Snellire la gestione delle presenze del personale non è un valido motivo per rilevare le impronte digitali dei dipendenti
Un recente provvedimento dell’Autorità Garante per la protezione dei dati personali (Provv. 10.11.2022, doc. web n.9832838) si è occupato nuovamente del trattamento di dati biometrici in ambienti di lavoro affermando che è ammissibile solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa.
Il principio è stato ribadito con riferimento al caso di una società sportiva che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti presso il club in gestione al dichiarato fine di garantire maggiore velocità e snellezza delle relative operazioni a fronte di ripetute dimenticanze nella timbratura tramite badge.
Il sistema biometrico prevedeva la creazione (fase di enrollment) di un modello biometrico (“template”) che veniva generato a seguito di registrazione tramite impronta digitale, di cui il relativo template restava unicamente nel dispositivo fisico installato nelle varie sedi dei club. Non vi era alcuna registrazione di dati biometrici grezzi. Inoltre, la società aveva rilasciato ai dipendenti una informativa privacy concernente il rapporto di lavoro, che in calce alla sezione “Presa visione del dipendente – Consenso al trattamento”, compariva la seguente frase: “Per quanto riguarda il trattamento dei miei dati biometrici (impronta digitale) per il monitoraggio e registrazione degli accessi/uscite che il Titolare tratterà con la massima attenzione e con l’utilizzo di idonei sistemi informatici, con la presente sottoscrizione rilascio mio espresso consenso al trattamento suddetto per le finalità indicate”.
Infine, la società aveva rappresentato al Garante che i dipendenti erano al corrente che, comunque, era attivo un sistema di rilevazione tradizionale tramite badge.
Ancora una volta il caso è stato sollevato e portato all’attenzione del Garante da una organizzazione sindacale che lamentava la violazione della disciplina sul controllo a distanza.
L’Autorità ha rilevato che la società effettuava un trattamento di dati biometrici posto che, vi è trattamento di tale tipologia di dati sia nella fase di registrazione (c.d. enrollment, consistente nella acquisizione delle caratteristiche biometriche – nella specie impronte digitali) sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze.
Ciò anche alla luce della definizione di dati biometrici fornita dal Regolamento ( art. 4, n. 14, del Regolamento) che ha altresì inserito tale tipologia di dati tra i “dati particolari” (art. 9, par. 1 del GDPR). Sul punto il trattamento di dati biometrici (di regola vietato ai sensi del richiamato art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento UE e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento).
Sul punto osserva il Garante che nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possono rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento in quanto implicano un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro [e della sicurezza sociale e protezione sociale]” tuttavia il trattamento dei dati biometrici sarà consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento). In tale quadro, affinché uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente iniziato è pertanto necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.
