In queste settimane è al vaglio del Parlamento lo schema del Decreto legislativo di adeguamento della normativa nazionale alle disposizioni del GDPR, il nuovo Regolamento Europeo in materia di trattamento dei dati personali, in vigore dal 25 maggio scorso.

 

Nelle intenzioni del legislatore, il Decreto dovrebbe, da un lato, garantire una migliore protezione dei dati personali a livello nazionale nel rispetto delle regole fissate dal GDPR e, dall’altro, semplificare la gestione degli adempimenti burocratici e informativi.

 

Dopo una prima versione, che disponeva l’abrogazione integrale del D.lgs. 196/2003 contenente il Codice in materia di trattamento dei dati personali, la nuova bozza del provvedimento prevede interventi correttivi mirati: oltre alla cancellazione di numerosi articoli, l’introduzione di nuove disposizioni relative ad aspetti oggi non disciplinati a livello nazionale e la modifica di talune norme al fine di adeguarle al dettato del Regolamento europeo.

 

Rispetto al testo all’esame delle commissioni parlamentari, il Garante Privacy ha recentemente espresso, in linea generale, il proprio parere favorevole, individuando tuttavia una serie di punti sui quali il legislatore dovrebbe opportunamente intervenire con modifiche e integrazioni.

 

In particolare, per quanto riguarda il trattamento dei dati nell’ambito dei rapporti di lavoro, il Garante suggerisce di riformulare alcuni passaggi della norma per chiarire l’ambito di applicazione della disciplina relativa al trattamento dei dati “particolari” per esigenze di interesse pubblico o connessi all’esercizio di pubblici poteri.

 

Inoltre, il Garante interviene in merito all’utilizzo di strumenti di registrazione dei dati biometrici dei dipendenti per ragioni di efficienza e sicurezza, un aspetto particolarmente rilevante per l’organizzazione e la gestione dei rapporti di lavoro soprattutto nell’ambito di contesti lavorativi altamente tecnologizzati.

 

Per i dati biometrici – ossia quelli legati a determinate caratteristiche fisiche che identificano inequivocabilmente ogni persona, come ad esempio le impronte digitali, la conformazione del viso, la retina o l’iride, ecc. – il GDPR prevede una disciplina normativa particolarmente rigida e un generale divieto di trattamento.

 

Tuttavia, in deroga a tale divieto assoluto, il Regolamento europeo consente di trattare i dati biometrici a condizione che ciò sia necessario per l’assolvimento di obblighi o l’esercizio di diritti in materia di lavoro e sicurezza sociale, che il trattamento sia autorizzato dal diritto europeo o nazionale o da un contratto collettivo e che siano riconosciute garanzie appropriate per l’interessato.

 

Sul punto, l’Autorità garante della privacy suggerisce di inserire all’interno del Decreto legislativo una previsione che consenta il ricorso alla tecnologia biometrica per specifiche finalità di sicurezza: ad esempio, i dati possono essere utilizzati per affiancare o sostituire gli ordinari sistemi di autenticazione (ID, password alfanumerica, token, ecc.).

 

Secondo l’authority, inoltre, in linea con il quadro normativo precedente all’entrata in vigore del GDPR, i datori di lavoro possono utilizzare la tecnologia biometrica per regolare l’accesso ai sistemi e ai luoghi ove siano custoditi dati o informazioni particolarmente rilevanti.

 

È auspicabile che il legislatore accolga i suggerimenti del Garante riflettendoli nel provvedimento di prossima emanazione, che dovrebbe rappresentare uno strumento utile, per i privati e le imprese, ai fini di una corretta applicazione dei principi e delle prescrizioni del GDPR a livello nazionale.