L’uso dei dati biometrici (impronte digitali) per rilevare le presenze sul luogo di lavoro non è conforme ai principi della normativa privacy.
Garante Privacy – Ordinanza n. 369 del 10-11-2022
1. I fatti
Un’associazione sindacale lamentava al Garante per la protezione dei dati personali che una società sportiva dilettantistica aveva introdotto un sistema di timbratura per la rilevazione delle presenze dei dipendenti, mediante un terminale biometrico: precisamente mediante rilevazione delle impronte digitali.
In considerazione del mancato riscontro, da parte della società sportiva, alle richieste del Garante sui fatti oggetto di addebito, l’Autorità inviava la Guardia di Finanza ad effettuare un controllo presso le sedi operative della società medesima.
All’esito dell’accertamento dei militari e delle dichiarazioni rilasciate dal titolare, il Garante riteneva di avviare il procedimento sanzionatorio nei confronti della società sportiva, invitandola a fornire chiarimenti.
La società sportiva dichiarava che il sistema di rilevamento delle impronte digitali dei dipendenti era iniziato dal 8.10.218 e che aveva riguardato una parte dei 132 dipendenti, in quanto durante il periodo dell’emergenza sanitaria l’organico aveva subito delle modifiche, con la finalità di rilevare le presenze dei dipendenti al fine di agevolare la registrazione dell’orario di entrata e uscita.
Inoltre, la società sosteneva che detto sistema era lecito in quanto fondato sul consenso specifico e libero di ogni singolo dipendente ed inoltre era alternativo, rispetto all’altro sistema di rilevazione delle presenze mediante badge, che però nessun dipendente aveva chiesto di utilizzare.
Per quanto riguarda le modalità di trattamento dei dati biometrici raccolti, la società evidenziava che il sistema prevedeva la creazione dell’identità biometrica di ogni dipendente (mediante l’acquisizione della sua impronta di identità) e l’associazione a detta identità di un numero identificativo: mentre il modello biometrico rimaneva unicamente memorizzato nel dispositivo fisico di rilevazione delle impronte presente nella sede operativa della società dove lavorava il dipendente.
Infine, la società sportiva aveva dato conto, nel corso dell’audizione finale, che il sistema di rilevazione delle impronte, in un’ottica di totale collaborazione con il Garante, era stato disattivato, con ritorno al sistema del badge per la rilevazione delle presenze, ed era stata richiesta la cancellazione di tutti i dati biometrici memorizzati presso i server del fornitore del servizio.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Il Garante ha preliminarmente ricordato che, secondo il Regolamento europeo per la protezione dei dati personali (GDPR), il dato biometrico è un dato personale ottenuto da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di unna persona fisica che ne consente o conferma l’identificazione univoca. Inoltre, tali dati, proprio per la loro delicatezza, sono inseriti dal GDPR all’interno della categoria dei dati particolari.
Dall’istruttoria è emerso che la società, dall’ottobre 2018, ha attivato un sistema biometrico per l’accertamento della presenza in servizio dei propri dipendenti, al fine di agevolare questi ultimi nella registrazione dell’orario di entrata e uscita nonché adottare un sistema più snello e veloce di quello mediante badge. Il trattamento dati in questione ha riguardato 132 dipendente e consistito, quindi, nella rilevazione e la conservazione dell’impronta digitale di ogni dipendente, associata ad un codice univoco assegnato ad ognuno di loro.
In primo luogo, il Garante ha evidenziato come le operazioni compiute dalla società sostanziano un vero e proprio trattamento di dati biometrici, in quanto vi è tale tipologia di trattamento sia nella fase di registrazione, cioè quando vengono acquisite le caratteristiche biometriche dell’interessato (nel caso di specie, le impronte digitali), sia nella fase di riconoscimento biometrico, cioè al momento in cui vengono rilevate le presenze mediante scansione dell’impronta nell’apposito strumento collocato all’ingresso del luogo di lavoro.
In secondo luogo, il Garante ha evidenziato come il trattamento di dati biometrici è vietato dall’art. 9 del GDPR, salvo che non ricorra una delle condizioni indicate dal medesimo articolo. In particolare, il trattamento dei dati biometrici in ambito lavorativo è consentito solo quando lo stesso sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli stati membri o da un contratto collettivo ai sensi del diritto degli stati membri.
In altri termini, il trattamento dei dati biometrici in ambito lavorativo è consentito soltanto se è autorizzato da una disposizione normativa dell’Unione Europea o dello stato membro e comunque il titolare deve adottare garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
Quindi, per poter intraprendere lecitamente un trattamento dati di tal genere, è necessario che tal trattamento trovi il proprio fondamento in una disposizione normativa e che tale disposizione abbia le caratteristiche richieste dalla disciplina in materia di protezione dei dati personali, anche dal punto di vista della proporzionalità rispetto alle finalità che si intendono perseguire.
Inoltre, il Garante ha ricordato che, comunque, il titolare del trattamento deve rispettare tutti i principi previsti dalla normativa europea in materia di privacy e quindi i principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati nonché integrità e riservatezza dei dati.
In conclusione, il Garante ha evidenziato come l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro e quindi anche nella rilevazione delle presenze, per la finalità di dare maggiore velocità e snellezza alle operazioni di rilevazione delle presenze, non appare conforme ai principi di minimizzazione e proporzionalità del trattamento.
Inoltre, il consenso del lavoratore non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, in quanto sussiste una asimmetria tra le rispettive parti del rapporto di lavoro. Il datore di lavoro, infatti, deve accertare e dimostrare di volta in volta e in concreto l’effettiva libertà del dipendente nel manifestare la propria volontà.
Ebbene, in considerazione di quanto sopra, il Garante ha ritenuto che il trattamento dei dati biometrici compiuti dalla società sportiva è stato effettuato in assenza di una idonea base giuridica
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto di applicare una sanzione amministrativa pecuniaria nei confronti della società sportiva, anche se non ha ritenuto sussistenti i presupposti per adottare ulteriori misure correttive (in quanto la società sportiva aveva spontaneamente provveduto a rimuovere il sistema di rilevamento dei dati biometrici).
Per quanto concerne la quantificazione della sanzione amministrativa pecuniaria, il Garante ha tenuto in considerazione diversi aspetti: da un lato, ha valutato la natura particolarmente grave della violazione (in quanto relativa ai principi generali del trattamento, ai quali la società non si è conformata); dall’altro lato, ha valutato la mancanza di precedenti specifici in tema di violazione della normativa a tutela dei dati personali a carico della società e la sua cooperazione durante l’ istruttoria del procedimento sanzionatorio. Conseguentemente, il Garante, tenuto conto del bilancio 2021 della società e della grave crisi economica dovuta all’emergenza sanitaria, ha comminato al titolare del trattamento una sanzione amministrativa pecuniaria di €. 20.000 (ventimila).
Volume consigliato
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento