Mi sembra che sfuggano alcuni punti importanti nel dibattito – scoppiato in questi giorni – sul rispetto della privacy nell’utilizzo di tecniche biometriche per il controllo delle presenze del personale della pubblica amministrazione (via impronte digitale).
Il dibattito si è acceso dopo le considerazioni sul tema del Presidente dell’Autorità per la protezione dei dati personali, Antonello Soro e la replica del Ministro per la pubblica amministrazione Giulia Bongiorno.
Dalle dichiarazioni riportate nei comunicati stampa possiamo subito rilevare che la replica del Ministro Bongiorno al Garante privacy è di difesa di quanto si vuole stabilire nel cosiddetto DDL Concretezza… ma con una tematica tecnica che spieghiamo nelle righe successive. Ciò a fronte di perplessità giuridiche del Garante.
E’ questo il punto chiave.
Non è di natura tecnica, infatti, il rilievo mosso dal Presidente dell’Autorità per la protezione dei dati personali, Antonello Soro, le cui considerazioni sul DDL concretezza sono piuttosto di natura giuridica e si riferiscono ai principi di necessità e proporzionalità introdotti dal GDPR.
Al di là delle ragioni dell’uno o dell’altra, a giudizio di chi scrive ci sono anche una serie di aspetti forse sottovalutati in questo dibattito: la necessità di avviare una sperimentazione per valutare l’impatto della novità e quello relativo al rapporto costi-benefici.
La questione: il badge per i dipendenti pubblici
Il tema è quello del badge, la tessera plastica personale che è anche identificativa (salvo le note limitazioni per il personale a contatto con il pubblico) dell’identità della persona all’interno dell’edificio. In genere presso le pubbliche amministrazioni l’esposizione del badge è obbligatoria per motivi di sicurezza.
Il badge può essere utilizzato tramite la banda magnetica o sempre più spesso tramite l’elettronica “priva di contatti” (contactless) con l’associata antenna di trasmissione/ricezione e il microchip attivato dal terminale dove è allocato il tornello che quindi si apre e si può registrare anche l’orario.
In assenza di tornello, il meccanismo rimane uguale anche se non esiste la barriera fisica del medesimo.
La biometria contro i “furbetti” del cartellino
In una serie di situazioni (dopo peraltro lunghe e complesse indagini) si è accertato che il personale timbrava per altri ovvero si allontanava temporaneamente dal posto di lavoro dopo aver timbrato l’ingresso.
La biometria rappresenta una modalità seducente di risolvere il problema, in quanto oltre al principio del possesso del badge associa il principio del “quello che sono” utilizzando l’unicità delle caratteristiche fisiche dell’individuo.
Il metodo più utilizzato in questi scenari è un badge che contiene un codice alfanumerico derivato dall’impronta digitale tramite un algoritmo che memorizza le principali caratteristiche dell’impronta denominate minuzie.
Questo codice è denominato template e viene memorizzato in modo protetto nel badge al fine di evitare la copia o l’uso illecito del dato. Dal template, in nessun modo è possibile risalire all’impronta digitale che lo ha determinato.
L’operazione di timbratura avviene utilizzando il badge e contemporaneamente ponendo il dito sul lettore di impronte. Il sistema ricalcola il template ed effettuato il confronto positivo fa scattare l’apertura del tornello e la timbratura oraria.
Ovviamente le operazioni di timbratura sono più lente, i lettori devono essere puliti con frequenza nelle ore di punta e c’è una percentuale di soggetti con difficoltà di utilizzo delle impronte.
Nessun problema di privacy
Ci sono una serie di variazioni tecnologiche sul tema ma in nessuna di queste ci sono problemi di privacy che non siano risolubili in conformità al Provvedimento generale prescrittivo sulla biometria del 12 novembre 2014. In particolare nell’allegato A, tra l’altro, viene analizzato il controllo d’accesso tramite impronte digitali. Vengono stabilite una serie di regole che sono di buon senso e che sono tutte applicabili.
Solo l’obbligo di un lettore di impronta che assicuri la vivezza (cioè il fatto sia verificato un dito reale e non un manufatto plastico) appare costoso e di complessa acquisitone.
Ma anche questo elemento è superabile applicando lo strumento del Privacy Impact Assessment (PIA) stabilito nel regolamento UE 679/2016 – GDPR.
Concludendo queste considerazioni è possibile dire che non viola la privacy un processo dove al dipendente vengono acquisite le impronte; le impronte vengono scritte nel badge; le informazioni iniziali e i dati grezzi derivati da passaggi elaborativi intermedi vengono cancellati in modo completo e definitivo.
L’amministrazione non ha alcun dato del dipendente se non la copia del badge di riserva presso l’Ufficio del personale o presso la reception.
DDL concretezza, cosa ha contestato il Garante
Quello che ha contestato il Garante per la protezione dei dati personali al DDL concretezza è un’altra cosa ovvero le considerazioni sono di natura giuridica relativa al regolamento europeo GDPR e si riferiscono ai principi di necessità e proporzionalità.
Il ricorso a tali sistemi “in presenza di fattori di rischio specifici, ovvero di particolari presupposti quali ad esempio le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale”. E dunque non in maniera generalizzata a tutte le pubbliche amministrazioni. Inoltre secondo il Garante “sarebbe opportuno modificare il testo prevedendo espressamente l’alternatività del ricorso alla rilevazione biometrica e alle video riprese”.
Come è evidente quindi il Garante non contesta l’aspetto tecnico del rilevamento biometrico e introduce il tema della video sorveglianza (che in sede di indagine ha svelato i soggetti che timbravano e uscivano ovvero la timbratura multipla con badge di altri dipendenti).
Il Garante in sostanza dice che bisogna effettuare l’analisi del rischio e individuare le situazioni dove è molto utile intervenire in alternativa a strumenti biometrici o video.
In questi termini il Garante si è già espresso positivamente, per esempio in un struttura ospedaliera.
Il rapporto costi-benefici della rilevazione biometrica
In termini di mera logica è evidente che l’introduzione della biometria è un elemento di costo significativo. L’impianto è impegnativo anche in termini organizzativi e sostanzialmente inutile in strutture senza tornelli o ad alta mobilità del personale.
L’affidabilità del sistema è elevata in termini prestazionali ma è certamente più lenta rispetto al tradizionale badge con una percentuale bassa ma non nulla di falsi negativi ovvero di soggetti validi che non vengono riconosciuti.
Chi scrive si astrae dal dibattito politico e istituzionale ma ritiene opportuno sottolineare che prima di partire a spron battuto sul tema sarebbe opportuna una sperimentazione su un’amministrazione media per valutare gli impatti reali operativi della novità.
La tecnologia disponibile sul mercato è varia e tutta pienamente rispettosa della privacy “tecnologica”.
Il dubbio finale che rimane è su chi abbia fatto un’analisi costi benefici e con quali risultati. Certamente l’unico problema che si risolve realmente è quello dell’impossibile cessione del badge a un terzo.
E attenzione a usare lettori di impronte immuni ai simulacri plastici di impronte che non sono così difficili da fabbricare.
