Stop all’uso dei dati biometrici per identificare i lavoratori

11 Aprile 2023

Il Sole 24 Ore lunedì 27 marzo 2023 di Daniele Colombo

Un’ordinanza del Garante esclude la registrazione delle presenze con impronte

Manca una disposizione ad hoc che sia in lineacon la protezione dei dati

L’introduzione di un sistema di timbratura per rilevare le presenze, con terminale biometrico (rilevamento delle impronte digitali), per dipendenti e collaboratori, con lo scopo di registrare l’accesso e la presenza in azienda, è un trattamento illgittimo di dati, perché privo di valida base giuridica, oltre che contrario ai principi di liceità, necessità e proporzionalità. È il principio contenuto nell’ordinanza ingiunzione del 22 novembre del 2022, pronunciata dal Garante della Privacy a conclusione di un procedimento sanzionatorio avviato contro una società, che offre lo spunto per analizzare l’uso di dati biometrici nell’ambito del rapporto di lavoro. Perchè uno specifico trattamento, che ha per oggetto dati biometrici, possa essere lecitamente iniziato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

Che cosa sono i dati biometrici

L’articolo 4 del Gdpr (il regolamento europeo 2016/679) definisce biometrici i «dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici».

Il trattamento di dati biometrici (di regola vietato in base all’articolo 9, paragrafo 1 del regolamento), è consentito solo se ricorre una delle condizioni indicate dall’articolo 9, paragrafo 2 del Gdpr e, riguardo ai trattamenti effettuati in ambito lavorativo, solo quando questo sia «necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato». Queste disposizioni, sono confermate anche dall’articolo 2-septies del Dlgs 101/2018, secondo il quale «i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’articolo 9 Gdpr e in conformità alle misure di garanzia disposte dal Garante con apposito provvedimento adottato con cadenza biennale», a oggi ancora in elaborazione. Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di «liceità, correttezza e trasparenza», «limitazione delle finalità», «minimizzazione» nonché «integrità e riservatezza» dei dati e «responsabilizzazione» (articolo 5 del Gdpr).

Le condizioni per trattarli

Per poter intraprendere lecitamente un trattamento di dati biometrici, questo deve trovare dunque il proprio fondamento in una disposizione normativa, che deve avere le caratteristiche richieste dalla disciplina sulla protezione dei dati personali, anche dal punto di vista della proporzionalità rispetto alle finalità da perseguire. L’assenza ex lege della tecnologia biometrica per assolvere gli obblighi in materia di lavoro rende illecito il relativo utilizzo. Il trattamento non può trovare un valido presupposto nemmeno nel consenso del lavoratore, data la asimmetria tra le parti.

Il trattamento del dato biometrico, non può essere giustificato dall’interesse legittimo, espressamente vietato dal Gdpr con riferimento ai dati particolari, di cui i dati biometrici fanno parte. Quindi, in assenza di una normativa ad hoc, il Garante della Privacy, in diverse occasioni, ha dichiarato illegittimo l’uso di dati biometrici per rilevare la presenza di dipendenti. Tale trattamento, inoltre, sempre secondo il Garante, è sproporzionato rispetto alle finalità dichiarate, poiché esistono altri strumenti che possono garantire la rilevazione delle presenze. Seguendo questo ordine di idee, si può ritenere che non si possano utilizzare nell’ambito del rapporto di lavoro strumenti quali il riconoscimento vocale, il riconoscimento facciale, i sistemi di body scanner e le scansioni per l’identificazione univoca della persona.

Doing business in San Marino

Scarica ora il libro in formato PDF

Scarica
Get in touch
x
x

Share to:

Copy link:

Copied to clipboard Copy