Fingerprint-biometric

Il trattamento dei dati biometrici nei rapporti di lavoro

9 Marzo 2021

La tecnologia ha completamente pervaso la quotidianità e le abitudini degli individui al punto che sbloccare lo smartphone attraverso l’impronta digitale o il riconoscimento facciale è diventata oramai una pratica abituale, accolta dai fautori delle innovazioni ma anche dai meno esperti.

Indiscussa la comodità, il risparmio di tempo e il livello di sicurezza garantito dai sistemi di autenticazione informatica più all’avanguardia.

Le opportunità tecnologiche registrate nel tempo sono intervenute anche nei contesti aziendali e quindi inevitabilmente anche nei rapporti di lavoro; invero, ormai da diversi anni, dalle realtà più piccole a quelle più strutturate, assistiamo all’utilizzo sempre più frequente di tecnologie il cui funzionamento si fonda sull’impiego di dati biometrici. Basti pensare, a titolo esemplificativo, oltre alle comuni impronte digitali utilizzate per sbloccare pc, smartphone e tablet o per l’accesso ai locali aziendali e ai macchinari pericolosi, anche ai segnali vocali, ai dispositivi di rilevazione delle strutture venose delle dita, delle mani, della struttura vascolare della retina, della forma dell’iride, la topografia della mano etc…

La tecnologia sfrutta le caratteristiche fisiche, fisiologiche o comportamentali dei dipendenti al fine di identificare univocamente gli stessi, integrando la definizione di dato biometrico, contemplata dall’articolo 4 del Regolamento Europeo sulla protezione dei dati personali o comunemente GDPR.

Pertanto, la trattazione di dati biometrici da parte dei titolari del trattamento non potrà prescindere dal rispetto della normativa in materia di protezione dei dati personali.

 

Quando un trattamento di dati biometrici si ritiene lecito?

Nel 2016 il legislatore europeo ha incluso i dati biometrici nel novero dei dati particolari, assoggettandoli al divieto generalizzato di trattamento sancito dal primo paragrafo dell’articolo 9 del GDPR.

Tuttavia, nel caso di specie, ovverosia per la raccolta di dati biometrici nei rapporti di lavoro, la disciplina europea vigente ammette, in via residuale, ipotesi di liceità qualora:

  • il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
  • il trattamento sia necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
  • l’interessato abbia prestato consenso libero, specifico, informato ed inequivocabile.

I lettori più attenti ricorderanno il Provvedimento Generale Prescrittivo in tema di biometria del Garante Privacy del 2014, che riconduceva l’impiego delle caratteristiche biometriche come le impronte digitali e le emissioni vocali per l’autenticazione informatica a infrastrutture critiche o a banche dati e sistemi informatici “a rischio”, l’accesso ad aree sensibili, nonché l’utilizzo di apparati e macchinari pericolosi, al legittimo interesse del Titolare, ovvero del datore di lavoro.

La posizione del Garante si intende completamente superata con l’entrata in vigore del GDPR che non include il legittimo interesse quale scriminante al trattamento dei dati particolari. Peraltro la conferma esplicita viene fornita dall’Autorità stessa in un provvedimento del 2018 che esclude tout court il legittimo interesse perseguito dal titolare come presupposto di liceità per il trattamento di dati biometrici.

L’individuazione delle condizioni di liceità del trattamento in esame richiede un’analisi puntuale delle eccezioni ammesse dal legislatore. Si consideri la prima scriminante sopraelencata, ovverosia l’individuazione ex lege della tecnologia biometrica per l’assolvimento degli adempimenti in materia di lavoro. Sul punto, è opportuno il rimando alla recente pronuncia dell’Autorità Garante del 14 gennaio 2021 che ha sanzionato l’Azienda Sanitaria Provinciale di Enna per un importo pari a 30 mila euro per la trattazione dei dati biometrici dei 2000 dipendenti su base normativa carente. La legge 56/2019 volta a prevenire l’assenteismo diffuso ed eccepita dall’Azienda Sanitaria quale condizione di esclusione di responsabilità, introduce, da una parte, per gli enti pubblici, sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso, ma dall’altra prevede che le modalità attuative della norma siano individuate da normativa specifica, mai entrata in vigore. Per tali ragioni, si è ritenuto non sussistente la prima scriminante dell’articolo 9.

Per quanto concerne l’interesse pubblico rilevante, anche in questo caso, occorre individuare disposizioni del diritto dell’Unione Europea o degli Stati Membri, che individuino quale rilevante l’interesse perseguito mediante l’impiego di tecnologie biometriche.

In ultimo si consideri il consenso, la base giuridica più comunemente invocata nei rapporti di lavoro, da parte dei titolari. Il difetto di base giuridica non può essere superato dal consenso prestato dal dipendente, posto che, come ha sottolineato il Garante Privacy nell’Ordinanza ingiunzione nel caso Enna, non costituisce un valido presupposto di liceità per il trattamento di dati personali in ambito lavorativo, salvo il caso in cui sia garantita una modalità alternativa valida per il perseguimento della finalità cui è preposto il trattamento.

Poniamo l’ipotesi del dipendente che imposti l’impronta digitale sul dispositivo aziendale fornito in dotazione, sia esso pc o smartphone: benchè il titolare non abbia libero accesso al dato biometrico, memorizzato direttamente sul supporto informatico, è tenuto a consegnare un’informativa ad hoc, recante i requisiti di cui all’articolo 13 del GDPR, che richieda all’interessato la prestazione di un consenso libero, specifico e inequivocabile alla rilevazione del dato dattiloscopico e ricordi altresì la possibilità alternativa, di ricorrere all’utilizzo delle comuni password.

 

Ulteriori adempimenti

Chiariti i presupposti di liceità sull’impiego di dati biometrici, si rammentano gli ulteriori obblighi previsti dal GDPR, posti in capo ai titolari del trattamento:

  • Redazione di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR;
  • Consegna di un’informativa specifica agli interessati (art. 13 del GDPR);
  • Predisposizione di un registro dell’attività di trattamento (art. 30 del GDPR);
  • Rispetto delle misure di garanzia disposte dal Garante (non ancora emanate).
Barbara Martire
About

Barbara è una giovane risorsa che ha deciso di completare il suo percorso universitario magistrale conseguendo il titolo in Giurisprudenza. Ha ottenuto la certificazione di Privacy Specialist per affiancare i suoi clienti in un percorso completo, focalizzandosi sullo studio approfondito del Regolamento Europeo. Tranquillità e serenità sono due caratteristiche che la contraddistinguono: nelle sue mani, siete al sicuro.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci