Telecamera utilizzata per il riconoscimento facciale: immagine relazionata all'articolo sul garante privacy e le sanzioni ai datori di lavoro
 | 

Divieto d’uso del riconoscimento facciale per la rilevazione delle presenze al lavoro

DiStudio Associato Pagani

I recenti provvedimenti del Garante privacy

Con recenti provvedimenti, pubblicati nella newsletter del 28.03 u.s., il Garante per la protezione dei dati personali, a seguito di reclami da parte dei lavoratori interessati, ha provveduto a sanzionare i datori di lavoro per aver utilizzato un sistema di rilevazione di dati biometrici (nel caso specifico riconoscimento facciale) per la rilevazione delle presenze sul luogo di lavoro dei propri dipendenti.

Tale utilizzo è stato infatti ritenuto un trattamento illegittimo di dati, privo di valida base giuridica, oltreché contrario ai principi di liceità, necessità e proporzionalità.

Normativa sui dati biometrici

Il trattamento dei dati biometrici, come definiti dall’art. 4, n. 14, del Reg. (UE) 2016/679 (“GDPR”) quali

«dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici»

Art. 4, n. 14, del Reg. (UE) 2016/679 (“GDPR”)

di norma vietato ex art. 9, par. 1 GDPR – è consentito solo in presenza di una delle condizioni indicate dal par. 2 dello stesso articolo e, con specifico riferimento ai trattamenti effettuati in ambito lavorativo, solo quando questo sia

«necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato»

Art. 4, n. 14, del Reg. (UE) 2016/679 (“GDPR”)

E ancora, l’art. 2-septies del D. Lgs. 196/2003, prevede e conferma che

«i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’articolo 9 GDPR e in conformità alle misure di garanzia disposte dal Garante con apposito provvedimento adottato con cadenza biennale». 

Art. 2-septies del D. Lgs. 196/2003

Un provvedimento che è peraltro, ancora oggi, in fase di approvazione.

Ne consegue, quindi, che neppure il consenso del lavoratore potrebbe essere ritenuto una base giuridica valida per il trattamento dei dati biometrici nell’ambito del rapporto di lavoro.

Tenuto conto dell’assenza di una normativa ad hoc, il Garante – in continuità con decisioni in precedenza assunte – ha confermato che:

  • il vigente ordinamento non consente il trattamento di dati biometrici per finalità di rilevamento della presenza presso il luogo di lavoro;
  • l’uso di dati biometrici – al dichiarato fine di fronteggiare, ad es., illeciti disciplinari o contenziosi legati alla corresponsione di compensi per lavoro straordinario – non è conforme ai principi di minimizzazione e proporzionalità del trattamento, anche alla luce della possibilità, per il datore di lavoro, di ricorrere ad altri strumenti utili a garantire la rilevazione delle presenze nel luogo di lavoro (quali possono essere, ad es., i badge).

Violazioni e sanzioni emesse

In tale contesto l’Autorità ha rilevato ulteriori violazioni commesse da parte dei datori di lavoro, in qualità di titolari del trattamento, come segue:

  • omessa informativa ex art. 13 GDPR (obbligo di indicare a dipendenti e collaboratori le caratteristiche essenziali dei trattamenti di dati effettuati);
  • omessa designazione della Società terza che gestiva l’applicativo di riconoscimento facciale quale Responsabile del trattamento (ai sensi dell’art. 28 GDPR);
  • omessa effettuazione della valutazione di impatto (DPIA) prima dell’inizio del trattamento, cui il titolare del trattamento è tenuto in caso di uso di nuove tecnologie (art. 35 GDPR);
  • omessa indicazione, nel registro dei trattamenti tenuto dal titolare, dei dati biometrici tra i tipi di dati dallo stesso trattati;
  • omessa predisposizione da parte del datore di lavoro di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, assicurando su base permanente la riservatezza dei dati.

Sono state emesse ordinanze d’ingiunzione a carico di ciascuna delle Società interessate (con pagamento di sanzione amministrativa pecuniaria di importo variabile tra Euro 2.000,00 ed Euro 70.000,00), proporzionate alle dimensioni delle rispettive Società e alla condotta dalle stesse tenuta nel corso del procedimento, oltre alla pubblicazione dei provvedimenti sul sito web istituzionale.

Articoli simili

Flessibilità del congedo di maternità: indicazioni operative INPS
 |  |  |  |  | 

Flessibilità del congedo di maternità: indicazioni operative INPS

DiStudio Associato Pagani

Con Circolare n.106/2022, l’INPS ha fornito nuove indicazioni operative sugli adempimenti previsti in caso di flessibilità del congedo di maternità, ovvero la possibilità di posticipare la data dell’astensione della lavoratrice prima del parto al periodo successivo ad esso. Indicazioni precedenti […] a partire dal mese precedente la data presunta del parto e nei quattro mesi successivi al…

L’utilizzabilità delle immagini delle telecamere nell’ambito di un procedimento disciplinare e i controlli preterintenzionali da parte del datore di lavoro. Nota a Cass. n. 8375 del 23.03.2023
 |  | 

L’utilizzabilità delle immagini delle telecamere nell’ambito di un procedimento disciplinare e i controlli preterintenzionali da parte del datore di lavoro. Nota a Cass. n. 8375 del 23.03.2023

DiStudio Associato Pagani

Di Sabrina Pagani e Marilena Ferramosca – 11 Giugno 2024 Da Lavoro Diritti Europa – Rivista Nuova di Diritto del Lavoro – Maggio 2024

Pensione Opzione donna: la stretta dell’INPS
 |  |  |  |  | 

Pensione Opzione donna: la stretta dell’INPS

DiStudio Associato Pagani

Come noto, la Legge di Bilancio per il 2023 ha introdotto il nuovo comma 1 bis all’art. 16 del D.L. 4/2019. Questo – oltre che per le lavoratrici che al 31/12/2021 avevano maturato i requisiti previsti dal comma 1 del medesimo articolo – prevede la possibilità di accedere alla pensione cd. Opzione donna anche per…

Nomadi digitali e lavoratori da remoto extra UE: modalità semplificate di ingresso in Italia
 |  |  | 

Nomadi digitali e lavoratori da remoto extra UE: modalità semplificate di ingresso in Italia

DiStudio Associato Pagani

In data 4 aprile u.s. è stato pubblicato, sulla Gazzetta Ufficiale n. 79, il Decreto del Ministero dell’Interno del 29 Febbraio u.s. Esso stabilisce le modalità e i requisiti per l’ingresso ed il soggiorno in Italia dei lavoratori cittadini di Stati non appartenenti all’Unione Europea che svolgono un’attività lavorativa altamente qualificata, attraverso l’utilizzo di strumenti…