmente lesivo della libertà personale, essendo necessariamente subordinato all’osservanza del citato principio di legalità codificato nella riforma (salvo differenti determinazioni del Garante per la tutela dei dati personali).
Tali forme di controllo mediante il trattamento dei dati biometrici (da ricomprendere eventuali bracciali elettronici, microchip, sistemi GPS) non sarebbe propriamente un controllo a distanza, verrebbe impiegato esclusivamente «per esigenze organizzative e produttive, per la sicurezza del lavoro».
In effetti, tutti i dati biometrici di natura personale da cui si ricavano caratteristiche fisiche o comportamentali uniche e identificative di ciascuna persona fisica, rendono i sistemi di riconoscimento biometrico oggetto di particolare cautele, visto che l’art. 9, paragrafo 1 del GDPR espressamente dispone «È vietato… trattare… dati biometrici intesi a identificare in modo univoco una persona fisica», salvo prevedere apposite deroghe.
Oggi, si chiede di estendere a tutti i dipendenti pubblici l’identificazione mediante l’acquisizione dei dati biometrici per ragioni di legalità, per combattere il malcostume; domani, si chiederà (forse) la schedatura totale o, con sistemi geo referenziali, di controllarne i singoli movimenti, spingendo il trattamento dei dati ben al di là della loro funzione».
Le piattaforme, le app, i social network scambiano, commerciano e profilano i dati personali di milioni di esseri umani (menti, sarebbe più corretto) a fronte della richiesta di un servizio, la disciplina comunitaria del Regolamento (UE) 2016/679 tratta non tanto la privacy (la riservatezza, the state of being alone) quanto la “tutela dei dati personali” per impedirne un uso illecito, a scapito del singolo di non vedere divulgati i dati relativi alla propria vita privata, senza un reale ed effettivo consenso informato: si tratta di un livello minimo di misure di sicurezza dei dati personali, visto che chi detiene le informazioni – nel mondo digitale – contiene anche un potere assoluto di conoscenza e capacità di orientare le masse (indifese) senza alcuna preventiva consapevole negoziazione.
La tutela dei dati personali contro un abnorme e sproporzionato trattamento, non coerente con i bisogni (pure siano essi pubblici), porta il rischio di alterare le libertà individuali e collettive: il dato personale risulta, quindi, un bene immateriale prezioso sotto una molteplicità di argomenti, lo sfruttamento deve essere accompagnato dalle dovute cautele e un elevato grado di responsabilità.
La tutela dei dati deve prevalere sui consumi e sulle sue inevitabili derivazioni/deviazioni a fronte di un uso fraudolento e contrario alle regole di convivenza civile, è indispensabile minimizzare l’utilizzo (verso la pseudonimizzazione) e rafforzare le difese (le c.d. misure minime di sicurezza, ovvero la c.d. cybersecurity) in chiave preventiva poiché (si comprende a chiari lettere) i rischi per le democrazie sono elevati: un uso distorto dei dati personali può efficacemente alterare gli esiti di un verdetto elettorale (libero): i compromessi con le grandi corporate governance non andrebbero accettati.
Il punto Considerando 4 del GDPR esprime il senso delle cose «Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità», dove si intravede la forza della legge e i suoi demoni.
Vi è una consapevolezza, est modus in rebus, in questo bilanciamento tra trasparenza e tutela del dato personale, i rischi alle libertà fondamentali sono elevati nel reticolato del loro trattamento, assumendo un ruolo primario sulla reale estensione della tutela della dignità umana: la dematerializzazione, i big data, i c.d. algoritmi di analisi, comportano dei rischi di intrusione nella sfera personale ed evidenti effetti collaterali, la tutela del dato personale ne rappresenta ancora (per poco) la cura.
A ben vedere, la massiccia profilassi di dati personali, il desiderio invadente di acquisire dati biometrici, la volontà di digitalizzare ogni cosa in un riflusso di connessione perpetua, apre la “via” alla robotica (dal ceco ròbota, “lavoro”), anticipando quella scienza da tempo definita del “post-umanesimo”, dove i progressi della bioetica e della I.A. (intelligenza artificiale) integrano l’uomo alla macchina per potenziare (andare oltre) le innate capacità naturali, interazioni tra corpi e silicio, nel produrre cyborg affidabili e obbedienti.
L’ingiustificata e sproporzionata raccolta, profilazione, trattamento dei dati personali potrebbe essere solo un inizio, un antecedente che la disciplina comunitaria del GDPR vorrebbe limitare o seguire, ma i fatti sono ben più avanti (vedi, il caso Cambridge Analytica, non isolato): vi è un bisogno di usare le dovute cautele quando gli effetti ancora non si conoscono ma già si intravede il concreto disvelarsi.
[1] Cass. Pen., sez. V, 17 dicembre 2013, n. 8426.
[2] Cass. Pen., sez. II, 23 gennaio 2019, n. 3262.
[3] NOBILIO, Italia Oggi, 12 febbraio 2019, pag. 48.
[4] «Profili generale di tutela dei dati personali nel recepimento del Regolamento UE 2016/679: tutele rafforzate, i dati genetici, biometrici e sulla salute», Comuni d’Italia, 2018, n. 12.