Il Garante privacy conferma il proprio “no” sull’uso dei dati biometrici da parte del datore di lavoro ai fini del rilevamento delle presenze dei dipendenti sui luoghi di lavoro.
I casi esaminati dal Garante
Sono cinque i recenti provvedimenti del Garante (9995680, 9995701, 9995741, 9995762, 9995785), tutti collegati tra loro, che derivano da reclami presentati da alcuni dipendenti verso il proprio datore di lavoro che utilizzava un rilevatore biometrico basato sul riconoscimento facciale per l’accesso al cantiere e l’accertamento della presenza degli stessi sul luogo di lavoro.
Il datore di lavoro giustificava tale scelta per via dell’aggravamento del fenomeno dell’assenteismo con timbrature fraudolente che attestavano la presenza in servizio di dipendenti che, invece, non prestavano regolarmente la loro prestazione.
Il datore di lavoro, ancora, dichiarava a sua difesa che il sistema di rilevazione delle presenze mediante riconoscimento facciale scelto era implementato da un’azienda leader sul mercato, che lo presentava come pienamente coerente con i vincoli derivanti dal rispetto della normativa a tutela della protezione dei dati personali dei lavoratori.
Il Garante, però, ha ritenuto irrilevanti le difese e ha dichiarato ancora una volta che “il riconoscimento facciale per controllare la presenze sul posto di lavoro viola la privacy dei dipendenti”.
Le violazioni riscontrate dal Garante
Principio di trasparenza
Il datore di lavoro ha violato il principio di trasparenza in quanto non ha adempiuto all’obbligo di indicare ai propri dipendenti e collaboratori quali sono le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati.
Assenza dell’accordo ai sensi dell’articolo 28 del GDPR
Il datore di lavoro, pur avvalendosi dei servizi di un fornitore per la gestione dell’applicativo di controllo utilizzato che gli consentiva l’accesso ai dati dei dipendenti relativi alla rilevazione delle presenze, non ha provveduto alla corretta designazione del fornitore quale responsabile del trattamento, come previsto dall’art. 28 del Regolamento.
Un altro fornitore non correttamente designato Responsabile è la società che forniva servizi di “consulenza, assistenza e adempimenti in materia di diritto del lavoro”, il consulente del lavoro. L’assenza di tale nomina costituisce, quindi, una violazione dell’articolo 28.
Incompletezza del Registro del trattamento e delle misure di sicurezza
Interessante è anche il rilievo fatto in merito all’assenza nel Registro del trattamento del Titolare: il registro delle attività di trattamento non indica i dati biometrici tra i tipi di dati trattati dal titolare, ciò in violazione dell’art. 30 del Regolamento.
Poi, le credenziali di autenticazione con profilo Admin erano le stesse riportate nel manuale di utilizzo e non erano mai state modificate nel corso del tempo. Ciò ha reso possibile a chiunque l’accesso alle informazioni memorizzate nel terminale, in quanto le credenziali erano disponibili anche sul manuale pubblicato in Internet. Questa condotta configura una specifica violazione dell’articolo 32 del Regolamento, in base al quale il titolare del trattamento è tenuto ad approntare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Assenza della DPIA
In base all’art. 35 del Regolamento, in relazione a trattamenti che prevedono “l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, tali da presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Secondo il Provvedimento del Garante sull’obbligatorietà della DPIA, i Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti devono, quasi sempre, essere sottoposti a DPIA (Criterio n.5, Prov. Garante 467/2018)” e WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
Quando i dati biometrici possono essere trattati dal datore di lavoro?
La normativa sulla privacy prevede che il trattamento di dati biometrici è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2, del GDPR.
Con riguardo ai trattamenti effettuati in ambito lavorativo, l’utilizzo dei dati biometrici – sebbene non illecito a priori – è possibile solo quando il trattamento è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Dunque, pur potendo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, l’uso del dato biometrico a tali fini è consentito solo in presenza di un’autorizzazione del diritto dell’Unione o degli Stati membri e in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
Ne deriva che l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).
Pertanto, al fine di poter contabilizzare le effettive ore di lavoro prestate e di accertare la presenza dei lavoratori sul luogo di lavoro bisogna preferire misure invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).
Inoltre, la dichiarazione del produttore sulla certificazione di conformità dell’apparato biometrico al GDPR non fa venir meno la responsabilità del datore, nella sua qualità di titolare del trattamento, a cui compete il rispetto dei principi del trattamento nelle scelte che opera. L’uso di tali strumenti, infatti, è contrario a monte del regolamento per la violazione dei principi di minimizzazione e proporzionalità.
