Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie. Questo il principio ribadito dal Garante della Privacy che ha sanzionato per 20.000 euro una società sportiva che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti presso i club in gestione.
Il garante per la privacy spagnolo (AEPD) ha sanzionato una catena di supermercati per 2,5 milioni di euro per uso illecito di un sistema di videosorveglianza dotato di riconoscimento facciale che identificava il volto dei clienti raccogliendo una serie di dati biometrici che venivano automaticamente confrontati con una banca dati per determinare se il cliente aveva pendenze con la giustizia, bloccandone in tal caso l’ingresso e facendo scattare un allarme per richiedere l’intervento del personale della sicurezza.
Sempre più diffusi i dati biometrici su telefonini ed altri dispositivi elettronici, ma trattamenti comportano potenziali rischi, come schedature di massa e furti da parte di hacker. L'FBI ha raccolto scansioni dell'iride di 430mila persone, e ricercatori hanno dimostrato come possibile catturare le immagini dell'occhio riflesse su specchietto retrovisore di un auto da 12 metri di distanza. Bernardi:"Informarsi bene prima di registrare un proprio dato biometrico, a differenza della password, scansione iride non permette di cambiare le credenziali."
L’introduzione di un sistema di timbratura per rilevare le presenze, con terminale biometrico (rilevamento delle impronte digitali), per dipendenti e collaboratori, con lo scopo di registrare l’accesso e la presenza in azienda, è un trattamento illegittimo di dati, perché privo di valida base giuridica, oltre che contrario ai principi di liceità, necessità e proporzionalità. È il principio contenuto nell’ordinanza ingiunzione del 22 novembre del 2022, pronunciata dal Garante della Privacy a conclusione di un procedimento sanzionatorio avviato contro una società, che offre lo spunto per analizzare l’uso di dati biometrici nell’ambito del rapporto di lavoro.
Una recente notizia comparsa sullo stampa internazionale riportava l’arresto in Brasile di una persona che otteneva fraudolentemente prestiti bancari. Fin qui si direbbe nulla di nuovo (purtroppo) ma è la tecnica utilizzata a destare interesse: Il truffatore dopo essersi procurato le fotografie di possessori di conti correnti bancari fruitori dei servizi di app mobile, posizionava le foto su di un manichino e in questo modo attraverso il riconoscimento facciale dell’app mobile della banca accedeva ai loro conti correnti bancari contraendo prestiti.
Il Parlamento UE ha dato il via libera necessario affinché divenga realtà il più grande database di dati biometrici dell’Unione europea. Il sistema, che unificherà gli attuali sistemi per il controllo delle frontiere esistenti nei singoli Paesi e consentirà un controllo molto più capillare anche tramite l’incrocio dei dati, è presentato come un avanzamento per la sicurezza dei cittadini europei. Tuttavia le associazioni ne stigmatizzano le minacce per la privacy, ad appena un anno dall’entrate in vigore del GDPR, il rivoluzionario regolamento europeo mirato proprio alla protezione dei dati sensibili dei propri cittadini.
