L’uso del dato biometrico per gestire i rapporti di lavoro è contrario ai principi di minimizzazione e di proporzionalità del trattamento. Per approfondimenti sull’utilizzo dei dati biometrici, consigliamo il volume Formulario commentato della privacy
Indice
1. I fatti: uso dei dati biometrici sul lavoro
I dipendenti di una società presentavano un reclamo al Garante per la protezione dei dati personali con cui sostenevano che, a partire dal mese di febbraio 2022, per poter accedere sul proprio luogo di lavoro era necessario utilizzare un rilevatore biometrico basato sul riconoscimento facciale.
Conseguentemente, i reclamanti lamentavano che il predetto trattamento dati sarebbe avvenuto in violazione della normativa in materia di privacy, ritenendo che la finalità del trattamento (cioè accertare la presenza dei dipendenti sul luogo di lavoro) avrebbe potuto essere accertata con mezzi meno invasivi della sfera personale dei lavoratori.
Preso atto del reclamo, il Garante inviava la Guardia di Finanza presso il luogo di lavoro dei reclamanti al fine di compiere accertamenti.
Dagli accertamenti compiuti dai militari, emergeva che i reclamanti lavoravano all’interno di un cantiere / sito industriale di rimessaggio dove operavano ben 4 distinte società unite in una ATI per la gestione dei rifiuti del Comune e che all’interno di un locale del cantiere era presente un dispositivo di riconoscimento dei dipendenti basato sulla biometria del volto, attivo e funzionante, nonché che i relativi dati erano stati esportati facendo un back up del data base interno.
Dalle dichiarazioni rese ai militari dalle società coinvolte emergeva che il predetto sistema veniva utilizzato per rilevare la presenza di circa 63 dipendenti delle società che operano all’interno del cantiere, oltre ad eventuali dipendenti temporanei e che il sistema di controllo prevedeva – prima – una registrazione dei dipendenti (mediante l’inserimento di un codice associato al nominativo) sulla base di un elenco fornito dalla società di riferimento e – poi – il riconoscimento del volto dei dipendenti al momento dell’accesso, con conseguente convalida. Infine, le società coinvolte dichiaravano che i dati biometrici erano contenuti esclusivamente nel dispositivo e non erano accessibili da remoto, né in locale, se non per la sola cancellazione (da effettuarsi direttamente sul dispositivo) ed inoltre che detto dispositivo era dotato di uno speciale algoritmo per criptare i dati biometrici in modo non reversibile. Per approfondimenti sull’utilizzo dei dati biometrici, consigliamo il volume Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
60.80 €
2. La valutazione del Garante
Il Garante ha avviato il procedimento sanzionatorio nei confronti di ognuna delle società coinvolte, ritenendo sussistenti diverse violazioni della normativa in materia di privacy.
Per quanto riguarda una di queste società facente parte dell’ATI, il Garante ha ritenuto che la stessa possa essere ritenuta titolare del trattamento, poiché ha effettuato alcune operazioni riferite ai propri dipendenti, in quanto ha fornito alla società che gestiva il dispositivo biometrico l’elenco dei lavoratori per effettuare le rilevazioni delle presenze di questi ultimi e in quanto ha avuto accesso al data base per controllare le presenze rilevate mediante il dispositivo biometrico.
In particolare, dall’istruttoria è emerso che la società abbia utilizzato il sistema biometrico di riconoscimento facciale per rilevare la presenza in servizio dei propri dipendenti a partire dal mese di dicembre 2021 e fino al mese di gennaio 2023 (momento in cui il sistema è stato disattivato a seguito dell’avvio dell’accertamento del Garante) e che non ha chiarito le ragioni per cui ha deciso di adottare un siffatto sistema.
Dal punto di vista normativa, il Garante ha ricordato che il trattamento di dati biometrici, con riguardo ai trattamenti effettuati in ambito lavorativo, è consentito soltanto quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
Tuttavia, ad oggi, il nostro ordinamento non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio, come è stato già affermato dal Garante privacy anche in altri procedimenti. Infatti, l’uso del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), non è conforme ai principi di minimizzazione e proporzionalità del trattamento.
Per tale ragione, la società avrebbe potuto e dovuto adottare delle misure di rilevazione della presenza dei dipendenti meno invasive per i diritti degli interessati: come l’uso del badge o le verifiche dirette.
Inoltre, il Garante ha ritenuto che la società abbia trattato anche i dati biometrici di soggetti diversi dai propri dipendenti ed in particolare quelli dei dipendenti delle altre società facenti parte dell’ATI.
In secondo luogo, il Garante ha accertato che la società non ha fornito agli interessati la informativa privacy, con l’indicazione delle caratteristiche essenziali dei trattamenti effettuati mediante il riconoscimento facciale: comportando così una ulteriore violazione della normativa privacy.
In terzo luogo, la società ha violato la normativa privacy per non aver effettuato la necessaria valutazione d’impatto prevista dalla predetta normativa per il caso in cui vengano trattati dei dati biometrici.
Infine, è stato accertato che la società non ha redatto e tenuto il registro dei trattamenti e soprattutto non vi ha indicato all’interno il trattamento compiuto mediante la rilevazione dei dati biometrici degli interessati, che invece avrebbe dovuto essere inserito.
Potrebbe interessarti anche: Dati biometrici per rilevare le presenze al lavoro
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere da parte della società fosse idonea a violare plurime disposizioni in materia di privacy. Conseguentemente il Garante, preso atto che la società aveva già provveduto a sospendere le operazioni di trattamento dei dati biometrici dopo l’avvio dell’attività ispettiva dell’autorità, si è limitato a ordinare di cancellare i dati biometrici che erano stati raccolti e a disporre una sanzione amministrativa pecuniaria a carico della società.
Per quanto concerne la quantificazione di detta sanzione, il Garante ha preso in considerazione sia la natura e la gravità della condotta (che ha riguardato i principi generali e il trattamento di categorie di dati particolari) nonché la sua durata (per oltre un anno) e l’elevato grado di responsabilità della società (che ha violato una pluralità di disposizioni in materia di privacy); dall’altro lato, il Garante ha tenuto conto che la società ha cooperato durante il procedimento e ha interrotto il trattamento dati dopo l’avvio dell’attività ispettiva. Sulla base della ponderazione di tutti sopra indicati elementi e tenendo infine altresì conto delle condizioni economiche della società (in base al bilancio relativo all’anno 2022), il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 6.000 (seimila).
Scrivi un commento
Accedi per poter inserire un commento