“Non solo non sono pentita ma intendo rilanciare il riconoscimento biometrico che a volte avviene attraverso l’iride o con l’impronta digitale”: l’ha detto la Ministra della Pubblica amministrazione, Giulia Bongiorno, confermando la sua ipotesi di soluzione all’antipatico problema di chi striscia il cartellino per gli altri. Partiamo col precisare di cosa si tratta. I sistemi di riconoscimento biometrico sono un particolare tipo di modello informatico che ha la funzionalità e lo scopo di identificare una persona sulla base di una o più caratteristiche biologiche e/o comportamentali (biometria), confrontandole con i dati, precedentemente acquisiti, tramite degli algoritmi e dei sensori di acquisizione dei dati in input. Alle recenti dichiarazioni della neo Ministra della Funzione Pubblica, che ha precisato “i controlli biometrici saranno inseriti nell’ambito di un provvedimento e credo che saranno accettati con tranquillità, perché tutelano quelli che lavorano”, oltre agli aspetti squisitamente “sindacali”, “politici” e “comunicativi” della questione, sinceramente mi sono balenati degli interrogativi più prettamente giuridici, ossia, sulla questione, cosa prescrive la normativa vigente e quali sono gli orientamenti maggioritari delle autorità competenti in materia? Con ciò, però, non bisogna assolutamente dimenticare i profili premessi a questi interrogativi: quelli sindacali, politici e comunicativi.

Le parole della Ministra sembrano ingranare la retromarcia rispetto a una storia recente che, come organizzazione sindacale, ci ha visto protagonisti di un rilancio della funzione sociale dei lavoratori della P.A., che è passato dapprima nell’aver calato il sipario su dieci anni ininterrotti di cieca e indiscriminata criminalizzazione mediatica dei dipendenti pubblici. La concertazione degli ultimi due anni è stata in grado di restituire dignità a questi lavoratori e di cambiare l’idea stessa di Pubblica Amministrazione, non più vista come mera spesa improduttiva ma quale valore aggiunto ed essenziale per il benessere della collettività. Per questo le dichiarazioni della nuova Ministra sembrano voler fare un tuffo in un passato che ha fatto della strumentalizzazione mediatica di alcuni episodi il suo scudo per approvare indisturbata, anzi plaudita dall’opinione pubblica, provvedimenti solo ed esclusivamente repressivi. Sul fronte, da parte nostra, tante parole sono state spese ma, soprattutto, tanto lavoro fatto per cambiare registro, ribadendo sempre che chi sbaglia deve pagare e a tal fine, sia nel nuovo Testo Unico sia negli ultimi rinnovi contrattuali, sono state previste le regole per contrastare gli spiacevoli fenomeni di assenteismo. Per questo motivo, preferisco non soffermarmi oltre sul punto e tornare sulle domande giuridiche che mi sono posto. Per dare una risposta compiuta, ho pensato che fosse innanzitutto il caso di capire di cosa stessimo parlando e quale fosse la reale diffusione di questi rilevatori anche sul mercato.

Ebbene, se solo nel decennio scorso l’utilizzo di sistemi biometrici di riconoscimento poteva costituire la trama di un buon film di fantascienza, ora, a quanto pare, questi strumenti sono acquistabili sul mercato anche a prezzi sostenibili per le aziende. Si passa da sistemi biometrici che rilevano l’impronta digitale a quelli che confrontano la forma della mano, l’iride, il tono della voce, perfino il peso o addirittura una composizione di questi dati. Costatata l’offerta e la facile reperibilità del prodotto sul mercato, nei fatti come funzionerebbero questi apparecchi? Forse proprio qui è possibile capire la loro incidenza in termini di tutela o violazione della privacy. Il grande tema riguarda, infatti, i problemi legati alla privacy e nello specifico: dove sono memorizzati i dati biometrici e con quale cura vengono custoditi? Qui sorge, infatti, la questione dell’archiviazione degli eventuali dati sensibili richiesti ai lavoratori ai fini del rilevamento delle loro presenze in servizio. In sostanza si tratta proprio di questo, ossia della messa in disponibilità di dati sensibili legati alla personalità del singolo individuo al solo fine di certificare la sua presenza sul posto di lavoro. La discussione tra i diversi orientamenti, quindi, si traduce in un giudizio di proporzionalità o meno dell’eventuale misura presa dalla parte datoriale e ancora, di bilanciamento tra l’esigenza di quest’ultimo di prevenire ed evitare false attestazioni da parte dei suoi dipendenti e il diritto, di quest’ultimi, alla protezione dei propri dati personali.

La tecnologia, però, sul punto, in teoria, avrebbe già superato il problema della custodia di questi dati. Con riferimento per esempio alle impronte digitali un primo passo si è già riscontrato con nuovi sistemi, i quali non memorizzano l’immagine dell’impronta e neppure i dati “geometrici” della stessa ma solo una sorta di derivazione, un calcolo fatto sull’impronta che determina una stringa di testo (in gergo viene chiamata “template”) non reversibile. Da questa stringa di testo, quindi, non è possibile ricostruire l’impronta originaria ma è possibile, se si sottopone di nuovo la stessa impronta alla procedura di scansione e calcolo, solo riottenere la stringa precedentemente memorizzata. Più che scrittura biometrica, è corretto dire che ci troveremmo di fronte a un sistema di lettura biometrica. Chi s’impossessasse, violando l’integrità del sistema, delle stringhe identificative, non entrerebbe in possesso di alcun dato biometrico, almeno diretto. Per ovviare anche questa preoccupazione, gli ultimi modelli sono stati resi ancora più sicuri: il dato di derivazione biometrica viene memorizzato in un badge in possesso del lavoratore e non nel sistema. Non c’è archiviazione di alcun ché, l’unico possessore del dato da confrontare al momento dell’ingresso è lo stesso lavoratore soggetto a controllo. Come funziona? Il lavoratore passa il badge e poi appoggia il dito sul lettore: i due dati vengono confrontati e se corrispondono viene dato al computer centrale un assenso alla timbratura senza che esso ospiti alcun dato di derivazione biometrica.

Compresa l’evoluzione e il funzionamento di questi apparecchi, rimane il fatto che il loro utilizzo pone comunque un serio interrogativo sulla “legalità” di strumenti che sono in grado di tracciare e utilizzare le caratteristiche che contraddistinguono in maniera pressoché inequivocabile un essere umano: fino a che punto la misurazione e catalogazione delle caratteristiche (fisiche) individuali debbono essere protette? Sotto questo profilo non è rimasto all’angolo il diritto, che anzi ha prodotto una fitta e severa regolamentazione del fenomeno. La biometria per la rilevazione presenze in Italia, oltre che alle linee guida del Garante Privacy, deve essere conforme allo Statuto dei lavoratori, al Libro Unico del Lavoro, alle raccomandazioni INAIL e INPS, alle prescrizioni dell’Ispettorato del lavoro. Non si tratta, dunque, di un terreno inesplorato su cui potersi facilmente avventurare, innovando dall’oggi al domani le correnti procedure di timbratura. Un ipotetico decreto dovrebbe tener conto, infatti, di tutta la regolamentazione e gli orientamenti cristallizzatisi nel tempo. Anche perché, quest’ultimi, tra l’altro, sembrano tutt’altro che sostenitori della biometria che si va annunciando come panacea dei ritenuti mali degli uffici pubblici.

Vediamo un po’ di cosa stiamo parlando. In primo luogo, nelle linee guida in materia di trattamento di dati personali dei lavoratori pubblici e privati per finalità di gestione del rapporto di lavoro, stilate dal Garante per la protezione dei dati personali, si afferma che “L’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito. Tali dati, per la loro peculiare natura, richiedono l’adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l’abusiva “ricostruzione” dell’impronta, partendo dal modello di riferimento, e la sua ulteriore “utilizzazione” a loro insaputa. L’utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore”. Aggiunge, poi, tutta una serie di prescrizioni “nei casi in cui l’uso dei dati biometrici è consentito […] I sistemi informativi devono essere infatti configurati in modo da ridurre al minimo l’utilizzazione di dati personali e da escluderne il trattamento” - concetto quest’ultimo ripreso dall’art. 3 del Codice della privacy -, pertanto si ritiene “adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate […] su un supporto posto nell’esclusiva disponibilità dell’interessato e privo di indicazioni nominative riferibili a quest’ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale)”, di conseguenza “evitando la costituzione di un archivio di delicati dati biometrici”. Si precisa, inoltre, che al fine dell’utilizzo di questi dati è necessario “raccogliere il preventivo consenso informato degli interessati”.

Con riferimento al pubblico impiego, nelle apposite linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico si ribadisce che“anche nell’ambito del pubblico impiego, non è consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali, iride) per controllare le presenze o gli accessi sul luogo di lavoro”. Senonché il Garante può autorizzare l’attivazione di tali sistemi solo in presenza di particolari esigenze (aree adibite alla sicurezza dello Stato, torri di controllo, conservazione di oggetti di particolare valore) e con precise garanzie (verifica preliminare dell’Autorità, divieto archivi centralizzati, codice cifrato dell’impronta memorizzato solo nel badge del dipendente). Successivamente, nel 2014, l’Autorità ha pubblicato le Linee-guida in materia di riconoscimento biometrico e firma grafometrica, dove sono stati elencati i principi in base ai quali stabilire se un trattamento di dati biometrici sia o meno realizzabile: liceità, necessità, finalità e proporzionalità. La contesa si concentra fondamentalmente sulla “necessità” del trattamento del dato biometrico, dato che l’Ordinamento in linea di principio vieta l’utilizzo dell’impronta digitale al posto del cartellino o badge magnetico, perché tali metodi sono sostanzialmente equiparabili allo strumento tecnologicamente più avanzato. L’utilizzo della tecnologia del lettore di impronte digitali impone quindi l’utilizzo di un dato strettamente personale e privato per ragioni che possono essere ricondotte (nella generalità dei casi) esclusivamente alla maggior comodità e praticità del sistema, il ché non rappresenta una motivazione sufficientemente meritevole secondo i principi succitati.

Lo stesso Garante chiarisce, infatti, che “resta privo di giuridico fondamento l’utilizzo di sistemi di rilevazione delle impronte digitali per verificare l’esatto adempimento di prestazioni lavorative, ove siano attivabili misure “convenzionali” non lesive dei diritti della persona quali, ad esempio, apposizioni di firme anche in presenza di eventuale personale incaricato, fogli di presenza o sistemi di timbratura mediante badge magnetico”. In conclusione, di regola, non è consentito il trattamento di dati relativi alle impronte digitali per accertare le ore di lavoro effettivamente prestate dal personale, anche se nell’esigenza di computare con sistemi oggettivi le turnazioni, l’orario flessibile, il recupero, i permessi, il lavoro straordinario, i buoni pasto, nonché di prevenire eventuali usi abusivi o dimenticanze del badge. Fatta questa premessa, soffermiamoci, quindi, a vedere quali sono stati i casi in cui l’Autorità garante ha valutato leciti questi modelli di rilevazione delle presenze. Nel settore pubblico, ad esempio, una prima approvazione in tal senso - non tralasciando, però, di indicare una serie di accorgimenti da adottare - si è avuta nei confronti di un’azienda ospedaliera di Ragusa, la quale aveva avanzato richiesta di verifica preliminare per la sola raccolta di dati biometrici, desunti dall´impronta digitale, di pazienti e personale sanitario da associare alle sacche di sangue destinate alla trasfusione, per prevenire errori di identificazione di pazienti o delle unità di sangue in sede di trasfusione, fonti di conseguenze gravissime per la salute.

Anche in un caso affine perché legato alla salute della persona, l´adozione di tale provvedimento è risultata opportuna a seguito di una richiesta, avanzata da una società che gestisce servizi idrici, per trattare i dati biometrici dei dipendenti con l’intento di controllarne gli accessi a impianti di potabilizzazione e alle sedi centrale e periferiche della società. Il trattamento è stato ritenuto lecito, tenendo conto della finalità di incrementare la sicurezza dell´impianto idrico anche con misure preventive a tutela della qualità delle acque e di assicurare così la salute pubblica. Si è, tuttavia, ravvisata l´esigenza di trattare i dati biometrici solo dei lavoratori per i quali, a seguito di una ricognizione preventiva, la società avesse costatato e documentato l´effettiva necessità di accedere alle aree meritevoli di protezione. Diversa, invece, la fattispecie di cui al provvedimento n. 357 del 15 settembre 2016, con cui il Garante ha autorizzato l’utilizzo dei citati sistemi, in via eccezionale, per una situazione non attinente all’accesso in aree riservate o alla gestione di materiali pericolosi. Si affronta sempre il tema della certezza della cura del paziente, che, però, in questo caso, poteva essere minata dall’elevato tasso di assenteismo del personale ospedaliero, coinvolto in un´indagine giudiziaria, riscontrato nell’azienda richiedente.

La vicenda aveva avuto una notevole risonanza sulla stampa e sul web, ingenerando “allarme sociale” e “discredito” per l´Azienda. Per tali ragioni, l’Autorità ha ritenuto meritevole la richiesta di verifica preliminare, presentata dalla struttura commissariale dell’Azienda ospedaliera di Salerno, per la raccolta dei dati biometrici “al fine di ripristinare il rispetto della legalità e di ristorare la fiducia dell´utenza che si rivolge a questa Azienda affidandole il bene più prezioso: la salute”. Tutto ciò sulla scorta delle diverse motivazioni addotte: le caratteristiche del luogo (diversi padiglioni di epoche diverse che compongono il plesso ospedaliero) che non rendevano possibile l’installazione di varchi di accesso o tornelli nei pressi dei marcatempo che consentissero il passaggio di una persona alla volta; le difficoltà nel verificare la presenza del personale in luoghi circoscritti a causa della vastità dell’area e della necessità dei lavoratori di spostarsi per servizio tra padiglioni diversi; l’impossibilità di garantire un controllo costante delle presenze da parte dei dirigenti preposti a tal fine, in quanto comunque spesso impegnati nella pratica medica o chirurgica negli ambulatori e nei reparti dell’ospedale. Pertanto, “tenuto altresì conto della specifica realtà lavorativa e dell´elevato numero di lavoratori coinvolti dagli accertamenti interni e dalle indagini dell´autorità giudiziaria” e stante l´inefficacia dei sistemi di rilevazione delle presenze in uso, “l´uso generalizzato di un sistema di rilevazione biometrica è necessario nel caso di questa Azienda, a causa del generalizzato sistema di illegalità messo in luce dall´attività investigativa della magistratura”.

Restavano ferme, nel caso di specie “assolutamente peculiare”, tutte le prescrizioni a cui l’azienda è tenuta in base alla normativa vigente (come l’informativa preventiva ai dipendenti). In sostanza, si tratta dell’unico precedente che potrebbe avallare l’iniziativa ipotizzata della neo Ministra ma non è così, perché proprio questo caso ci dimostra la sua peculiarità, giustificata da una serie di ragioni puntualmente circostanziate dal datore di lavoro. Da qui alla generalizzazione di un nuovo sistema “marcatempo” passa molto. Ribadisco, infatti, che a normativa vigente, l’uso generalizzato di sistemi biometrici non è lecito, anche se, in quest’ambito, la tecnologia e il suo mercato offre diverse soluzioni per mandare in “pensione” il vecchio cartellino. Ad esempio, ci sono i “georecinti”! Il cosiddetto “geofencing” è una sorta di recinto virtuale che, grazie a una serie di “radiofari” da installare lungo i varchi di ingresso e uscita o anche distribuiti nelle diverse aree dell’azienda, è in grado di determinare la presenza o meno di un addetto, o meglio la presenza del suo badge. Sistemi simili sono stati ipotizzati anche per scuole o comunità, per sapere precisamente quante persone sono presenti nella struttura e gestire in maniera certa la completa evacuazione in caso di problemi o calamità. La sicurezza è vista, giustamente, come un’esigenza superiore rispetto alla semplice rilevazione delle presenze, tuttavia un sistema di questo tipo potrebbe anche segnalare quando un badge esce dal “recinto” aziendale, prevenendo quindi le “missioni” esterne non autorizzate.

Ovviamente in questo caso le implicazioni legate alla privacy si fanno più complesse: difficile dimostrare che un sistema di tracciamento di questo tipo, forse più adatto alla gestione di un parco autoveicoli o di altri oggetti, possa essere proporzionato alla sola esigenza di tracciare in maniera massiva l’orario di lavoro e la “fedeltà” del lavoratore; andrebbe poi capito come gestire le tante eccezioni, come le missioni in esterna, le trasferte o semplicemente la cortesia di accompagnare un ospite fino a fuori dal cancello. Non manca poi un’altra soluzione: quella legata allo smartphone. Molti italiani oramai lo hanno sperimentato: basta la lettura di un’impronta digitale per farsi riconoscere univocamente dal proprio telefonino. In tal modo si potrebbe timbrare virtualmente ovunque, comunicando anche la posizione geografica nella quale si compie l’operazione. Secondo alcuni, sarebbe ideale per i lavoratori in esterna o quelli in trasferta. In pratica, il lavoratore non certifica solo l’inizio del proprio turno ma anche la posizione geografica (tramite geolocalizzazione), cosa che dà ulteriore certezza sul fatto che esso si trovi in un luogo compatibile con la sua mansione. Insomma, mentre la tecnologia corre, il nuovo articolo 4 dello Statuto dei Lavoratori, come modificato dal Jobs Act, ha escluso esplicitamente dall’ambito delle contrattazioni sindacali i temi relativi ai sistemi di rilevazioni delle presenze, lasciando al datore di lavoro la possibilità di scegliere il sistema che preferisce, a patto che sia pienamente rispondente alle normative in vigore. Le stringenti prescrizioni, tuttavia, non hanno cambiato molto gli scenari odierni ma, a voler accettare questo futuro, quello che ci si domanda è: quali sono le implicazioni sulla persona? Non sarebbe forse preferibile sensibilizzare prima il lavoratore? Una ricetta semplice che su base empirica potrebbe funzionare più di tanti controlli.