Utilizzo dei dati biometrici nell’ambito lavorativo

Il quadro normativo dell'utilizzo dei dati biometrici

Il Regolamento generale sulla protezione dei dati (GDPR) utilizza il termine “dati biometrici” per riferirsi a “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o con-fermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici” (art. 4, punto 14), del Regolamento). I dati in esame, considerando la loro stretta connessione con l'identità dell'individuo, sono anche inclusi tra le categorie particolari di dati per i quali l'art. 9 GDPR prevede una disciplina specifica.

Per questo motivo il loro trattamento è permesso solo in una delle occasioni previste dal sopra citato art. 9, par. 2 GDPR. Nello specifico la lettera b) permette il trattamento quando “è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato”.

Alternativamente il trattamento dei dati biometrici può essere ricompreso nell'ambito di applicazione della lettera g) dello stesso articolo che lo ammette quando “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

Questo principio generale viene poi ribadito dalla normativa italiana. Infatti il Codice della Privacy (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. n. 101/2018) all'art. 2-septies afferma che i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell'art. 9 GDPR ed in conformità alle misure di garanzia disposte dal Garante.

Alcuni esempi di raccolta di dati biometrici

La problematica del trattamento dei dati biometrici è diventata sempre più rilevante con l’avanzamento tecnologico che ha permesso lo sviluppo di strumenti avanzati tramite i quali è possibile raccogliere e conservare la tipologia di dati in esame.

Ad esempio nel campo della sicurezza informatica i dati biometrici del soggetto vengono in alcuni casi acquisiti, conservati e confrontati ad ogni suo accesso per verificare l’identità dell’individuo. Come esempi di questo tipo di sistemi possono essere citati la verifica delle impronte digitali o palmari, il riconoscimento della voce o della retina dell’occhio e il controllo dinamico della firma.

Il trattamento di dati personali connesso all’installazione di questi sistemi, soprattutto nei luoghi di lavoro, è stato affrontato spesso dal Garante per la protezione dei dati personali che nel 2006 ha anche pubblicato le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” e nel 2013 le “Le linee guida in materia di riconoscimento biometrico e firma grafometrica”.

I principi generali sul trattamento dei dati biometrici

Il Garante nei suoi provvedimenti sulla questione in esame ha sottolineato la necessità di applicare i principi riguardanti la finalità del trattamento e la conservazione dei dati.

L’art. 5 GDPR stabilisce infatti che il titolare può trattare dati personali solo per scopi determinati, espliciti e legittimi. Inoltre, i dati possono essere trattati solo per le finalità che sono state dichiarate al momento della raccolta.

Inoltre, devono essere conservati solo per il tempo necessario a perseguire gli scopi precedentemente fissati e successivamente devono essere cancellati o anonimizzati.

Chiaramente nell’utilizzo di questi nuovi sistemi deve essere rispettato non solo il principio di necessità ma anche il principio di liceità, che è disciplinato dall’art. 6 GDPR. Il trattamento quindi è lecito solo se si basa sui presupposti normativi che sono stati precedentemente accennati. Per i soggetti pubblici il presupposto può concretizzarsi nella necessità del trattamento di dati biometrici per lo svolgimento di funzioni istituzionali. Per i soggetti privati invece il presupposto normativo può essere individuato nell’adempimento di un obbligo di legge o nel consenso.

Altro principio che deve essere considerato nella raccolta di dati biometrici è quello di proporzionalità. I dati trattati e le modalità con le quali viene effettuato il trattamento non devono risultare sproporzionati rispetto alle finalità prefissate.

In ultimo deve comunque essere rispettato l’art. 13 GDPR che prescrive l’obbligo di informativa. All’interno di quest’ultima deve essere indicata la presenza di etichette RFID o altri sistemi biometrici specificando che è quindi possibile l raccolta automatica di dati personali.

Utilizzo dei dati biometrici nella verifica delle presenze

Uno degli aspetti che è stato approfondito negli ultimi anni dal Garante per la protezione dei dati personali è stato l'utilizzo di apparecchiature per la rilevazione dei dati biometrici per la verifica delle presenze sul luogo di lavoro.

Un atto decisivo sulla questione è stato il Provvedimento n. 167/2019, emanato il 19 settembre 2019, in cui il Garante fornisce il proprio parere sulla disciplina di attuazione della disposizione di cui all'art. 2 l. 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo”. L'intervento normativo in esame prevedeva l'uso di strumenti di raccolta di dati biometrici per ostacolare i cosiddetti “furbetti del cartellino”.

Un primo dubbio riguardava proprio gli strumenti impiegati. La legge, difatti, prevedeva sia la raccolta di dati biometrici che l'utilizzo della videosorveglianza. Questo è chiaramente contrario al già citato principio di proporzionalità del GDPR.

La proporzionalità o meno del trattamento dei dati personali deve essere valutata tenendo in considerazione il fine che il titolare intende raggiungere e quale sacrificio viene richiesto agli individui. Chiaramente, deve essere utilizzata la soluzione che preveda il minor danno possibile alla privacy dei soggetti.

Il Garante ha sottolineato che nel caso in esame non c'è motivo che venga utilizzato un sistema di raccolta di dati biometrici per verificare la presenza dei lavoratori, in quanto la presenza di apparecchi di videosorveglianza era perfettamente sufficiente a raggiungere lo scopo.

L'Autorità ha affermato che i dati biometrici sono “direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all'individuo e denotano la profonda relazione tra corpo, comportamento e identità della persona”. Per questo motivo è necessario limitare il loro utilizzo a meno che non sia assolutamente necessario. Ad esempio nel passato il Garante ha stabilito che la rilevazione dei dati biometrici è legittima quando è prevista come obbligatoria per accedere ad aree riservate sul luogo di lavoro.

In generale però l'Autorità ha stabilito che la presunzione di proporzionalità che viene prevista dalla legge in esame che permetterebbe l'utilizzo sia della videosorveglianza che dei dati biometrici deve essere considerata illegittima e contraria ai già indicati principi generali del GDPR che devono essere rispettati nella disciplina della materia.

Proprio in considerazione di tale parere contrario il primo comma della legge in argomento è stato abrogato dall'art. 1, comma 958, l. 30 dicembre 2020, n. 178.

È importante sottolineare però che questo non esclude del tutto che i dati biometrici possano essere utilizzati nella rilevazione delle presenze. Semplicemente è necessario che ci siano delle circostanze di fatto che richiedano l'utilizzo di questo particolare tipo di strumenti o quanto meno che ci siano dei provvedimenti normativi che giustifichino l'utilizzo del dato biometrico.

Il Garante ha ad esempio previsto la possibilità per una struttura ospedaliera di utilizzare le tecnologie in esame per verificare la presenza del personale perché questo era richiesto per garantire la cura del paziente e perché i normali strumenti di controllo si erano rivelati insufficienti.

In conclusione

Il trattamento dei dati biometrici ha subito una grande evoluzione vista la sempre maggiore diffusione di tecnologie dedicate alla loro raccolta.

Il loro utilizzo nella raccolta delle presenze sul luogo di lavoro continua ad essere un problema affrontato dal Garante della Privacy. Ad esempio con l'Ordinanza ingiunzione 10 novembre 2022, n. 369, l'Autorità ha sanzionato una società che aveva utilizzato sistemi biometrici di rilevazione delle presenze di dipendenti e collaboratori.

Il sopra menzionato art. 2, l. 19 giugno 2019, n. 56, in parte poi abrogato, non prendeva in considerazione la necessità che il trattamento dei dati biometrici rispettasse il principio di proporzionalità ed è quindi necessario che ci siano continui interventi del Garante per stabilire quali siano le linee guida da seguire per l'utilizzo corretto di queste tecnologie.