I sistemi biometrici di rilevazione delle presenze vìolano la privacy dei lavoratori per cui non è consentita l’acquisizione delle impronte digitali per accertare le presenze sul lavoro
Nota a Garante per la protezione dei dati personali, ordinanza di ingiunzione 10 novembre 2022, n. 369
Fabrizio Girolami
Il Garante per la privacy, con l’ordinanza ingiunzione n. 369 del 10.11.2022, ha condannato Sportitalia, società sportiva dilettantistica a responsabilità limitata, al pagamento di Euro 20.000 a titolo di sanzione amministrativa pecuniaria per aver trattato i “dati biometrici” di dipendenti e collaboratori (tramite un sistema biometrico di rilevazione delle presenze presso i Club gestiti) in modo non conforme alla disciplina (europea e nazionale) vigente in materia.
Come noto, le impronte digitali sono “dati biometrici”, intendendosi per tali i dati personali “ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, n. 14, Regolamento UE n. 679/2016, di seguito “GDPR”). Questi dati rientrano tra le “categorie particolari di dati” considerate meritevoli di “tutela rafforzata” (art. 9 GDPR) in quanto il loro trattamento può presentare un “rischio elevato per i diritti e le libertà delle persone fisiche”.
Nel caso di specie, la società – a partire da ottobre 2018 e per 4 anni – aveva installato un sistema biometrico basato sulla rilevazione dell’impronta digitale e sull’associazione della stessa ad un codice assegnato al dipendente per “agevolare i dipendenti nella registrazione dell’orario di entrata e di uscita” e adottare un sistema “più snello e veloce” rispetto a quello precedente basato sul badge (rigettando, a tal fine, la richiesta dell’OO.SS. di adottare “mezzi meno invasivi” tramite “procedimenti non biometrici”).
Il Garante ha sanzionato la società, osservando principalmente quanto segue:
- secondo la disciplina europea, il trattamento dei dati biometrici (di regola, vietato ai sensi del richiamato art. 9, par. 1, GDPR) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2, GDPR e – con riguardo ai trattamenti effettuati in ambito lavorativo – solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”;
- anche il legislatore italiano (art. 2-septies, D.Lgs. n. 196/2003: c.d. Codice della privacy) ha prescritto che i dati biometrici possono essere trattati solo in presenza di una delle condizioni di cui all’art. 9, par. 2, GDPR e ha integrato le previsioni del GDPR, richiedendo anche la conformità del trattamento alle “misure di garanzia” disposte dal Garante;
- il datore di lavoro deve, in ogni caso, rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5, Regolamento). I dati devono, inoltre, essere “trattati in maniera da garantire un’adeguata sicurezza” degli stessi, “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (artt. 5, par. 1, lett. f), e 32 GDPR);
- in questa cornice, l’utilizzo del dato biometrico nell’ordinaria gestione del rapporto di lavoro, al dichiarato fine di garantire maggiore velocità e snellezza delle operazioni, non è conforme ai principi di “minimizzazione” e “proporzionalità” del trattamento (art. 5 GDPR);
- né costituisce circostanza dirimente il fatto che – in relazione a tale sistema di rilevazione biometrico – tutti i dipendenti avevano “prestato il loro consenso libero, specifico e rilasciato per iscritto”, in quanto il trattamento è stato comunque posto in assenza di una idonea base giuridica, non soddisfacendo le condizioni prescritte dal richiamato art. 9, par. 2, GDPR;
- in quest’ottica il consenso del lavoratore “non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro, ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà della manifestazione di volontà del dipendente”;
- i sistemi di rilevazione biometrica delle impronte digitali, per finalità di controllo delle presenze sui luoghi di lavoro, sono illegittimi, laddove possano essere utilizzate modalità alternative e meno invasive per perseguire il medesimo interesse, come l’utilizzo di badge.
Alla luce delle considerazioni del Garante, appare evidente che l’ambito di operatività del trattamento dei dati biometrici nei luoghi di lavoro appare assai limitato e circoscritto a ipotesi meramente residuali, ancorate a una idonea “base giuridica” di riferimento. Si pensi, a titolo esemplificativo, ai sistemi biometrici per il controllo degli accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte (processi produttivi pericolosi o sottoposti a segreti di varia natura) o per la tutela di locali destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (banche o aeroporti).