Impiego dei dati biometrici per la rilevazione delle presenze?

24/07/2023

I dati biometrici in generale non possono essere trattati a meno che non vi siano presenti le condizioni ammesse nell' art. 9 par. 2 del Regolamento GDPR 2016/679 e che vanno oltre il consenso liberamente prestato dal lavoratore.
 
Occorre premettere che i dati biometrici, in particolare utilizzabili per la rilevazione delle presenze per l’accesso ad aree di lavoro, fisiche o virtuali, sono quelli che si riferiscono a caratteristiche di tipo fisico, fisiologico o comportamentale legati a una persona e che consentono la sua univoca identificazione (si pensi ai tratti del volto, alla complessione fisica, al modo di camminare, alle impronte digitali, alla voce, al tratto calligrafico che possono essere analizzati attraverso devices specifici ecc.). I dati biometrici beneficiano dunque dal punto di vista regolamentare di una tutela rafforzata, oltre ad essere soggetti ai principi generali del trattamento richiamati dall’art. 5 del GDPR tra cui, ad esempio, il principio di minimizzazione.
 
E’ importante esaminare sempre preliminarmente la base giuridica di tale trattamento, in pratica la ratio della regola quando si affronta la questione del rilevamento e dell’acquisizione del dato, che deve contemperare l’interesse del Datore di lavoro con quello del lavoratore.
 
L’interesse del primo può essere sostenuto ad esempio dall’eventuale esigenza di identificare i soggetti che accedono ad un’area o ad un sito produttivo, per motivi di sicurezza aziendale o di tutela dei beni, mentre l’interesse del secondo è quello legato ad esigenze di tutela della propria privacy, vista l’invasività dello strumento che può raccogliere dati di dettaglio del volto, dell’aspetto fisico o in base all’unicità delle impronte digitali. Il rischio principale è che tali dati vengano utilizzati in modo non legittimo, conservati in modo non corretto o trafugati.
 
Nel 2021 l’autorità Garante ha sanzionato una ASL che rilevava la presenza dei lavoratori attraverso un riconoscimento di tipo biometrico, nonostante il consenso espresso dai lavoratori per un trattamento di questo tipo.
 
E’ infatti principio ormai consolidato e confermato anche dalla Corte di Cassazione Civile con sentenza 17 dicembre 2019, n. 50919, e riaffermato dalle Linee Guida sul consenso del Regolamento UE 2016/679 dello European Data Protection Board, che il consenso prestato dal lavoratore circa l’acquisizione di immagini da telecamere non possa, se non in casi eccezionali, ritenersi valido per legittimare l’acquisizione e il trattamento del Titolare/DdL, visto lo squilibrio di potere tra Datore di lavoro e lavoratore, e richiedendosi in questo caso uno specifico accordo aziendale con RSU/RSA o, in alternativa per l’Italia, apposita autorizzazione dell’Ispettorato Territoriale del Lavoro.
 
Analogamente nel 2018 il Garante ebbe a sanzionare una società sportiva che rilevava le presenze dei dipendenti e collaboratori attraverso dispositivi di identificazione delle impronte digitali, emettendo in questo caso l’Autorità una specifica ordinanza di ingiunzione che rimarcava, tra altri aspetti, come di tale procedimento di raccolta di dati biometrici non vi fosse traccia nel Registro dei trattamenti, richiesto espressamente dall’art. 24 del GDPR.
 
Per la particolarità del dato biometrico occorre infine ricordare che il titolare del trattamento deve espressamente indicarlo all’interno dell’informativa, specificando le misure di tutela tecniche e organizzative adottate.
 
MADE HSE fornisce ai propri Clienti servizi qualificati di formazione e consulenza sui contenuti del GDPR 2016/679.
 
Area Legale
Condividi linkedin share facebook share twitter share
Siglacom - Internet Partner