I sistemi di riconoscimento facciale – che consentono, in sintesi, l’identificazione automatica delle persone sulla base del volto – vanno via via diffondendosi, di pari passo con lo sviluppo di sistemi basati sull’intelligenza artificiale, in vari e molteplici ambiti[1], offrendo numerosi vantaggi sia in termini di sicurezza che di accuratezza e rapidità dell’identificazione.
Dati biometrici e GDPR: la disciplina attuale
Tali sistemi, tuttavia, implicano il trattamento di dati biometrici[2]che, qualificandosi quali categorie particolari di dati personali, sono soggetti alla stringente disciplina di cui all’art. 9 del GDPR.
È in questo contesto che l’Autorità Garante per la Protezione dei Dati Personali (“Garante“) è recentemente intervenuta in punto di tecnologie di riconoscimento facciale, sancendo l’illiceità del sotteso trattamento di detti dati nel contesto lavorativo e, segnatamente, per la verifica delle presenze dei dipendenti sul luogo di lavoro[3].
Il trattamento dei dati biometrici nel contesto lavorativo
Come anticipato, i sistemi di riconoscimento facciale sottintendono il trattamento di dati biometrici. In proposito, il Garante ha chiarito – in linea con precedenti provvedimenti in materia – che detto trattamento sussiste sia nella fase di registrazione (cosiddetto enrolment, che consiste nell’acquisizione delle caratteristiche biometriche dell’interessato), sia nella fase del riconoscimento biometrico vero e proprio, all’atto della rilevazione delle presenze.
Il Garante ha così argomentato che il trattamento di detti dati, generalmente vietato ai sensi dell’art. 9, par. 1, GDPR, può effettivamente essere svolto in forza di quanto previsto dall’art. 9, par. 2, GDPR. A titolo di esempio, dunque, e in termini generali, il consenso esplicito dell’interessato può consentire il trattamento dei dati biometrici, in ossequio al disposto di cui all’art. 9, par. 2, lett. a), GDPR.
Fatta questa premessa, il Garante ha affrontato il tema del trattamento dei dati biometrici nell’ambito lavorativo e ha rilevato, in astratto, che “nel contesto lavorativo le finalità di rilevazione delle presenze e di verifica dell’orario di lavoro” possono”rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b)”GDPR, relativo ai casi in cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”.
Il Garante, tuttavia, e in concreto, ha evidenziato che tale trattamento è consentito, ai sensi della previsione appena richiamata, “solo nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […], in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato'”. Di conseguenza, il Garante ha sancito l’inapplicabilità, nella specie, di detta base giuridica, in quanto, allo stato, non sussistono né appropriate misure di garanzia per l’interessato né una fonte normativa nazionale o europea che autorizzi un tale trattamento.
Il Garante ha così concluso che “allo stato l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione delle presenze in servizio”.
Implicazioni pratiche delle recenti decisioni del Garante
Il Garante ha osservato, altresì, che, nel contesto individuato, l’utilizzo di sistemi di riconoscimento facciale risulta in contrasto con i principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c), GDPR), poiché la medesima finalità di controllo degli accessi ai locali aziendali può essere perseguita con modalità meno invasive per la privacy dei lavoratori (quale, a titolo di esempio, l’utilizzo di un badge). Peraltro, il Garante ha precisato che, in forza del principio di accountability del titolare del trattamento, di cui all’art. 5, par. 2, GDPR, la responsabilità di quest’ultimo non verrebbe meno nemmeno ove il produttore e il fornitore dei dispositivi di riconoscimento facciale forniscano una dichiarazione e certificazione di conformità dell’apparato biometrico al GDPR.
Ancora, il Garante ha escluso – in linea con analoghe statuizioni in materia e con quanto sancito dalle linee guida n. 5/2020 sul consenso emanate dall’EDPB – che il consenso possa costituire idonea base giuridica per il trattamento di dati biometrici nel contesto lavorativo, in forza dell’asimmetria di poteri tra datore di lavoro e lavoratore e che fa presumere, in via generale, che il consenso prestato da quest’ultimo non possa essere considerato libero e, dunque, valido.
I rilievi che precedono, inoltre, secondo quanto indicato dal Garante, non muterebbero nemmeno laddove “un sistema di rilevazione non biometrico fosse stato messo a disposizione dei lavoratori in alternativa a quello biometrico”.
Conclusioni
La posizione di particolare chiusura del Garante rispetto ai sistemi in esame rischia di pregiudicare il diffondersi di tecnologie per il riconoscimento facciale, quantomeno in ambito lavorativo, e, in ogni caso, in relazione al controllo di accessi e presenze dei dipendenti sul luogo di lavoro.
Al contempo, tuttavia, i recenti provvedimenti esaminati offrono validi spunti per agevolare una valutazione, da svolgersi caso per caso, delle singole fattispecie concrete, al fine di determinare in quali casi le limitazioni passate in rassegna siano applicabili e dove, invece, la tecnologia per il riconoscimento facciale possa essere applicata in conformità al GDPR (a titolo di esempio, nei casi in cui il consenso possa ritenersi liberamente prestato o nei casi in cui sia individuabile una diversa finalità del trattamento e un’idonea base giuridica).
Note
[1] Si vedano, a titolo esemplificativo, le linee guida n. 5/2023 dell’EDPB sull’utilizzo del riconoscimento facciale per finalità di polizia o giustizia.
[2] I dati biometrici, ai sensi dell’art. 4, n. 14) GDPR, consistono in “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici“.
[3] Il riferimento è ai provvedimenti nn. 105, 106, 107, 108 e 109, tutti resi in data 22 febbraio 2024 e di analogo contenuto.
