I sistemi di riconoscimento biometrico – sistemi di tecnologia avanzata – utilizzati per automatizzare alcuni processi aziendali, se da un lato consentono la loro maggiore efficienza e velocità, dall’altro comportano un trattamento di dati personali, che deve necessariamente fare i conti con le stringenti disposizioni normative previste dal Regolamento UE 2016/679 (GDPR) e dal D. Lgs. 196/2003 (Codice Privacy).
Andiamo, quindi, a vedere quando l’utilizzo di detti sistemi può considerarsi lecito in ambito lavorativo e quali sono gli accorgimenti da adottare per garantire il rispetto della normativa privacy, partendo dalla definizione di dato biometrico.
Cosa si intende per dati biometrici
I dati biometrici sono quei dati personali, ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica attraverso cui è possibile procedere con la sua identificazione univoca. Tra questi vi sono, ad esempio, le impronte digitali, le linee della mano, il colore e la dimensione dell’iride, le caratteristiche della retina, la fisionomia e la termografia del volto.
Il GDPR annovera detti dati tra quelli di natura particolare previsti all’art. 9 e il loro trattamento è lecito nei soli casi in cui sussistano specifiche condizioni di liceità, previste sempre al medesimo articolo, e adeguate cautele atte ad evitare il configurarsi di violazioni che causerebbero seri pregiudizi ai diritti e alle libertà degli interessati.
I sistemi informatici di riconoscimento biometrico
Come detto, l’impiego di sistemi di tecnologia avanzata – tra cui i sistemi informatici di riconoscimento biometrico – in aggiunta o in sostituzione ai sistemi “tradizionali”, è sempre più diffuso anche a livello aziendale. Si pensi, infatti, ai sistemi di controllo degli accessi ai locali ed alle aree riservate, nonché a quelli di rilevazione delle presenze e dell’orario di entrata e uscita del personale dipendente.
Il loro funzionamento si basa su un’operazione di confronto tra un carattere fisico o comportamentale relativo ad un individuo ed uno o più campioni dello stesso, precedentemente raccolti e archiviati nel database del dispositivo. Nello specifico, i dati biometrici del personale dipendente vengono dapprima acquisiti dal sistema di lettura e, successivamente, analizzati e confrontati con quelli preregistrati nel database, così da poterli collegare a quel preciso dipendente.
Numerosi, quindi, i trattamenti di dati personali di natura particolare realizzati dai predetti sistemi. Questo il motivo per cui l’Autorità Garante ha da sempre dedicato grande attenzione alla tematica, emanando linee guida e vari provvedimenti aventi principalmente ad oggetto l’impiego dei sistemi informatici di riconoscimento biometrico per rilevare le presenze.
Quando l’utilizzo dei dati biometrici in ambito lavorativo è lecito
In linea generale il GDPR sancisce che il trattamento dei dati particolari – tra cui rientrano anche i dati biometrici – è vietato, a eccezione del caso in cui ricorrano le specifiche condizioni elencate al paragrafo 2 dello stesso art. 9. In particolare, nell’ambito lavorativo il trattamento di detti dati è lecito se “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Non solo. Conformemente a quanto previsto all’art. 2 septies del Codice Privacy, l’utilizzo dei dati biometrici è consentito con riguardo alle procedure di accesso fisico e logico, purché siano garantite determinate misure di garanzia. Su questo aspetto è, però, necessario fare chiarezza, così da meglio comprendere le casistiche lecite.
Rilevazione delle presenze
Se da un lato la finalità di rilevazione delle presenze e di verifica dell’osservanza dell’orario di lavoro del personale dipendente può rientrare nell’ambito di applicazione dell’art. 9 paragrafo 2 del GDPR, dall’altro è necessario che detto trattamento trovi espressa autorizzazione in una disposizione normativa e che venga realizzato in presenza di garanzie appropriate a tutela dei dati trattati.
È, infatti, la stessa Autorità Garante a chiarire nelle sue Linee Guida del 2014 e nei numerosi provvedimenti emanati che la finalità di rilevazione delle presenze del personale dipendente non può, di per sé, soddisfare i requisiti richiesti dal GDPR e dal Codice Privacy e legittimare le società a porre in essere un trattamento di dati biometrici. Né l’acquisizione del consenso dei dipendenti, né tantomeno il legittimo interesse possono, peraltro, considerarsi idonee basi giuridiche per il trattamento dei dati biometrici.
Non si deve, poi, trascurare che:
- la finalità di rilevazione delle presenze possa essere raggiunta con sistemi meno invasivi, che prevedano il trattamento dei soli dati personali;
- il trattamento dei dati biometrici non risulta proporzionato alla finalità di rilevazione delle presenze, ad eccezione del caso in cui vi siano obiettive e documentate necessità che rendano l’adozione di tali sistemi indispensabili. In questo caso occorre però tenere conto della specificità del caso concreto, del contesto di riferimento e delle caratteristiche della tecnologia impiegata.
Accesso ad aree sensibili
Nelle Linee Guida del 2014 l’Autorità Garante ha vietato l’utilizzo dei sistemi biometrici per verificare le presenze del personale dipendente, consentendone però l’impiego per garantire la sicurezza di persone o beni (ad esempio, per controllare l’accesso da parte dei dipendenti autorizzati a luoghi particolarmente pericolosi).
Appartengono a tale ambito:
- le aree destinate allo svolgimento di attività aventi carattere di particolare segretezza;
- le aree in cui sono conservati oggetti di particolare valore o la cui disponibilità è ristretta a un numero circoscritto di addetti;
- le aree preposte alla realizzazione o al controllo di processi produttivi pericolosi, che richiedono un accesso da parte del personale qualificato;
- l’utilizzo di apparati o macchinari pericolosi.
In ogni caso, prima dell’implementazione di sistemi di riconoscimento biometrico è opportuno che il titolare del trattamento effettui un bilanciamento degli interessi coinvolti ed esegua una valutazione di impatto, adempimento peraltro obbligatorio ogniqualvolta il trattamento comporti un rischio elevato per i diritti e le libertà degli interessati, come nel caso in cui detti sistemi siano utilizzati in ambito lavorativo.
Conclusioni
Se da un lato l’Autorità Garante ha scarsa propensione ad accettare e ritenere lecito l’utilizzo di sistemi di riconoscimento biometrico nell’ambito del contesto lavorativo per la rilevazione delle presenze, anche al fine di ovviare a pratiche abusive, dall’altro lo ritiene ammissibile per proteggere beni di particolare valore, informazioni riservate o per limitare l’accesso ad ambienti pericolosi.
Si tiene, però, a precisare che quest’ultima ipotesi deve essere “maneggiata” con molta cautela, essendo il frutto di indicazioni contenute in Linee Guida del 2014 ed emanate in un contesto normativo differente rispetto a quello attualmente vigente.
Pertanto, in attesa di un aggiornamento sul tema, si ritiene che per poter implementare un lecito sistema di riconoscimento biometrico nel contesto lavorativo, sia anzitutto necessario per le società essere in grado di dimostrare il suo carattere indispensabile.
Ma non solo, prima dell’implementazione di un sistema di riconoscimento biometrico, dovrà necessariamente essere effettuata una valutazione di impatto per valutare la necessità e la proporzionalità del trattamento, nonché i relativi rischi. Ove, poi, si opti per l’adozione del sistema, occorrerà porre in essere tutti gli altri adempimenti privacy (tra cui la consegna di un’idonea informativa sul trattamento dei dati personali ai sensi dell’art. 13 del GDPR, la regolamentazione dei rapporti con eventuali soggetti interni ed esterni coinvolti nel trattamento e l’aggiornamento del registro delle attività di trattamento).
