***
Il caso oggetto di istruttoria
Il Garante è stato chiamato ad esprimersi sulla liceità di un sistema di lettura delle impronte digitali posto all’ingresso di una Azienda, al fine di rilevare le presenze dei lavoratori. Il procedimento è stato avviato sulla base di un reclamo proposto da un dipendente che lamentava non solo la presenza di tale impianto, ma anche la mancanza di una informativa adeguata, ai sensi dell’art. 13 GDPR, riferita a tale specifico trattamento.
Durante l’istruttoria, la Società si era difesa argomentando che l’impianto era stato installato da un fornitore esterno, il quale aveva prestato ogni garanzia in merito alla conformità del funzionamento del dispositivo alla normativa vigente in materia di protezione dei dati e che l’Ispettorato del Lavoro aveva rilasciato una dichiarazione con cui escludeva la necessità, per l’installazione di tale sistema, dell’autorizzazione, ex art. 4, L. 300/1970 (c.d. Statuto Lavoratori).
Ai chiarimenti tecnici richiesti dal Garante, la Società forniva una relazione con cui illustrava il funzionamento dell’impianto in questione. In particolare, veniva spiegato che il sistema, attraverso uno specifico algoritmo di crittografia, procedeva alla raccolta dei campioni biometrici e li convertiva in codici indecifrabili associati ai singoli dipendenti, a cui erano stati già attribuiti gli ID. Sulla scorta di tale impostazione, la Società affermava che il dispositivo non memorizzava le immagini delle impronte digitali, elaborando solo modelli di riferimento anonimi e virtuali e che, pertanto, il trattamento posto in essere era corretto e che non era necessario inserirlo nell’informativa ai dipendenti.
Sulla base di tali dichiarazioni, l’Autorità di controllo ha ritenuto che la Società, in qualità di titolare del trattamento, ha effettuato il trattamento dei dati biometrici in modo non conforme alla normativa, per carenza di una idonea base giuridica, in violazione dell’art. 9, par. 2, lett. b) GDPR, nonché in violazione degli artt. 5, par. 1, lett. a) e 13 GDPR, comminando una sanzione amministrativa pecuniaria calcolata in base ai parametri di cui all’art. 83, par. 2 GDPR, tenuto conto dei principi di effettività, proporzionalità e dissuasività, di cui all’art. 83, par. 1 GDPR.
Oggetto della tutela: il trattamento del dato biometrico in ambito lavorativo
Per meglio chiarire la posizione del Garante, occorre, innanzitutto, definire il quadro normativo di riferimento ed i trattamenti oggetto di esame e di sanzione.
L’art. 4, par. 1, n. 14 GDPR definisce i dati biometrici come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”. La norma che disciplina il trattamento di tali dati è l’art. 9 GDPR secondo il quale, al par. 1, è vietato trattare dati biometrici intesi a identificare in modo univoco una persona fisica, ad eccezione di una serie di casi, elencati al par. 2, tra cui emerge - in ambito lavorativo - il punto b), secondo il quale “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato”.
Nel caso in esame, per quanto la Società avesse eccepito che non trattava dati biometrici in quanto il dispositivo adottato elaborava solo modelli di riferimento anonimi e virtuali, senza memorizzare le immagini delle impronte, il Garante ha puntualizzato che non solo venivano trattati dati biometrici, ma che il loro trattamento era configurabile sia in fase di “enrollment”, ossia al momento della registrazione e caricamento delle caratteristiche biometriche dei lavoratori per la generazione dei campioni, sia in fase di rilevamento delle presenze, con il concreto riconoscimento biometrico.
Le violazioni riscontrate dal Garante
Nello specifico il Garante ha riscontrato la violazione di diverse norme del GDPR.
In primis, la violazione del citato art. 9, par. 2, lett. b), in quanto, nonostante la finalità di rilevazione delle presenze dei dipendenti possa essere fatta rientrare nella applicazione della normativa richiamata, tuttavia, trattandosi di dati biometrici, occorre che detta necessità trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche di proporzionalità rispetto alle finalità perseguite. Pertanto, nel caso in esame, il trattamento contestato è risultato privo di una base giuridica idonea, in quanto la medesima finalità ben poteva essere realizzata con strumenti meno invasivi e con dati personali non biometrici.
Inoltre, in merito alla mancata indicazione di tale trattamento nella informativa fornita ai dipendenti ed alla mancata previsione di uno strumento alternativo (come ad esempio un sistema di lettura dei badge), il Garante ha ritenuto che tale condotta sia stata lesiva dei principi di liceità, correttezza e trasparenza, di cui all’art. 5, par. 1, lett. a) GDPR, nonché dell’art. 13 GDPR, dovendo il titolare del trattamento fornire agli interessati, in modo adeguato, tutte le informazioni relative ai trattamenti che vengono svolti, ai dati trattati, alle modalità di trattamento, agli scopi perseguiti e alla base giuridica che legittima il trattamento stesso.
Conclusioni
L’Autorità di controllo negli ultimi anni si è pronunciata più volte in merito al trattamento dei dati biometrici in ambito lavorativo. Tra i numerosi provvedimenti troviamo anche l’Ordinanza 10.11.2022, n. 369, con cui è stata sanzionata una società dilettantistica sportiva per aver adottato sistemi biometrici di rilevazione delle presenze di dipendenti e collaboratori, senza una valida base giuridica, non essendo risultato idoneo il consenso dell’interessato, in quanto non ritenuto “libero” ma condizionato dall’asimmetria contrattuale propria del rapporto di lavoro, oltre alla non conformità ai principi di minimizzazione e proporzionalità, come invece richiesti dalla normativa.
Risulta, quindi, evidente come il trattamento dei dati biometrici dei lavoratori sia una attività molto delicata, che richiede da parte delle aziende ponderate valutazioni e analisi specifiche, che prendano in considerazione le finalità che si intendono perseguire e gli strumenti tecnici da adottare, scegliendo soluzioni proporzionate ai contesti in cui si ravvisino dei profili di maggiore ed effettivo rischio.
