Rilevazione delle presenze dei lavoratori con sistemi biometrici
L’Autorità garante per la protezione dei dati personali ha stabilito che la rilevazione delle presenze tramite il riconoscimento facciale infrange il diritto alla privacy dei dipendenti.
Il sistema biometrico è un dispositivo automatico per l’identificazione di una persona sulla base di caratteristiche biologiche, che possono essere fisiologiche (ad esempio le impronte digitali, il disegno dell’iride, la fisionomia del volto o il timbro vocale) o comportamentali.
Tali dati biometrici rientrano nella categoria di dati personali particolari disciplinati dall’art. 9 del GDPR (Regolamento UE 2016/679) che, per definizione, afferiscono la sfera più intima dell’individuo; nello specifico al comma 1 prevede: “…È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona…”.
La privacy e la sicurezza dei dati personali sono tematiche cruciali e l’uso delle tecnologie di riconoscimento nei luoghi di lavoro per il controllo delle presenze suscita particolari preoccupazioni riguardo alla protezione dei diritti individuali.
L’Autorità ha più volte affermato che l’utilizzo di un sistema di timbratura con rilevazione biometrica, al fine di registrare l’accesso e la presenza in azienda di dipendenti e collaboratori, è un trattamento illegittimo di dati, privo di valida base giuridica e contrario ai principi di liceità, necessità e proporzionalità (ordinanza ingiunzione 24.11.2022).
Secondo l’Autorità il trattamento di dati biometrici, neanche con il consenso dei dipendenti, può costituire un valido presupposto di liceità considerando che questi ultimi, in ambito giuslavoristico, sono considerati soggetti vulnerabili ed è pertanto improbabile che il consenso venga prestato liberamente.
Bisogna contemperare tale principio con quanto previsto dal paragrafo 2 dell’art.9 GPDR, secondo cui Il trattamento di dati biometrici è di regola vietato, ma consentito solo se ricorre una delle condizioni indicate dal paragrafo 2 dello stesso articolo ovvero se l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto.
In conclusione l’uso in ambito lavorativo dei sistemi di autenticazione basati sul riconoscimento biometrico presenta indubbi vantaggi applicativi ed economici ma, per essere intrapreso, deve trovare il proprio fondamento in una disposizione normativa e deve avere le caratteristiche richieste dalla disciplina sulla protezione dei dati personali anche dal punto di vista della proporzionalità rispetto alle finalità da perseguire ed è sempre bene “coinvolgere” le OO.SS maggiormente rappresentanti, mediante trattative sindacali di II livello.