Un’ordinanza di ingiunzione del Garante per la protezione dei dati personali, del novembre 2022, è andata a colpire una società sportiva dilettantistica, colpevole di avere predisposto un sistema di monitoraggio delle presenze tramite registrazione dei dati biometrici, nel caso specifico un lettore delle presenze mediante rilevazione dell’impronta digitale.
La società, tra le varie linee di difesa, aveva opposto la necessità di sveltire ed armonizzare la raccolta degli accessi dei propri dipendenti (si parla di più di 100 persone), nonché la raccolta del consenso espresso da parte degli stessi. Elementi che, stante l’inadeguatezza dell’informativa e l’altrettanto inadeguata base giuridica del trattamento, non sono bastati al Titolare del trattamento per evitare la sanzione pecuniaria irrogata dal Garante.
Partendo da questo recente spunto risulta profittevole analizzare le modalità e le possibilità di utilizzo di tale strumento per le aziende e le imprese, facendo particolare attenzione alla normativa vigente.
Decreto Trasparenza: i nuovi obblighi per i datori di lavoro e le ricadute sulla privacy
La base giuridica
Un primo grande punto da verificare è, come già accennato, la base giuridica sulla quale poggiare il trattamento dei dati in parola. La normativa di riferimento è da far risalire all’articolo 2 septies del Codice della privacy, nonché all’articolo 9 del Regolamento Ue 2016/679, ossia il General data protection regulation (Gdpr).
Questi articoli, oltre a rimandare alle best practices europee in materia di trattamento di dati biometrici e all’evoluzione tecnologica di tali strumenti, restituiscono un quadro stringete secondo il quale il trattamento biometrico è da escludere. Fanno eccezione le imprese e le attività che necessitano, per questione di sicurezza e ordine pubblico, di un controllo serrato dei dipendenti, per esempio nel caso di attività pericolose o di aree produttive ad alto rischio per la salute pubblica.
Ancora, leggendo l’ordinanza del Garante, risulta evidente che la necessità del datore di lavoro ad accelerare il processo di rilevazione delle presenze, o ancora peggio l’eventuale controllo di produttività, non possano essere invocati come interesse legittimo nell’ambito del trattamento del dato biometrico.
Infine, proseguendo nell’analisi dell’ingiunzione, viene ribadito che anche il consenso esplicito – il quale si ricorda rappresenta uno dei motivi di legittimità nel trattamento dei dati particolari così come sancito dall’ articolo 9 del Gdpr – non trova spazio all’interno delle realtà lavorative aziendali.
Il motivo, esplicato più volte dall’Autorità italiana, viene dall’interpretazione concreta del consenso quale libero e informato convincimento nell’autorizzazione al trattamento del dato. Nel caso del rapporto di lavoro dipendente, risulta quindi non plausibile che il consenso possa essere espresso in maniera effettivamente libera, vista la sproporzione del rapporto tra datore di lavoro e dipendente.
Privacy dei lavoratori a rischio col digitale: i profili giuridici e il caso (estremo) di Humanyze
Soluzioni alternative
In questa situazione, nella quale è evidente la scarsa propensione del Garante italiano (in scia con quelli europei) nell’accettare l’utilizzo dei sistemi di rilevazione delle impronte e simili, si devono comunque segnalare degli elementi di apertura.
Una prima e importante riflessione va fatta circa la possibilità di utilizzare il consenso esplicito del dipendente per giustificare il trattamento dei dati protetti dall’articolo 9 del Gdpr.
Lo scoglio dell’interpretazione “riduttiva” del consenso prestato in situazioni di subordinazione potrebbe infatti venire meno nel momento in cui il datore di lavoro proponesse un’alternativa ugualmente valida e scevra da ogni tipo di costrizione, diretta o indiretta che sia.
L’azienda che volesse introdurre sistemi di controllo biometrici delle presenze potrebbe quindi strutturare sistemi ambivalenti (come per esempio quelli di badge, alternativi all’impronta), senza nessun tipo di pressione psicologica o differenze di trattamento. Ancora, l’utilizzo del sistema dovrebbe appunto essere libero e revocabile, elemento questo necessariamente vincolato ad un’alternativa effettiva nell’ambito degli strumenti utilizzati.
La registrazione di dati
Oltre a questa prima considerazione sulla base giuridica, va sicuramente sottolineata anche la possibilità di minimizzare l’accesso e la registrazione dei dati, attraverso sistemi che non creino dei database dei dati biometrici a disposizione del Titolare o di responsabili esterni. Strumentazioni di questo tipo, le quali utilizzano sistemi di crittografia per poter associare il codice del dipendente alla lettura dell’impronta (quest’ultima memorizzata direttamente su una scheda a disposizione del solo lavoratore), sono facilmente reperibili sul mercato.
Attenzione però: si tratta di rilevatori che non bastano di per sé a garantire il rispetto della privacy dei dipendenti, per il quale valgono comunque tutte le accortezze sopra riportate.
Molto importante poi è analizzare il contesto effettivo nel quale voler introdurre un sistema biometrico, cercando di capire se ci sono elementi di necessità tali da poter applicare la nota eccezione all’articolo 9 del Gdpr. Si consiglia in tal senso di rimanere sempre aggiornati sulle più recenti dichiarazioni delle Autorità garanti europee e sulle linee guida pubblicate in riferimento all’argomento. Risulta altrettanto utile ripensare alla rilevazione biometrica solo per alcune aree produttive o logistiche effettivamente caratterizzate da profili di rischio (macchinari ad alta pericolosità, depositi contenenti valori, eccetera).
Sulla scia della citata ordinanza di novembre, va ribadita la necessità di strutturare il trattamento dei dati biometrici seguendo fedelmente e concretamente tutti i principi privacy previsti dalle normative nazionali ed europee.
La base giuridica non basta, in assenza di un’informativa puntuale, che raggiunga ogni singolo interessato e che illustri nel dettaglio le modalità di trattamento, i destinatari e le politiche di detenzione del dato. All’informativa si aggiunge poi la necessità di aggiornare il proprio Registro dei trattamenti, in maniera da poter tenere traccia di come viene registrato, detenuto ed elaborato il dato sia tecnicamente sia temporalmente.
Spesso, insomma, le violazioni della privacy, soprattutto in contesti delicati come quello dei dati particolari, sono il risultato di un comportamento poco virtuoso che non corrisponde necessariamente ad una singola omissione o ad una precisa violazione della norma – la quale come noto è sempre piuttosto generica nella descrizione delle fattispecie.
Validità della rilevazione biometrica
Inserire nel proprio processo aziendale un controllo biometrico dei dipendenti, quindi, non è impossibile, pur portando con sé una serie di adempimenti rigorosi e necessari, ma non singolarmente sufficienti a garantire il rispetto della riservatezza degli interessati. Ricapitolando, giova proporre un piccolo iter illustrativo:
- valutazione della base giuridica del trattamento biometrico al cui interno si deve contemplare l’analisi degli eventuali profili di rischio e necessità dell’azienda, la presenza di modalità di consenso effettivamente libere e indipendenti, la normativa giuslavorista applicabile,
- minimizzazione degli strumenti di rilevazione e delle annesse modalità di conservazione del dato,
- informativa strutturata, precisa e puntuale delle modalità di trattamento, con particolare attenzione a destinatari e tempistiche,
- registro dei trattamenti sempre aggiornato e rispondente all’effettiva situazione del trattamento.
In conclusione, non si può affermare che il Garante della privacy per questo nuovo anno abbia aperto all’utilizzo dei sistemi biometrici di rilevazione delle presenze, sebbene allo stesso modo risultino più evidenti alcuni elementi di apertura, stando bene attenti a garantire i principi di proporzionalità, legittimità e sicurezza propri della normativa sulla protezione dei dati personali.
