Semplificare e velocizzare un processo aziendale non è una valida giustificazione per poter utilizzare i dati biometrici, ovvero quei “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici” (Art. 4 Reg. Eu 2016/679).
Lo ha ribadito l’Autorità Garante Privacy con un Provvedimento del 10.11.2022.
Nel caso specifico una società sportiva con più sedi, per snellire la procedura di registrazione delle presenze dei dipendenti, aveva deciso di introdurre un sistema di rilevazione delle presenze, attraverso l’utilizzo dell’impronta digitale, facente parte di, “quei dati che per loro natura, direttamente, univocamente e in modo tendenzialmente stabile nel tempo, sono collegati all´individuo e denotano la profonda relazione tra corpo, comportamento e identità della persona, richiedendo particolari cautele in caso di loro trattamento”. (Provv. Generale prescrittivo del 12/11/2014)
L’esistenza di una tecnologia e la necessità di velocizzare i processi possono giustificare ogni tipologia di trattamento di dati personali?
La risposta è NO, non lo è.
La disciplina in materia di protezione dei dati personali, volta alla tutela dei diritti e delle libertà fondamentali delle persone fisiche, fin dai suoi principi fondamentali, ci dice che deve esserci sempre una proporzionalità, una motivazione specifica (finalità) e anche totale trasparenza (informazione) verso l’interessato, rispetto al trattamento dei suoi dati personali.
Il Garante disciplina con molta attenzione il trattamento dei dati biometrici, che deve avvenire sulla base di una corretta base giuridica, deve considerare i principi di necessità e proporzionalità e soprattutto tali dati devono essere gestiti con misure di sicurezza specifiche, in grado di tutelare la persona fisica alla quale si riferiscono.
Il dato biometrico, come abbiamo visto, è un dato particolarmente sensibile per la persona e può essere trattato solamente se per il raggiungimento della medesima finalità non sia possibile utilizzare altri dati meno invasivi.
L’azienda avrebbe potuto utilizzare un mezzo meno invasivo per registrare le presenze? La risposta è probabilmente SÌ: un più tradizionale badge avrebbe potuto assolvere al medesimo compito, senza la necessità per i dipendenti di veder registrato il loro dato biometrico, che permette appunto un’identificazione univoca.
Il Garante Privacy, nel Provv. del 2014, aveva previsto determinati ambiti nei quali il dato biometrico potesse essere impiegato per la registrazione degli accessi e riguardano l’accesso ad:
- aree destinate allo svolgimento di attività aventi carattere di particolare segretezza, ovvero prestate da personale selezionato e impiegato in specifiche mansioni che comportano la necessità di trattare informazioni riservate e applicazioni critiche;
- aree in cui sono conservati oggetti di particolare valore o la cui disponibilità è ristretta a un numero circoscritto di addetti;
- aree preposte alla realizzazione o al controllo di processi produttivi pericolosi che richiedono un accesso selezionato da parte di personale particolarmente esperto e qualificato;
- utilizzo di apparati e macchinari pericolosi, laddove sia richiesta una particolare destrezza onde scongiurare infortuni e danni a cose o persone.
Alcuni esempi
In queste particolari situazioni (o comunque assimilabili) l’accesso deve essere permesso solo a personale adeguatamente istruito che necessita di un accesso limitato e controllato. Alcuni esempi, a titolo esemplificativo e non esaustivo, potrebbero essere: sala server di enti di ricerca o di strutture sanitarie aventi appunto carattere di particolare segretezza, laboratori di ricerca o di sperimentazione, caveau di una banca, accessi a sistemi software contenenti informazioni estremamente delicate e riservate ecc.).
In questo caso il principio di proporzionalità sarebbe assolto appunto dalla necessità di un monitoraggio attento e puntuale degli accessi, dovuto alla necessità di tutela di un patrimonio, di informazioni altamente riservate o di possibili situazioni di pericolo per l’incolumità della persona.
La registrazione e il monitoraggio degli accessi rappresenterebbe un adempimento intrinseco rispetto al ruolo lavorativo e ravviserebbe nell’istituto del legittimo interesse la propria liceità di trattamento. Il dipendente, per poter svolgere la propria attività, avrebbe la necessità di accedere a tali luoghi e quindi dovrebbe essere sottoposto a tale trattamento di dato personale.
In questo caso l’azienda Titolare del trattamento dovrebbe provvedere a un’analisi dei rischi e a una valutazione di impatto (DPIA – Data Protection Impact Assessment) per valutare preliminarmente la necessità di implementazione di tali sistemi e definire inoltre tutte le misure di sicurezza necessarie per creare un trattamento compliant, dalla fase di enrolment (raccolta di dati) alla generazione del template, fino alla definizione delle modalità, delle tempistiche di conservazione ecc.
E nel caso in cui il dipendente fornisse invece il proprio consenso al trattamento?
Su questo punto ci sono due aspetti fondamentali sui quali è importante soffermarsi:
- Il primo riguarda la definizione stessa di consenso dell’interessato, quale base giuridica del trattamento, ovvero una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato (…)”
Se deve essere una possibilità per il lavoratore, utilizzare o meno una tecnologia basata su dato biometrico, significa che l’organizzazione ha la possibilità di mettere a disposizione altri strumenti, meno invasivi, che quindi sono possibili. A questo punto verrebbe a mancare il presupposto della necessità del trattamento.
Diversamente, dove per i motivi di cui sopra, fosse necessario l’utilizzo di uno strumento basato su dato biometrico, rientrerebbe tra gli adempimenti strettamente pertinenti con l’attività lavorativa al quale un lavoratore non potrebbe sottrarsi in ragione della propria mansione. Nessuna possibilità quindi di scelta, intrinseca nel concetto di “consenso libero”.
- Il secondo aspetto riguarda il consenso del lavoratore nei rapporti di lavoro che, come ribadito dall’Autority in propri provvedimenti, di regola, non costituisce un presupposto di liceità per il trattamento dei dati personali, considerata l’asimmetria tra le parti e l’effettiva possibilità di esprimere la propria volontà, in un contesto in cui il lavoratore risulta comunque parte in causa meno forte, rispetto alla controparte azienda.
Niente di banale quindi nella decisione dell’introduzione di un sistema di rilevazione biometrico in azienda. La normativa di riferimento è ampia e come sempre è necessario procedere con una valutazione attenta e pertinente, con la quale considerare i presupposti di legittimità e poi, nel caso, applicare le misure di sicurezza specificatamene previste.
Vuoi saperne di più sulla privacy per la gestione dei dati biometrici?
