Garante privacy: non è consentito rilevare i dati biometrici in sostituzione dei comuni sistemi di marcatempo
di Eugenio Erario Boccafurni*
* Le valutazioni espresse sono personali e non rappresentano il punto di vista dell’Ente di appartenenza
Con provvedimento ingiunzione del 6 giugno 2024, il Garante della privacy, ribadendo i propri precedenti, ha chiarito che la rilevazione dei dati biometrici per l’attestazione della presenza in servizio è illegittima anche qualora vi sia stata l’informativa privacy firmata dai lavoratori interessati; informativa comunque giudicata: «tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa che risulta incompleta e inidonea a rappresentare compiutamente il trattamento effettuato».
Ebbene, «l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti, per finalità di rilevazione della presenza in servizio».
Procedendo con ordine, nel caso di specie la protagonista è un’azienda siciliana (40 dipendenti) che, senza installare i classici apparecchi marcatempo per l’attestazione della presenza, al fine di rilevare l’entrata e/o l’uscita e/o le ore di presenza nei locali, utilizzava un sistema di telecamere con rilevazione biometrica:
– con specifico riferimento all’hardware X-Face 380, si tratta di un sistema di riconoscimento facciale, la cui finalità “è riconducibile esclusivamente all’elaborazione delle presenze per la redazione delle buste paga di tutti i dipendenti, trasmettendo un report mensile al CDL;
– esso consente “il riconoscimento facciale dei dipendenti quando entrano e escono dall’azienda (…) e ha le seguenti funzionalità: elenco delle persone presenti e stampa dei report delle ore di presenza per ciascun utente”;
– il trattamento tramite l’hardware è iniziato in data 11/12/2018 e tutti i dipendenti sono stati informati prima della sua installazione mediante apposita informativa, predisposta ai sensi dell’art. 13 del Regolamento, e contestuale acquisizione del consenso.
Ebbene, secondo il Garante la rilevazione dei dati biometrici per l’attestazione della presenza in servizio in contesti di lavoro è illegittima:
«Ciò posto, si osserva come, nel provvedimento n. 513 del 12/11/2014 (reperibile sul sito dell’Autorità www.gpdp.it, doc web n. 3556992), il Garante abbia chiarito che il trattamento dei dati biometrici si realizza sia nella fase di registrazione (cd. enrolment), consistente nell’acquisizione delle caratteristiche biometriche dell’interessato (nel caso di specie, le caratteristiche del volto), sia nella fase di riconoscimento biometrico da effettuarsi all’atto della rilevazione delle presenze (v. punti 6.1, 6.2 e 6.3 dell’allegato A al citato provvedimento).
In base alla disciplina in materia di protezione dei dati personali, posto che i dati biometrici rientrano nel novero delle cd. categorie particolari di dati, si rileva che il relativo trattamento è di regola vietato ai sensi dell’art. 9, par. 1, del Regolamento, mentre è consentito esclusivamente al ricorrere di una delle condizioni indicate al paragrafo 2 del medesimo articolo.
In particolare, con riguardo ai trattamenti effettuati in ambito lavorativo, la norma dispone che tale trattamento sia consentito solo quando è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1) e cons. 51-53 del Regolamento).
Ciò significa che, affinché un trattamento avente a oggetto dati biometrici possa essere lecitamente realizzato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.
Sotto questo profilo, l’art. 2-septies del Codice stabilisce che il trattamento dei dati biometrici può essere effettuato conformemente alle misure di garanzia disposte dal Garante in relazione a ciascuna categoria di dati, oltre che nel rispetto delle condizioni previste dal citato art. 9, par. 2, del Regolamento.