La rilevazione dell’impronta digitale del lavoratore utilizzata solo per snellire la rilevazione delle presenze non è conforme al GDPR
Come noto il GDPR dopo aver definito il dato biometrico (art. 4, n.14) come il dato personale ottenuto da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici, ha altresì inserito tale tipologia di dati - in ragione della loro delicatezza - derivante dalla stretta (e stabile) relazione con l’individuo e la sua identità- tra i “dati particolari” (art. 9, par. 1 del Regolamento UE 2016/679).
L’evoluzione tecnologica è attualmente in grado di proporre soluzioni operative in ambienti di lavoro in grado di rilevare la presenza dei lavoratori attraverso tecniche biometriche. Tra queste l’utilizzo dell’impronta digitale è la più nota e diffusa. Essa può consentire di accertare la presenza al lavoro del dipendente mediante la rilevazione dell’impronta digitale e l’associazione dell’impronta ad un codice assegnato al lavoratore.
Questa tecnica comporta un trattamento di dati biometrici, sia nella fase di cd. enrollment consistente nella acquisizione delle caratteristiche biometriche dell’interessato (v. punti 6.1 e 6.2 dell’all. “A” al provv. 12 novembre 2014, n. 513, doc. web n. 3556992), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (v.anche punto 6.3 dell’all. A al cit. provv.).
In virtù della sua particolare natura il trattamento di dati biometrici è di regola vietato in base all’articolo 9, par.1 GDPR, ammesso nei limiti definiti dall’art. 9, par. 2, lett. b) ed occorre che avvenga in “in conformità alle misure di garanzia disposte dal Garante” (art. 2-septies comma 1 Codice Privacy) e nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità e minimizzazione.
In un recente provvedimento (Provv. 10 novembre 2022, n.369) il Garante ha precisato come sebbene nel contesto lavorativo le finalità di rilevazione delle presenze deidipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento UE in quanto implicano un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro [e della sicurezza sociale e protezione sociale]” (v. pure art. 88, par. 1, Regolamento), tuttavia il trattamento dei dati biometrici sarà consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento).
L’utilizzo di un sistema biometrico solo per garantire maggiore precisione, velocità e snellezza nelle operazioni di rilevazione delle presenze non è conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5 del Regolamento).
Discorso analogo vale anche nel settore pubblico sebbene la finalità di rilevazione delle presenze sia disciplinata da un complesso quadro normativo (v. ad esempio, art. 22, comma 3 della l. 23.12.1994, n. 724; art. 3 della l. 24.12.2007, n. 244; art. 7 del d.P.R. 1.02.1986, n. 13). In ambito pubblico fin dal 2007 con le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro, in ambito pubblico (provv. 14 giugno 2007, n. 23, doc. web n. 1417809).
Sul punto il Garante ha evidenziato che i principi di protezione dei dati impongono che siano preventivamente considerati altri sistemi, dispositivi e misure di sicurezza – meno invasive– che possano assicurare l’attendibile verifica delle presenze, dichiarando l’illiceità dei trattamenti effettuati nel contesto lavorativo a fronte di generiche esigenze di prevenzione di eventuali comportamenti scorretti o di utilizzo distorto degli strumenti di rilevazione delle presenze d’uso comune, quali i badge.
Questa impostazione trova conferma anche a livello internazionale e nelle posizioni assunte dalle altre autorità di controllo (v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, par. 18; v. anche Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, par. 5; CNIL, deliberazione 10.1.2019 e le FAQ pubblicate in data 28 marzo 2019 “Question-réponses sur le règlement type biométrie” nonché le precedenti linee guida “Travail & données personnells”).
Sulla base di questi principi sono stati sanzionati dal Garante due Comuni per l’installazione di sistemi che consentivano il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze al fine di scoraggiare fenomeni di assenteismo (Provv. 15 dicembre 2022, n. 423, doc. web n. 9852800).