RILEVAZIONE DELLE PRESENZE CON IMPRONTE DIGITALI
La liceità della rilevazione delle presenze con impronte digitali (dati biometrici) è stata analizzata dal Garante.
L’esito della disamina è rilevabile nella Newsletter dell’Autorità n. 498 del 22 dicembre 2022 in riferimento ad un’ordinanza-ingiunzione del 10 novembre 2022.
Il Garante per la protezione dei dati personali ha sanzionato una società che aveva adottato un sistema di rilevazione delle impronte digitali per la rilevazione delle presenze.
Di seguito si riassumono le motivazioni dell’Ordinanza.
In base alla disciplina posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento ( Regolamento UE 2016/679) e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”.
La rilevazione delle presenze dei dipendenti con sistema biometrico sembrerebbe pertanto ammesso in quanto implica un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e protezione sociale”.
Il trattamento dei dati biometrici è però consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Affinché uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente adottato è pertanto necessario:
- che lo stesso trovi il proprio fondamento in una normativa conforme alla disciplina di protezione dei dati, anche in termini di proporzionalità rispetto alle finalità che si intendono perseguire;
- che il trattamento di dati biometrici avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (vedi: Misure di garanzia per il trattamento dei dati genetici, biometrici del Codice Privacy);
- che in ogni caso siano rispettati i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione”;
- che i dati siano “trattati in maniera da garantire un’adeguata sicurezza” degli stessi, “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
Il Garante osserva che l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al fine di garantire maggiore velocità e snellezza delle relative operazioni, non appare conforme ai principi di minimizzazione e proporzionalità del trattamento.
Inoltre, nel caso in esame la società aveva fornito ai dipendenti informazioni sulle caratteristiche dei trattamenti biometrici che li riguardavano del tutto carenti.
Per quanto sopra, la rilevazione in oggetto è stata ritenuta illegittima in quanto priva di un’adeguata base giuridica.
