Il Garante per la protezione dei dati personali ha nuovamente messo sotto esame la raccolta di dati biometrici nei luoghi di lavoro con sanzioni a più Società per non aver rispettato le prescrizioni sulla protezione dei dati dei lavoratori. Le imprese erano coinvolte nella gestione di appalti, e lo strumento di riconoscimento biometrico oggetto di indagine era utilizzato congiuntamente dalle varie Società come strumento di controllo delle presenze.
Secondo le memorie presentate dalle Società, la necessità di adottare tali misure è emersa nel corso del 2021, a fronte di un significativo aumento di casi di assenteismo, in particolare per via di timbrature ingannevoli che registravano la presenza di dipendenti effettivamente assenti. La situazione ha generato numerose controversie legali relative a richieste di compensazione per presunte ore di straordinario non lavorate, che la Società contestava. I tentativi di risolvere la questione attraverso i metodi convenzionali si sono rivelati inadeguati, soprattutto perché l'uso di cartellini presenze manuali rendeva impossibile verificare con precisione le ore lavorative effettive dei dipendenti. Di conseguenza, nel contesto di una legittima esercitazione del diritto di organizzazione e controllo sul corretto svolgimento del lavoro, le Società hanno deciso di implementare soluzioni biometriche volte a rimuovere le problematiche riscontrate. Ulteriormente, il fornitore del servizio di raccolta dei dati aveva reso una dichiarazione di conformità del sistema di riconoscimento facciale al Reg. Eu. 679/2016.
Le fasi del trattamento
Il Garante per la protezione dei dati personali ha sottolineato che il trattamento di dati biometrici avviene in due fasi distinte: la prima, nota come fase di registrazione o “enrolment”, durante la quale vengono raccolte le caratteristiche biometriche dell'interessato; la seconda fase è quella del riconoscimento biometrico, che si verifica nel momento in cui si procede alla verifica delle presenze. Conseguentemente, anche l'estrazione del cosiddetto “template biometrico” rappresenta un trattamento di dati biometrici, il quale è soggetto alle norme specifiche stabilite dalla legislazione vigente.
L'articolo 4, paragrafo 14, del Regolamento Europeo 679/2016, definisce i dati biometrici come informazioni derivanti da specifiche tecniche di trattamento che riguardano le caratteristiche fisiche, fisiologiche o comportamentali che permettono o confermano l'identità unica di un interessato, come l'aspetto del viso o le impronte digitali. Tra i dati biometrici si includono elementi come le impronte digitali, l'analisi della firma e la configurazione dell'iride. I dati biometrici rientrano nei cd dati particolari oggetto di specifica disciplina a norma dell'art. 9 del citato Regolamento a causa della loro natura intrinsecamente privata e personale. Nel contesto lavorativo, le raccolte delle presenze dei lavoratori possono essere considerate all'interno dell'ambito previsto dall'articolo 9, paragrafo 2, lettera b) del GDPR. Tuttavia, l'uso di dati biometrici per questi scopi è permesso solo “nella misura in cui tale trattamento sia autorizzato dalla legge dell'Unione Europea o delle singole nazioni […] e siano presenti misure di salvaguardia adeguate per proteggere i diritti fondamentali e gli interessi delle persone coinvolte”.
Ulteriormente, l'art. 2 septies del Codice privacy relativo alle misure di protezione per il trattamento di dati genetici, biometrici e relativi alla salute, stabilisce che tali trattamenti possono essere eseguiti solo in conformità alle previsioni dell'Autorità che ad oggi non consente il trattamento di dati biometrici nel contesto lavorativo.
Il trattamento di dati biometrici per la gestione quotidiana delle relazioni di lavoro, come la registrazione delle presenze, con l'obiettivo di prevenire abusi disciplinari, risolvere dispute su retribuzioni per lavoro straordinario, o monitorare la presenza del personale in cantiere risulta in contrasto ai principi di minimizzazione e proporzionalità del trattamento dei dati ex art. 5, paragrafo 1, lettera c), del Reg. Eu. 679/2016.
Secondo l'Autorità, le Società non hanno dimostrato né documentato quali fossero gli “ordinari strumenti di contrasto” precedentemente impiegati che hanno reso necessari l'implementazione di un sistema di riconoscimento facciale, quanto meno sono riuscite a dimostrare la ragione della loro inefficacia. Per monitorare le ore lavorative effettive e verificare la presenza dei dipendenti sul posto di lavoro, avrebbero potuto essere esplorate alternative meno invasive, come controlli automatici tramite badge o verifiche dirette.
Ulteriormente, l'evenienza sollevata dalle Società circa le qualifiche del fornitore che ha reso una dichiarazione sulla conformitàex art. 28 del GDPR non solleva i titolari del trattamento dalle responsabilità in caso di trattamenti contrari alla disciplina. Secondo il Garante il Titolare del trattamento avrebbe dovuto, prima di adottare dispositivi sviluppati da fornitori esterni, assicurarsi che il trattamento dei dati biometrici tramite tali dispositivi rispettasse i principi normativi vigenti anche in considerazione dell'attività sviluppata dall'Autorità sul punto.
Il titolare del trattamento è direttamente responsabile per l'osservanza dei principi generali relativi al trattamento dei dati e deve essere in grado di dimostrare tale conformità. Tale principio trova conferma nell'articolo 24 del GDPR, che attribuisce al titolare del trattamento specifici obblighi di accountability e di mantenere la completa signoria sulle attività di cui è titolare.
Approccio consolidato
L'Autorità prosegue nel suo approccio consolidato, ribadisce il divieto e considera illegittima la raccolta di dati biometrici nel contesto lavorativo, in linea con le decisioni passate. La costante posizione rappresenta un'ulteriore conferma dell'impegno a proteggere contro l'eccessiva intrusività delle tecnologie e del trattamento dei dati relativi ai dipendenti, che rappresentano la parte più vulnerabile in questo nuovo contesto. Laddove metodi alternativi esistano e possano offrire soluzioni equivalenti, questi devono essere preferiti a strumenti che seppur meno “comodi” e veloci sono in grado di offrire garanzie opportune al lavoratore. Resta ferma la necessaria indagine circa l'aderenza dello strumento che si intende adottare alle normative e prescrizioni privacy: onere a carico del datore di lavoro e che non può essere sostituita da una sempluce dichiarazione offerta da fornitori di servizi e sistemi.