NEWS

I lettori di badge che scattano la foto al dipendente non rispettano la privacy

Quello dei “furbetti del cartellino” è da tempo un problema spinoso che datori di lavoro pubblici e privati cercano di risolvere, escogitando spesso soluzioni tecnologiche che non sempre però sono rispettose della normativa sulla protezione dei dati personali.

I sistemi di rilevazione delle presenze del personale devono rispettare la privacy dei dipendenti


Nel corso degli anni vi sono stati vari tentativi di arginare il fenomeno attraverso sistemi di rilevazione delle presenze del personale che verificassero l’impronta digitale del lavoratore, ma anche di recente il Garante per la privacy non ha accolto troppo bene le misure approntate dal Ministero della Pubblica Amministrazione per contrastare il fenomeno dell’assenteismo raccogliendo rilevando dati biometrici come le impronte digitali, e nel parere del 19 settembre 2019 [doc. web 9147290] ha sollevato forti perplessità su “profili di dubbia compatibilità con la disciplina europea e nazionale in materia di protezione dei dati personali”.

Non solo il Garante italiano ha di regola ritenuto sproporzionato l’impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori, ma anche i tribunali hanno confermato i provvedimenti adottati dall’Autorità nei confronti delle imprese che non avevano tenuto conto della normativa sulla privacy, come nel caso della sentenza della Cassazione n.25686/2018, in cui la Suprema Corte aveva convalidato una sanzione di 66mila euro ad un’azienda siciliana che senza farsi troppi scrupoli aveva implementato un sistema di rilevazione accessi imperniato sulla lettura di smart badge contenenti modelli biometrici della mano dei lavoratori.

Anche se non è generalmente ritenuto ammissibile rilevare le presenze dei dipendenti utilizzando impronte digitali, l’immagine del palmo della mano, o altri dati biometrici dell’interessato, d’altra parte i datori di lavoro non si rassegnano e continuano a cercare rimedi efficaci, che in genere prevedono però l’uso di dati personali, e che per questo richiedono attente valutazioni sulla compatibilità con il Gdpr ed il resto della disciplina applicabile.

Una delle ultime proposte del mercato che cerca di prendere una scorciatoia per evitare le criticità tipiche dei dati biometrici, è quella dei lettori di badge con foto automatica che viene scattata al dipendente tramite una webcam ad ogni suo ingresso al lavoro per verificare l’identità della persona che passa il cartellino.

Se è pur vero che, in linea di principio, l’immagine di un individuo non è di per sé un’informazione sensibile che rientra nelle categorie particolari di dati personali ai sensi dell’art.9 del Regolamento UE 2016/679, d’altra parte anche questo tipo di soluzione non ha incontrato il favore delle autorità di controllo.

Stavolta a pronunciarsi è la Cnil, (Commission nationale de l'informatique et des libertés), che ha ritenuto troppo invasivo uno strumento che per rilevare le presenze dei lavoratori debba raccogliere obbligatoriamente e sistematicamente la fotografia del dipendente da due a quattro volte al giorno.

Un lettore di badge che fotografa il dipendente non rispetta il Gdpr

Secondo Marie-Laure Denis, presidente dell’autorità di controllo francese, l’utilizzo di tali strumenti da parte di aziende ed enti pubblici per il controllo dell’orario di lavoro viola il principio di “minimizzazione” prescritto dall’art. 5 del Gdpr, il quale richiede che i dati personali vengano trattati nel rispetto dei principi di liceità, necessità, proporzionalità e finalità, e che perciò "nessuno può porre restrizioni ai diritti delle persone e alle libertà individuali e collettive che non siano giustificate dalla natura del compito da svolgere o proporzionate allo scopo perseguito".

Allo stato attuale, salvo circostanze particolari e debitamente motivate, gli strumenti più efficaci per registrare e verificare le presenze dei dipendenti che siano anche compatibili con la privacy degli interessati, rimangono quindi i classici orologi marcatempo con i cartellini o badge da strisciare all’ingresso e all’uscita dal lavoro, i quali “sono sufficienti a garantire il controllo degli orari del personale”, come ha sottolineato la Cnil in un comunicato pubblicato a seguito di alcune denunce ricevute da dipendenti di organizzazioni pubbliche e private che hanno installato gli apparecchi che scattano la foto automatica, e che adesso dovranno quindi correre ai ripari entro tre mesi, termine concesso dall’autorità francese prima di intervenire con le sanzioni.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Per anonimizzare i dati personali non basta sostituire nome e cognome con le sole iniziali
Next Data breach: l’autodenuncia tempestiva non esonera il titolare del trattamento dalle proprie responsabilità

Il Data Protection Officer

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'informativa privacy