Il trattamento dei dati biometrici nel contesto lavorativo

Il trattamento dei dati biometrici nel contesto lavorativo
L’utilizzo dei dati biometrici nel contesto lavorativo può essere utilizzato per diverse ragioni, come il controllo degli accessi, la registrazione delle presenze, l’autenticazione per l’accesso a sistemi informatici o la gestione della produttività. Tuttavia, è fondamentale che l’elaborazione di tali dati sia proporzionata e adeguata allo scopo per il quale sono raccolti.
Fonti normative

I dati biometrici vengono definiti dall’articolo 4 n. 14) del Regolamento (UE) 2016/679 (di seguito “Regolamento” o “GDPR”) come quei “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Tra i dati biometrici si possono ricomprendere le impronte digitali, la forma dell’iride, la fisionomia del volto, ma nella categoria sono inoltre da includersi azioni comportamentali come l’impronta vocale e le dinamiche di apposizione della firma (V. Provv. Garante per la Protezione dei Dati Personali del 12 novembre 2014).

Secondo quanto disposto dall’articolo 9 del GDPR, il trattamento dei dati biometrici (considerati dal Regolamento categorie particolari di dati) di regola vietato, è consentito solo al ricorrere di una delle condizioni indicate al paragrafo 2 lett. b) ovvero quando il trattamento è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Il quadro normativo vigente prevede, inoltre, che gli Stati membri possano “mantenere o introdurre ulteriori condizioni, comprese limitazioni” in relazione al trattamento dei dati biometrici (art. 9, par. 4, del Regolamento). A tale disposizione è stata data attuazione, con il D.lgs. 101/2018, che ha modificato il D. lgs 30 giugno 2003, n. 196 (“Codice Privacy”), il quale ha previsto all’articolo 2-septies che il trattamento di tali categorie particolari di dati è lecito al ricorrere di una delle condizioni di cui all’articolo 9, par. 2 del GDPR “ed in conformità alle misure di garanzia disposte dal Garante”. Con il Provvedimento del Garante per la Protezione dei Dati Personali (di seguito “Garante”) n. 146 del 5 giugno 2019 è stata estesa la validità delle Autorizzazioni generali contenute nel Provvedimento Generale del 13 dicembre 2018 n. 497, tra cui anche quella relativa alle Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro (Aut. Gent. n. 1/2016).

Focus giurisprudenziale

Nel corso degli anni, il Garante si è espresso ripetutamente in materia di trattamento del dato biometrico nel contesto lavorativo, ribadendo il principio secondo il quale è necessaria la presenza di una base giuridica proporzionata all’obiettivo perseguito, garantendo i diritti degli interessati con misure appropriate e specifiche. È quindi interessante citare il recente Provvedimento del Garante n. 369 del 10 novembre 2022, emesso nei confronti di una società sportiva dilettantistica che aveva introdotto un sistema di rilevazione delle impronte digitali dei dipendenti per accertarne l’accesso e la presenza presso i club che aveva in gestione. Nel caso di specie, la segnalazione al Garante era stata presentata da un’organizzazione sindacale, la quale si era lamentata dei metodi utilizzati dal titolare del trattamento, ritenuti troppo invasivi. La società aveva ritenuto opportuno utilizzare un sistema biometrico, finalizzato all’accertamento della presenza in servizio allo scopo di agevolare i dipendenti nella registrazione degli orari di entrata e di uscita, adottando un sistema “più snello e veloce” rispetto a quello precedentemente in uso, basato sul badge aziendale. La situazione è stata aggravata dalla circostanza per cui tale procedura, carente di adeguata base giuridica, fosse stata utilizzata per ben quattro anni. Inoltre, erano stati violati anche i principi di minimizzazione e proporzionalità, fondamentali nel trattamento di dati particolari, che sono specificamente tutelati dal GDPR. Infine, anche l’informativa fornita ai lavoratori era risultata del tutto priva della definizione delle caratteristiche dei trattamenti biometrici effettuati.

Sul tema in oggetto, si è recentemente espressa anche la Seconda Sezione della Corte di Cassazione, che ha confermato quanto disposto nel su menzionato provvedimento del Garante. Infatti, con l’Ordinanza n. 6642 del 6 marzo 2023 la Suprema Corte si è espressa su un caso analogo, che aveva visto coinvolta un’impresa piemontese, la quale fin dal 2004 utilizzava un sistema di rilevamento delle impronte digitali dei dipendenti, anche in questa circostanza al fine di rilevarne le presenze giornaliere. Dopo un primo provvedimento del Garante, l’azienda si era difesa argomentando che tale sistema era stato offerto dal fornitore del servizio come un “upgrade gratuito”. Il Tribunale di primo grado aveva respinto le doglianze dell’impresa, rimarcando che le decisioni connesse al trattamento dei dati personali dei propri dipendenti spettano al datore di lavoro, e non al fornitore del servizio.

In Spagna, l’Agencia Española de Proteción de Datos (“Agenzia spagnola per la protezione dei dati”, di seguito “AEPD”) è intervenuta in materia di trattamento di dati biometrici sul posto di lavoro, stavolta concernenti i sistemi di riconoscimento facciale. Nello specifico, un’azienda di Alicante è stata sanzionata in quanto, tramite i suddetti sistemi, controllava il rispetto dei turni di lavoro e la produttività dei propri dipendenti, all’insaputa degli stessi. Infatti, nell’informativa rilasciata agli impiegati, la società si era limitata a indicare che i diritti di immagine avrebbero potuto essere utilizzati e diffusi per la pubblicazione sul sito web e sui social network aziendali, per campagne pubblicitarie o su brochure. Inoltre, la documentazione che era stata fornita ai lavoratori non riportava il possesso di dati biometrici da parte dell’azienda; tuttavia, la stessa teneva un registro orario contenente i periodi in cui la persona era presente sul luogo di lavoro. Anche in questo caso, la società avrebbe potuto utilizzare sistemi alternativi, come il badge e i cartellini marcatempo. L’AEPD ha quindi ricordato come tale sistema di rilevazione del dato biometrico, pur non essendo vietato, è altamente invasivo per le libertà fondamentali delle persone, richiedendo di conseguenza una valutazione di impatto che tenga altresì conto dei principi di necessità e proporzionalità dei sistemi utilizzati.

Conclusioni

L’uso dei dati biometrici nel contesto lavorativo offre certamente nuove opportunità al datore di lavoro in termini di efficienza e sicurezza sul luogo di lavoro. Tuttavia, tale uso, ed il relativo trattamento, deve essere effettuato nel rispetto dei principi fondamentali del Regolamento, quali la limitazione della finalità, la minimizzazione dei dati, la trasparenza e una adeguata base giuridica.

Come affermato anche dal Garante, il consenso del lavoratore non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro, ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà della manifestazione di volontà del dipendente.

Pertanto, in attesa delle citate “misure di garanzia” previste dall’articolo 2-septies del Codice, il datore di lavoro deve stabilire se le sue esigenze di verifica e/o di sicurezza possano essere soddisfatte con soluzioni alternative che non prevedano il trattamento di dati biometrici, consentito solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla normativa vigente in materia di protezione dei dati personali.

Avv. Sabrina Salmeri e Dott. Lapo Lucani

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori