Telecamera utilizzata per il riconoscimento facciale: immagine relazionata all'articolo sul garante privacy e le sanzioni ai datori di lavoro
 | 

Divieto d’uso del riconoscimento facciale per la rilevazione delle presenze al lavoro

I recenti provvedimenti del Garante privacy

Con recenti provvedimenti, pubblicati nella newsletter del 28.03 u.s., il Garante per la protezione dei dati personali, a seguito di reclami da parte dei lavoratori interessati, ha provveduto a sanzionare i datori di lavoro per aver utilizzato un sistema di rilevazione di dati biometrici (nel caso specifico riconoscimento facciale) per la rilevazione delle presenze sul luogo di lavoro dei propri dipendenti.

Tale utilizzo è stato infatti ritenuto un trattamento illegittimo di dati, privo di valida base giuridica, oltreché contrario ai principi di liceità, necessità e proporzionalità.

Normativa sui dati biometrici

Il trattamento dei dati biometrici, come definiti dall’art. 4, n. 14, del Reg. (UE) 2016/679 (“GDPR”) quali

«dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici»

Art. 4, n. 14, del Reg. (UE) 2016/679 (“GDPR”)

di norma vietato ex art. 9, par. 1 GDPR – è consentito solo in presenza di una delle condizioni indicate dal par. 2 dello stesso articolo e, con specifico riferimento ai trattamenti effettuati in ambito lavorativo, solo quando questo sia

«necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato»

Art. 4, n. 14, del Reg. (UE) 2016/679 (“GDPR”)

E ancora, l’art. 2-septies del D. Lgs. 196/2003, prevede e conferma che

«i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’articolo 9 GDPR e in conformità alle misure di garanzia disposte dal Garante con apposito provvedimento adottato con cadenza biennale». 

Art. 2-septies del D. Lgs. 196/2003

Un provvedimento che è peraltro, ancora oggi, in fase di approvazione.

Ne consegue, quindi, che neppure il consenso del lavoratore potrebbe essere ritenuto una base giuridica valida per il trattamento dei dati biometrici nell’ambito del rapporto di lavoro.

Tenuto conto dell’assenza di una normativa ad hoc, il Garante – in continuità con decisioni in precedenza assunte – ha confermato che:

  • il vigente ordinamento non consente il trattamento di dati biometrici per finalità di rilevamento della presenza presso il luogo di lavoro;
  • l’uso di dati biometrici – al dichiarato fine di fronteggiare, ad es., illeciti disciplinari o contenziosi legati alla corresponsione di compensi per lavoro straordinario – non è conforme ai principi di minimizzazione e proporzionalità del trattamento, anche alla luce della possibilità, per il datore di lavoro, di ricorrere ad altri strumenti utili a garantire la rilevazione delle presenze nel luogo di lavoro (quali possono essere, ad es., i badge).

Violazioni e sanzioni emesse

In tale contesto l’Autorità ha rilevato ulteriori violazioni commesse da parte dei datori di lavoro, in qualità di titolari del trattamento, come segue:

  • omessa informativa ex art. 13 GDPR (obbligo di indicare a dipendenti e collaboratori le caratteristiche essenziali dei trattamenti di dati effettuati);
  • omessa designazione della Società terza che gestiva l’applicativo di riconoscimento facciale quale Responsabile del trattamento (ai sensi dell’art. 28 GDPR);
  • omessa effettuazione della valutazione di impatto (DPIA) prima dell’inizio del trattamento, cui il titolare del trattamento è tenuto in caso di uso di nuove tecnologie (art. 35 GDPR);
  • omessa indicazione, nel registro dei trattamenti tenuto dal titolare, dei dati biometrici tra i tipi di dati dallo stesso trattati;
  • omessa predisposizione da parte del datore di lavoro di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, assicurando su base permanente la riservatezza dei dati.

Sono state emesse ordinanze d’ingiunzione a carico di ciascuna delle Società interessate (con pagamento di sanzione amministrativa pecuniaria di importo variabile tra Euro 2.000,00 ed Euro 70.000,00), proporzionate alle dimensioni delle rispettive Società e alla condotta dalle stesse tenuta nel corso del procedimento, oltre alla pubblicazione dei provvedimenti sul sito web istituzionale.

Articoli simili