Vietata la rilevazione delle presenze con sistemi biometrici

Nell’era digitale, la privacy e la sicurezza dei dati personali sono tematiche cruciali e l’uso delle tecnologie di riconoscimento nei luoghi di lavoro per il controllo delle presenze continua a suscitare particolari preoccupazioni riguardo alla protezione dei diritti individuali.

Ribadendo le proprie posizioni, l’Autorità garante per la protezione dei dati personali ha recentemente sanzionato una serie di aziende operanti in un impianto di trattamento rifiuti, per aver gestito in maniera non autorizzata i dati biometrici di numerosi lavoratori (provvedimenti nn. 9995680, 9995701, 9995741, 9995762, 9995785). Si ricorda che un sistema biometrico può essere definito come un dispositivo automatico per l’identificazione di una persona sulla base di caratteristiche biologiche, che possono essere fisiologiche (ad esempio le impronte digitali, il disegno dell’iride, la fisionomia del volto o il timbro vocale) o comportamentali. I dati biometrici rientrano nella categoria di dati personali particolari disciplinati dall’art. 9 del Gdpr (Regolamento UE 2016/679) che, per definizione, afferiscono la sfera più intima dell’individuo.

Nel caso specifico, l’Autorità è intervenuta a seguito dei reclami di diversi dipendenti, accertando che alcune aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate. A ciò si aggiunge che il sistema di rilevazione, ritenuto illecito dall’Autorità, era utilizzato presso altre sedi dove operava una delle società sanzionate. Le aziende, peraltro, non avevano fornito un’informativa chiara e dettagliata ai lavoratori, né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy.

La pronuncia del Garante non è nuova e ribadisce una posizione netta espressa già in altre decisioni.
L’Autorità ha più volte affermato che l’utilizzo di un sistema di timbratura con rilevazione biometrica, al fine di registrare l’accesso e la presenza in azienda di dipendenti e collaboratori, è un trattamento illegittimo di dati, privo di valida base giuridica e contrario ai principi di liceità, necessità e proporzionalità (ordinanza ingiunzione 24.11.2022). Il trattamento di dati biometrici dei dipendenti non è supportato da idonee basi giuridiche e neppure il consenso dei dipendenti può costituire un valido presupposto di liceità considerando che questi ultimi, in ambito giuslavoristico, sono considerati soggetti vulnerabili ed è pertanto improbabile che il consenso venga prestato liberamente (ordinanza 14.01.2021, n. 16).

L’uso in ambito lavorativo dei sistemi di autenticazione basati sul riconoscimento biometrico presenta indubbi vantaggi applicativi ed economici; tuttavia, in ordine alla disciplina “privacy”, il ricorso alla biometria non può prescindere da chiari presupposti di liceità che giustifichino il trattamento dei dati. In altre parole, il trattamento di dati biometrici, per essere intrapreso, deve trovare il proprio fondamento in una disposizione normativa e deve avere le caratteristiche richieste dalla disciplina sulla protezione dei dati personali anche dal punto di vista della proporzionalità rispetto alle finalità da perseguire.

Il trattamento di dati biometrici è di regola vietato in base all’art. 9, par. 1 del Gdpr ed è consentito solo se ricorre una delle condizioni indicate dal paragrafo 2 dello stesso articolo. In conclusione, l’utilizzo di un sistema biometrico appare sproporzionato e non conforme ai citati principi in materia di trattamento dei dati personali, laddove si potrebbe facilmente ricorrere a mezzi meno invasivi altrettanto efficaci.