Utilizzo dati biometrici nell'ambito del rapporto di lavoro: principi e riflessioni

Mario Cassaro
24 Gennaio 2017

Con un recente provvedimento, il Garante della Privacy ha accolto positivamente la richiesta di verifica preliminare per la sperimentazione di un progetto di autenticazione basato sul riconoscimento vocale e facciale per la consegna dei cedolini online. La rapida evoluzione delle tecnologie biometriche rappresenta ormai una realtà da tenere in considerazione, soprattutto se l'utilizzo di esse avviene nell'ambito dei rapporti di lavoro. L'approfondimento analizza la disciplina in costante evoluzione, con l'intento di fornire un quadro di riepilogo dei principi e delle misure finalizzate al contemperamento delle esigenze di tutela dei lavoratori e di controllo da parte dei datori di lavoro.
Quadro normativo

Notoriamente le tecnologie biometriche consentono di riconoscere un individuo mediante il rilevamento di particolari dati fisici, ad esempio attraverso l'analisi delle impronte digitali, dal suono della voce, dalla scansione oculare o dalla morfologia facciale, trasferiti successivamente in un apposito modello di riferimento a carattere numerico nel quale, ad ogni numero, sono associate determinate caratteristiche.

È evidente come l'utilizzo di simili metodologie di riconoscimento imponga la regolamentazione delle pratiche, dei sistemi utilizzati e delle modalità di conservazione dei dati raccolti, in particolare quando tali sistemi siano adottati nell'ambito di un rapporto lavorativo.

Com'è noto, nell'ambito dei rapporti di lavoro la raccolta di dati personali è un'esigenza imprescindibile, necessaria allo svolgimento del rapporto stesso e coinvolge aspetti anche di controllo dei lavoratori, disciplinati in primis dalla Legge n. 300/1970 (Statuto dei Lavoratori) e da una serie di disposizioni successive, tra cui il D. Lgs. n. 196/2003 in materia di trattamento dei dati personali (privacy), da numerosi provvedimenti del Garante per la Privacy e da varie pronunce giurisprudenziali.

È pertanto facile intuire che la disciplina in materia non ha fonte univoca ma è frutto dell'intersecazione tra le disposizioni testé citate. Il rapido sviluppo delle tecnologie, anche nel campo biometrico (basti pensare alla facilità con cui oggi alcuni smartphone riconoscono il legittimo proprietario semplicemente leggendo l'impronta digitale) fornisce anche ai datori di lavoro dei validi sistemi per prevenire i comportamenti scorretti, con particolare riguardo agli apparati di controllo degli accessi, al fine di prevenire i fenomeni di rilevazione delle presenze e la timbratura del cartellino operata da terzi in modo fraudolento.

Lo stesso sviluppo tecnologico consente oggi di ricorrere a sistemi che combinano varie tecniche di riconoscimento, talvolta complesse, in risposta alla diffusione di fenomeni di assenteismo e di pratiche fraudolente a danno dei datori di lavoro, che tuttavia rappresentano una minaccia per la tutela della riservatezza dei lavoratori, in contrapposizione a legittime esigenze di controllo.

È bene premettere che alcuni aspetti vengono ormai risolti dalla stessa evoluzione tecnologica, si pensi ad esempio ai sistemi di rilevazione delle impronte digitali che, attualmente, non memorizzano l'immagine dell'impronta ma si limitano a creare un codice di riconoscimento univoco sottoforma di stringhe di testo. Ebbene, in questi casi, qualora un malintenzionato violasse l'integrità dei sistemi informatici di un'azienda, non entrerebbe in possesso dell'impronta dei dipendenti né di alcun dato biometrico. Ancora più validi sono quei sistemi che memorizzano i dati direttamente sul badge in possesso del lavoratore anziché nei sistemi del datore di lavoro, permettendo che i dati stessi restino nella disponibilità del titolare.

Il problema dunque non è di natura tecnologica ma normativa, ciò vuol dire che, qualora un datore di lavoro decidesse di adottare simili sistemi, avrebbe l'imbarazzo della scelta, a patto che quello prescelto fosse pienamente rispondente ai dettami delle normative in vigore.

Tutti i soggetti coinvolti in un rapporto di lavoro sono ormai consapevoli del fatto che numerose attività, svolte quotidianamente nell'ambito degli stessi rapporti, comportano il trattamento di dati personali relativi ai lavoratori e talora di informazioni estremamente sensibili. La raccolta, l'utilizzazione o la conservazione di dati relativi ai lavoratori attraverso strumenti elettronici sono operazioni soggette all'applicazione della normativa in materia di protezione dei dati. Ciò vale anche per il monitoraggio da parte del datore di lavoro della posta elettronica o degli accessi ad Internet dei lavoratori, che comportano necessariamente il trattamento di dati personali, così come il trattamento di dati in formato sonoro o visivo; invece la videosorveglianza dei lavoratori è regolamentata dalle disposizioni stabilite con direttive comunitarie e dalle leggi nazionali di recepimento.

L'Autorità Garante per la Privacy, nelle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”, aveva già nel 2006 dichiarato illecito l'uso generalizzato di dati biometrici.

Il provvedimento del Garante fu pubblicato nella G.U del 7 dicembre 2006, n. 285, ai sensi dell'art. 154 del Codice Privacy comma 1, lettera h) mentre la parte relativa ai dati biometrici trovava la sua fonte nell'art. 17, in materia di trattamento di dati che presentano specifici profili di rischiosità (prior checking).

Come specificato dalla stessa Autorità, la disposizione si aggiunge ad altre norme che rilevano nell'ambito della medesima disciplina a protezione dei dati personali, seppure sotto un profilo differente, in primis richiamando la Legge n. 300/1970 in materia di controlli a distanza dei lavoratori e di divieto di indagine sulle opinioni dei medesimi.

La raccolta e la registrazione di impronte digitali e dei dati biometrici, sono stati considerati operazioni di trattamento dati personali riconducibili ai singoli interessati, ai sensi dell'art. 4, comma 1, lett. b) del Codice Privacy.

Il citato art. 154 attribuisce all'Autorità una serie di poteri, prescrittivi e inibitori, il cui esercizio, anche d'ufficio, stabilisce le misure necessarie a rendere il trattamento conforme alla suddetta disciplina. Sulla base di tali poteri, in passato il Garante ha adottato diversi provvedimenti aventi ad oggetto il trattamento di dati connesso al rapporto di lavoro e idoneo ad incidere sullo svolgimento dei controlli.

Tra questi, si sottolinea l'importanza del Provvedimento n. 13 del 1 marzo 2007, recante le linee guida per l'utilizzo della posta elettronica e di Internet, i successivi Provvedimenti 8 aprile 2010, pubblicato in G.U. n. 99 del 29 aprile 2010, in materia di trattamento di dati personali effettuato tramite sistemi di videosorveglianza e n. 370 del 4 ottobre 2011 sui sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro, da ultimo il provvedimento prescrittivo n. 513 del 12 novembre 2014 proprio in tema di biometria.

Tutte le disposizioni citate prescrivono alle imprese, in qualità di titolari del trattamento, adempimenti specifici e limiti alla raccolta e all'utilizzo dei dati riguardanti i lavoratori.

In considerazione delle modifiche che nel tempo hanno riguardato l'art. 4 della Legge n. 300/1970 ed in assenza di un intervento specifico da parte dell'Autorità, occorre verificare se le prescrizioni contenute nei predetti provvedimenti possano essere considerate ancora efficaci e in che termini possano incidere sullo svolgimento dei controlli e sull'esercizio dei conseguenti poteri disciplinari.

In via preliminare, si osserva che la maggior parte dei predetti provvedimenti ha come presupposto le garanzie previste dalla precedente formulazione dell'art. 4 dello Statuto (accordo sindacale o autorizzazione amministrativa), al fine di stabilire la liceità del trattamento, applicare la disciplina del bilanciamento di interessi e, se possibile, anche esonerando il titolare dall'acquisizione del consenso al trattamento dei dati.

In generale, il tema dei limiti e delle condizioni per l'installazione e l'uso di apparecchiature e di impianti di controllo dei lavoratori, anche a distanza, è indubbiamente uno dei più dibattuti in materia di lavoro. La disciplina dell'art. 4 dello Statuto dei Lavoratori imponeva difatti un divieto generale all'utilizzo di detti strumenti, salvo specifiche eccezioni rappresentate da esigenze oggettive e di sicurezza sul lavoro.

Sul punto, per completezza di argomentazione, si ritiene che la normativa come novellata dal D. Lgs. n. 151/2015 e dal successivo D. Lgs. n. 185/2016, attuando una riscrittura dell'articolo in esame, presenta il pregio di contemperare le esigenze aziendali ed organizzative, ormai mutate negli anni, al diritto dei lavoratori ad essere tutelati da controlli arbitrari effettuati a distanza dal datore di lavoro.

Attualmente, ferma restando l'eccezione prevista dall'art. 23 del citato D. Lgs. n. 151/2015, con il quale il legislatore ha modificato l'art. 4 della Legge n. 300/1970, prevedendo che “la disposzione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”, restano pressoché immutati i presupposti che legittimano l'installazione degli impianti in esame, ossia esigenze organizzative e produttive, legate alla sicurezza dei luoghi di lavoro o di tutela del patrimonio aziendale ed il necessario accordo preventivo con le RSA/RSU ovvero, in loro mancanza, o un caso di mancato accordo, obbligo di istanza preventiva all'ottenimento dell'autorizzazione da parte dell'Ispettorato Nazionale del Lavoro competente per territorio.

In buona sostanza, in merito agli effetti sui provvedimenti relativi agli strumenti tecnologici di lavoro, si può ragionevolmente ritenere che l'accordo sindacale ovvero l'autorizzazione amministrativa non costituiscano più condizioni di liceità e che i relativi trattamenti siano da ricondurre tra quelli necessari all'esecuzione di un contratto di cui è parte l'interessato (il lavoratore) e, di conseguenza, realizzabile senza il consenso di quest'ultimo.

Si ricorda altresì che, già la manovra economica del Governo Monti, il Decreto 6 dicembre 2011, n. 201 (c.d. Decreto "Salva Italia"), convertito in Legge n. 214/2011, introduceva rilevanti semplificazioni in materia di privacy, nei confronti delle imprese.

Il decreto ha modificato infatti, in maniera sostanziale, il D. Lgs. n. 196/2003 (Codice Privacy), riformandone l'art. 4, comma 1, lettera b), escludendo dalla definizione di “dato personale” le informazioni riferibili a persone giuridiche, enti o associazioni.

Continuando nell'elencazione di alcuni tra i più importanti interventi in materia, ricordiamo che, in precedenza, con Provvedimento 19 novembre 1999 (videosorveglianza e biometria – trattamento dati personali mediante utilizzo di impronte digitali), l'Autorità Garante ha specificato che tali rilevamenti rientrerebbero nell'ambito della Legge sulla Privacy, con necessità di fornire un'adeguata informativa, anche oralmente, ai sensi della Legge n. 675/1996 (la norma poi sostituita dal D. Lgs. n. 196/2003) e tale consenso non sarebbe richiesto per l'esercizio di obblighi derivanti dall'esecuzione di un contratto come previsto dall'art. 12 comma 1, lett. b) della stessa Legge, ma resta necessario qualora, ad esempio, il titolare del trattamento comunichi i dati a terzi.

Ancora, il Garante, con altro Provvedimento del 21 luglio 2005, avente come oggetto l'applicazione della disciplina prevista a tutela dei dati personali per la raccolta di impronte, anche parziali, e dei codici numerici successivamente utilizzati per le operazioni di confronto, si richiamava a principi di necessità, proporzionalità, finalità e correttezza, nonché di qualità dei dati (artt. 3 e 11 del Codice Privacy e art. 6, Direttiva n. 95/46/CE).

In detto provvedimento si sottolinea, tra l'altro, che ai sensi dell'art. 2094 c.c., il datore di lavoro sovrintende legittimamente all'esecuzione delle prestazione lavorativa verificando le presenze dei dipendenti ed il rispetto dell'orario di lavoro ma occorre documentare che il trattamento di dati biometrici sia conforme ai suindicati principi di necessità e proporzionalità.

In tale disposizione già si afferma l'illeceità di un trattamento generalizzato e incontrollato, stante l'esigenza di prevenire possibili utilizzi impropri ed abusi. Laddove sia possibile contenere il rischio di pratiche abusive senza ricorrere al trattamento di dati biometrici, anche mediante misure tecnologiche meno invasive, vi è assenza di proporzionalità.

Decalogo sul corretto utilizzo di dati biometrici e principi alla base del trattamento

Con specifico riguardo al rapporto di lavoro, il Garante Privacy ha sottolineato che, in caso di trattamenti svolti nel rispetto dei principi della legge, la necessità di garantire la semplificazione degli adempimenti e la correttezza nelle relazioni negoziali impone, sia al datore di lavoro che al lavoratore, di evitare strumentalizzazioni delle norme sulla privacy allo scopo di danneggiare o rendere più onerosa e difficile l'attività della controparte (Parere 28 ottobre 1999).

Il datore di lavoro che tratti dati personali relativi ai lavoratori, deve sostanzialmente tenere conto di alcuni principi fondamentali.

  • Finalità: i dati devono essere raccolti per uno scopo specifico, esplicito e legittimo e non devono essere sottoposti a trattamenti ulteriori secondo modalità incompatibili con lo scopo originario;
  • Trasparenza: I lavoratori devono essere informati dei dati raccolti nei loro confronti dal datore di lavoro, delle finalità delle operazioni di trattamento previste o effettuate, anche in futuro. Al fine di garantire la trasparenza è inoltre necessario riconoscere all'interessato il diritto di accedere ai propri dati personali e prevedere per il titolare l'obbligo di presentare una notificazione all'Autorità di controllo secondo le norme del diritto nazionale;
  • Legittimità: Il trattamento di dati personali relativi ai lavoratori deve essere legittimo, nel rispetto di quanto stabilito dall'art. 7 della Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995;
  • Proporzionalità: I dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti;
  • Accuratezza e conservazione: I dati relativi ai lavoratori devono essere accurati e, se necessario, aggiornati. Il datore di lavoro deve porre in essere tutte le misure idonee a garantire la cancellazione o la correzione di dati inesatti o incompleti, avendo riguardo alle finalità per le quali essi sono stati raccolti e trattati;
  • Sicurezza: Il datore di lavoro deve mettere in atto idonee misure tecniche ed organizzative a garanzia della sicurezza dei dati personali relativi ai propri lavoratori e per evitare la diffusione o l'accesso non autorizzati;
  • Sensibilizzazione del personale: Il personale incaricato o responsabile del trattamento di dati personali relativi ad altri lavoratori deve essere a conoscenza della normativa sulla protezione dei dati e ricevere una formazione adeguata;
  • Consenso: Il consenso dovrebbe essere inequivocabile e manifestarsi attraverso l'effettiva libertà di scelta, garantendo ai lavoratori di poterlo ritirare anche successivamente, senza alcun pregiudizio;
  • Sorveglianza e monitoraggio: Ogni attività di monitoraggio deve costituire una risposta proporzionata del datore di lavoro ai rischi che si trova ad affrontare.

Andando nello specifico, per quanto riguarda la particolare tipologia dei dati biometrici, il 27 ottobre 2005 il Garante ha redatto il Provvedimento generale sul trattamento di tali dati da parte degli istituti di credito, pubblicato in G. U. n. 68 del 22 marzo 2006.

Il provvedimento ha il pregio di rappresentare il primo chiarimento di alcuni aspetti controversi sotto il profilo giuridico, tra questi anche il trattamento dei dati biometrici dei lavoratori dipendenti.

Nel maggio 2006, riprendendo sostanzialmente i principi affermati in tale provvedimento, l'Autorità Garante emetteva un comunicato stampa nel quale forniva un decalogo contenente i punti da rispettare per l'utilizzo di dati biometrici:

  1. Affidabilità dei sistemi di rilevazione dei dati biometrici e rigidi controlli sugli stessi;
  2. Informativa chiara rilasciata ai soggetti interessati e facoltà di aderire o meno, da parte di questi ultimi, al sistema di rilevazione biometrica, salvo ricorso a sistemi alternativi;
  3. Liceità del sistema verificabile “indubitabilmente” tramite verifica preventiva della necessità, della proporzionalità, della correttezza, dell'adeguatezza e della qualità dei dati da rilevare rispetto agli scopi prefissati previa dimostrazione dell'acclarata inefficacia di sistemi alternativi che presentino meno rischio di abusi;
  4. Deroga motivata con uso controllato in speciali casistiche e non uso generalizzato, incontrollato o indifferenziato. La deroga va periodicamente riesaminata alla luce del progresso scientifico;
  5. Memorizzazione delimitata su supporti circoscritti e sempre disponibili per l'interessato, divieto di centralizzazione degli archivi e di accumulazione dei dati sotto qualsiasi forma;
  6. Temporaneità della conservazione dei dati in ordine cronologico per un periodo limitato (massimo una settimana per l'abbinamento di dati biometrici a sistemi di videoregistrazione);
  7. Misure di sicurezza scrupolose e con sistemi inequivoci, senza rischio e, nel caso di abbinamento di dati biometrici a videosorveglianza (come nel caso delle banche) la presenza di un “vigilatore di dati” indipendente, escludendo anche la sola teorica possibilità di decifrazione dei dati in assenza dell'intervento di detto vigilatore;
  8. Piena ed immediata conoscibilità dei dati biometrici da parte dell'interessato e limitazioni stringenti per il datore di lavoro, suoi dipendenti e collaboratori (divieto assoluto in caso di incrocio tra dati biometrici e videosorveglianza);
  9. Rispetto degli obblighi rigorosi di verifica preliminare del Garante ai sensi dell'art. 17 del Codice Privacy e di notifica alla medesima Autorità ai sensi del successivo art. 37;
  10. Disattivazione automatica, immediata e certa di funzioni di smart card o analoghe, nei casi di smarrimento o di furto.

Dal decalogo emergono i requisiti a cui devono attenersi i datori di lavoro nella predisposizione del sistema di rilevazione ed alcuni obblighi essenziali, in particolare il consenso informato dei dipendenti e la notificazione al Garante.

Si ribadisce che il sistema viene considerato lecito laddove l'uso dei dati biometrici non sia generalizzato ma valutato secondo il contesto, il particolare luogo di lavoro e le finalità a cui è destinato.

In tal senso è ritenuto lecito e pertinente il trattamento di dati biometrici finalizzato al presidio degli accessi a luoghi di lavoro ovvero a lavorazioni particolarmente pericolose, per il generale principio previsto dall'art. 2087 c.c. (si veda il Provvedimento 15 giugno 2006 per l'accesso ad impianti molitori ed a rischio di incendio medio in considerazione del rischio potenziale all'incolumità della generalità dei lavoratori causato dall'accesso di personale non specializzato e del grado di accuratezza consentito dai sistemi biometrici nell'individuazione dell'identità del personale autorizzato) che pone in capo al datore di lavoro l'obbligo di adottare tutte le misure che, secondo la particolarità del lavoro, l'esperienza e la tecnica, dovessero risultare necessarie alla tutela dell'integrità fisica dei lavoratori.

Consenso informato e obbligo di comunicazione

Il trattamento dei dati biometrici richiede il rilascio al datore di lavoro di un consenso preventivo, libero ed informato, da parte dei dipendenti.

Il consenso per essere "libero" richiede che il datore di lavoro abbia provveduto alla predisposizione di misure alternative all'uso di dati biometrici.

A tal fine il datore di lavoro deve rilasciare un'informativa che integri quella già consegnata all'atto dell'assunzione ovvero contenga i dati completi per i casi di nuove assunzioni, vale a dire quelli relativi al trattamento "comune" dei dati dei lavoratori e quelli specifici riguardanti i dati biometrici.

La violazione dei suddetti obblighi potrebbe dar luogo all'applicazione di sanzioni amministrative ed alla pena della reclusione per i casi di trattamento dei dati in assenza del prescritto consenso.

Un ulteriore obbligo previsto in caso di trattamento di dati biometrici consiste nella notificazione al Garante, ai sensi dell'art. 37, comma 1, lettera a) e dell'art. 38 del Codice sulla Privacy.

In merito giova ricordare che, in alcuni casi, si prevede l'esonero dall'obbligo di notificazione per talune categorie di soggetti, in ragione della particolare attività da questi svolta (ad esempio il trattamento di dati biometrici effettuato nell'esercizio della professione di avvocato per le operazioni e per quei dati necessari a svolgere le investigazioni difensive di cui alla Legge n. 397/2000).

Il consenso e la notificazione, tuttavia, non costituiscono le uniche condizioni di liceità del trattamento poiché tali sistemi configurano la fattispecie di controllo a distanza prevista dall'art. 4, Legge n. 300/1970; pertanto, la prescritta liceità rileva altresì sotto il profilo giuslavoristico e pertanto richiede il necessario accordo con le rappresentanze sindacali e, in mancanza di esse, con la sede territoriale dell'Ispettorato Nazionale del Lavoro.

In tal senso anche le recenti modifiche al citato art. 4, operate dal D. Lgs. n. 185/2016, correttivo del Jobs Act, in vigore dall'8 ottobre 2016. Ricordiamo che il tema dei controlli a distanza era già stato oggetto di modifiche con il D. Lgs. n. 151/2015 che rimodulava la fattispecie con l'intento di adeguare la normativa all'attuale contesto produttivo ed agli intervenuti progressi tecnologici che ad oggi permettono il controllo dei lavoratori anche in maniera indiretta, mediante strumenti differenti dai classici impianti audiovisivi.

La formulazione originaria dell'art. 4 St. Lav. stabiliva il divieto assoluto di effettuare il controllo a distanza dell'attività dei lavoratori mediante impianti audiovisivi ed ogni altra apparecchiatura.

Tuttavia, il secondo comma dello stesso articolo, consentiva previo accordo con le rappresentanze sindacali aziendali, l'installazione di strumenti di controllo “richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro” ovvero, in mancanza di RSA o di accordo, previa autorizzazione della D.T.L. territorialmente competente.

Attualmente, ferma restando l'eccezione prevista dall'art. 23 del D. Lgs. n. 151/2015 (di modifica dell'art. 4 più volte citato) prevedendo che “la disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze restano immutati i presupposti che legittimano l'installazione degli impianti in esame, ossia esigenze organizzative o produttive, esigenze legate alla sicurezza sui luoghi di lavoro o di tutela del patrimonio aziendale ed il necessario accordo sindacale preventivo o ancora, se questo manchi, obbligo di preventiva istanza ad ottenere l'autorizzazione da parte dell'Ispettorato competente per territorio.

Inoltre, in considerazione dell'istituzione del nuovo Ispettorato Nazionale del Lavoro, l'art. 5, comma 3, del D. Lgs. n. 185/2016, ha inoltre precisato che, in mancanza di accordo sindacale, per le imprese con unità produttive dislocate negli ambiti di competenza di diverse sedi territoriali dell'Ispettorato, gli impianti audiovisivi e gli altri strumenti dai quali possa derivare la possibilità di controllo a distanza dell'attività dei lavoratori, potranno essere installati previa autorizzazione della sede territoriale del medesimo Ispettorato o della sede centrale dello stesso.

Le linee guida del Garante

Con provvedimento generale prescrittivo n. 513 del 12 novembre 2014, l'Autorità Garante ha ritenuto necessario fornire ulteriori precisazioni sull'utilizzo di dati biometrici, nell'intento di indicare le linee guida e di delineare un quadro di riferimento unitario, integrandolo con le linee guida sulla firma grafometrica.

Con riferimento al trattamento dei dati biometrici dei lavoratori, dalle linee guida e dai provvedimenti specifici dell'Autorità, si ricava che tali dati possono essere utilizzati soltanto in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato e che, quindi, non può ritenersi lecito l'impiego generalizzato e indiscriminato di dati biometrici, specie se funzionale a soddisfare esigenze di sicurezza sommarie, ovvero a perseguire finalità di natura essenzialmente amministrativa (Provvedimento 23 gennaio 2008; Provvedimento 10 marzo 2011; Provvedimento 16 febbraio 2012; Provvedimento 29 marzo 2012, n. 127).

In relazione alle modalità di installazione di sistemi di rilevazione di dati biometrici, tale installazione è ammessa esclusivamente per presidiare accessi ad "aree sensibili", in considerazione della natura delle attività svolte (a titolo esemplificativo si pensi a processi produttivi pericolosi o sottoposti a segreti di varia natura) o dei beni custoditi (è questo il caso dei locali destinati alla custodia di documenti segreti, riservati o di oggetti di valore) oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati.

In merito alla rilevazione di impronte digitali e delle emissioni vocali, va notato che tali dati possono essere utilizzati per l'autenticazione informatica che permette l'accesso a banche dati o a computer aziendali mentre la firma grafometrica può essere utilizzata per la sottoscrizione di documenti informatici.

Per quanto concerne più strettamente i rapporti di lavoro, il documento ribadisce, in via generale, che l'installazione di sistemi di rilevazione di dati biometrici non è consentita per finalità di rilevazione delle presenze sul luogo di lavoro (ex plurimis Provvedimento 21 luglio 2005; Provvedimento 2 ottobre 2008; Provvedimento 15 ottobre 2009; Provvedimento 29 ottobre 2009; Provvedimento 20 ottobre 2011; Provvedimento 31 gennaio 2013; Provvedimento 30 maggio 2013; Provvedimento 1 agosto 2013).

Come abbiamo precedentemente sottolineato, il problema non è di carattere tecnologico ma normativo, malgrado le citate semplificazioni apportate dal Jobs Act e dai suoi decreti attuativi mediante la modifica dell'art. 4 dello Statuto dei Lavoratori ed escludendo, in tal senso, dall'ambito delle contrattazioni sindacali, i temi relativi ai sistemi di rilevazioni delle presenze.

Attualmente esiste, per il datore di lavoro, un'ampia possibilità di scelta del sistema da adottare, a patto che sia pienamente rispondente alle normative in vigore, tra cui -in primis- quella relativa alla privacy. In realtà, da un punto di vista squisitamente pratico, è molto difficile per il datore di lavoro accertare che un sistema di controllo delle presenze, dotato anche di componente biometrica, rispetti il regolamento sulla privacy; anzi, possiamo affermare che fino ad oggi tali sistemi sono stati costantemente considerati inadeguati dall'Autorità Garante al rilevamento delle presenze.

Tuttavia non sono mancati casi di autorizzazione esplicita da parte della stessa Autorità, come nel caso di una società municipalizzata di Napoli operante nel campo della gestione dei rifiuti ed alla quale il Garante ha concesso, con Provvedimento n. 4 del 10 gennaio 2013, l'autorizzazione all'utilizzo di un sistema biometrico che analizza "la geometria della mano" con memorizzazione dei dati su un supporto (template) nell'esclusiva disponibilità dei dipendenti, in considerazione del particolare rischio di infiltrazioni camorristiche e del fatto che l'azienda, per statuto, impiega anche soggetti pregiudicati con carichi pendenti. È chiaro che, con queste premesse, viene a mutare il punto di osservazione e le esigenze di certezza delle presenza assumono connotati completamente differenti dalla generalità delle aziende.

Si tratta ovviamente di un caso particolare e isolato poiché l'orientamento generale è quello di negare autorizzazioni all'utilizzo di sistemi di rilevazione presenze a base biometrica.

In tal senso ricordiamo il procedimento e l'applicazione di sanzioni a carico del comune di Zagarise (CZ) - Provvedimento n. 552 del 22 ottobre 2015 -, che aveva adottato un sistema di rilevamento delle presenze basato sulle impronte digitali ed il cui utilizzo è stato giudicato illegittimo.

Ricordiamo infine che, ai fini dell'applicazione dell'art. 4 dello Statuto dei Lavoratori, l'utilizzo dei sistemi biometrici può essere rilevante sia ai fini del comma 1 che del comma 2.

È necessario, difatti, distinguere tra sistemi biometrici funzionali a rendere la prestazione lavorativa ed idonei a consentire l'accesso in particolari aree dell'azienda, soggetti alla disciplina di cui al comma 2, da quelli solo accessori della strumentazione, soggetti invece, alle disposizioni del comma 1.

In entrambi i casi, il datore di lavoro sarà tenuto al rispetto delle garanzie sulla privacy, nonché ad informare preventivamente il lavoratore in merito alle caratteristiche del dispositivo e alle relative modalità di utilizzo, nonché allo svolgimento dei controlli e alla possibilità di utilizzare le informazioni acquisite a fini disciplinari qualora si ravvisi una violazione degli obblighi derivanti dal contratto di lavoro.

Ribadiamo che il titolare del trattamento deve porre in essere gli adempimenti imposti dal Codice in materia di protezione dei dati personali.

In particolare, a norma dell'art. 13 del D. Lgs. n. 196/2003, è compito del titolare consegnare agli interessati prima dell'inizio del trattamento un'informativa privacy comprensiva di tutti i requisiti dettati dalla legge, all'interno della quale deve essere altresì precisata la facoltà di utilizzare modalità alternative a quella biometrica.

Come abbiamo già evidenziato nelle pagine precedenti, a mente degli artt. 37 e 38 del Codice, il trattamento biometrico deve essere notificato all'Autorità Garante, fatti salvi i casi di esonero decisi in capo a taluni soggetti.

L'art. 17 impone inoltre, in capo ai titolari, l'obbligo di verifica preliminare del trattamento, atteso che lo stesso presenta rischi specifici per i diritti e per le libertà fondamentali dell'individuo. È altresì compito del titolare predisporre gli atti di nomina ad un incaricato e ad un responsabile per i soggetti abilitati a trattare i dati biometrici rilevati. Una nomina ad hoc, dovrà essere destinata al fornitore qualora questi possa accedere a tali dati.

Resta inteso che anche i dati biometrici dovranno essere tutelati dal rischio di distruzione, perdita o accessi non autorizzati, e quindi protetti con le misure di sicurezza, minime ed idonee, imposte dal D. Lgs. n. 196/2003, dal suo allegato tecnico, nonché rispetto a quanto imposto dal Provvedimento 27 novembre 2008 in materia di amministratore di sistema. In ragione di quest'ultimo provvedimento è fatto obbligo al titolare di registrare in modo inalterabile ed incancellabile gli accessi degli amministratori di sistema interni ed esterni, formalizzando il loro ruolo e conservando il log così caratterizzato per almeno sei mesi.

Ricordiamo altresì che la creazione di una banca dati delle impronte o dei tratti somatici degli utenti, utilizzata per il confronto con l'utente al momento dell'accesso, è una pratica sempre vietata a prescindere da qualunque accordo, anche di natura sindacale.

Consegna cedolini on-line

Il Garante della Privacy, con Provvedimento 27 ottobre 2016, ha risposto positivamente alla richiesta di verifica preliminare presentata dal Consorzio per il Sistema Informativo - CSI Piemonte per la sperimentazione di un progetto pilota di autenticazione basato sul riconoscimento vocale e facciale per la consegna dei cedolini online.

Il Consorzio è in tal modo autorizzato a testare, per un periodo di tempo limitato, un'apposita applicazione installata sugli smartphone dei dipendenti che si dichiarino disponibili ad utilizzarla per accedere al servizio "cedolini online", in alternativa al sistema in uso basato su user ID e password.

In tal modo i dipendenti, tramite la app, potranno visualizzare e scaricare il cedolino mensile, il modello di Certificazione Unica e consultare la posizione assicurativa qualora aderiscano al Fondo pensione. Il progetto, che dovrebbe consentire al Consorzio di verificare l'accuratezza, la facilità d'uso e la sicurezza, anche sotto il profilo dei dati personali e di autenticazione biometrica, rientra nell'ambito del programma europeo PIDaaS (Private Identity as a Service) ed ha solo finalità scientifiche.

Come fin qui evidenziato, l'Autorità Garante si era espressa più volte in passato in merito all'uso di dati biometrici in materia di lavoro, specificando le condizioni in virtù delle quali il trattamento dei dati biometrici dei lavoratori può ritenersi lecito e precisando che tali dati possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché, con specifico riguardo ai luoghi di lavoro, per presidiare l'accesso ad aree sensibili in considerazione della natura delle attività ivi svolte oppure per finalità di sicurezza del trattamento di dati personali.

Nel caso di specie, al fine di prevedere un adeguato livello di protezione dei dati dei partecipanti al test, il Garante ha prescritto l'adozione di ulteriori misure, in particolare il trattamento oggetto di sperimentazione dovrà essere effettuato con modalità del tutto autonome rispetto all'operatività dei sistemi ordinariamente utilizzati per finalità di gestione del rapporto di lavoro.

Gli utenti che decideranno di aderire alla sperimentazione (dalla quale potranno recedere in qualsiasi momento) dovranno quindi accedere ad una installazione di test creata ad hoc, contenente solo i loro cedolini.

Il Consorzio, inoltre, dovrà fornire ai lavoratori aderenti all'iniziativa, apposite credenziali ed un indirizzo di posta elettronica temporaneo per avere accesso alla sezione della intranet da cui si avvia la fase di registrazione per effettuare il login alla app. I dati biometrici, poi, dovranno essere cancellati in modo irreversibile al termine della sperimentazione o su richiesta del partecipante.

Il datore di lavoro, dovrà infine individuare i termini e le condizioni delle operazioni di comunicazione e del trattamento dei dati conferiti ad un partner straniero, compresi gli aspetti relativi alla sicurezza ed eventuali incidenti informatici ovvero i casi di violazione dei dati biometrici dovranno essere comunicati tempestivamente al Garante e agli utenti.

Conclusioni

Dopo aver esaminato i principi cardine per l'utilizzo di dati biometrici, potremmo tentare qualche considerazione di ordine pratico.

Ad oggi, se un'azienda volesse adottare un sistema di rilevamento delle presenze su base biometrica, anche se questo fosse estremamente sicuro dal punto di vista della protezione dei dati, non potrebbe prescindere da una richiesta di un parere preventivo all'Autorità Garante per la Privacy, la cosiddetta “verifica preliminare”, ben sapendo che, in mancanza di esigenze molto particolari, l'autorizzazione verrebbe certamente negata.

Gli accadimenti ed i fatti di cronaca degli ultimi anni hanno portato ad una rinnovata attenzione verso i c.d. furbetti del cartellino ed in particolar modo verso strumenti di rilevazione delle presenze sempre più idonei a fungere da deterrente per i comportamenti fraudolenti. Il necessario ricorso a sistemi di dissuasione idonei a scoraggiare in partenza eventuali dipendenti infedeli, evidenzia il disallineamento delle soluzioni disponibili grazie ai continui progressi della tecnologia, rispetto ai requisiti imposti dalla normativa in materia.

Sarebbe allora auspicabile che la sensibilità del Garante seguisse di pari passo l'evoluzione tecnologica. In realtà, ciò già avviene per i sistemi biometrici destinati ai login informatici o al controllo degli accessi, per i quali, al soddisfacimento di determinati requisiti, l'impianto è automaticamente considerato lecito. Inoltre, come abbiamo visto, l'approccio del Garante sull'utilizzo di dati biometrici per la consultazione dei cedolini e della certificazione di lavoro inizia a mostrare segni di maggiore flessibilità. Sarebbe auspicabile estendere un approccio di questo tipo anche al controllo delle presenze, considerando che la verifica preventiva da attivare presso il Garante, spesso rappresenta un deterrente all'adozione degli strumenti biometrici anche per questo tipo di utilizzo.

Infine, ricordiamo che l'Autorità Garante ha precisato che il Provvedimento generale in tema di biometria n. 513 del 2014 ha in particolare individuato "il controllo di accesso fisico, da parte dei soggetti addetti ad aree “sensibili” e l'utilizzo di apparati e macchinari pericolosi tra le ipotesi esimenti l'obbligo di richiesta di verifica preliminare, a condizione che siano rispettati i presupposti di legittimità contenuti nel Codice e che vengano adottate le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati con il provvedimento stesso”.

Pertanto, contrariamente all'interpretazione permissiva di taluni, non si può ritenere che attraverso il provvedimento generale del 2014 si possa bypassare l'adozione di sistemi di monitoraggio degli accessi sulla scorta di generiche esigenze di sicurezza, al contrario, è necessario valutare attentamente se ricorrono tutti gli elementi previsti dal provvedimento stesso, facendo particolare attenzione agli aspetti tecnici e rivolgere al Garante un'istanza di verifica preliminare ex art. 17 del Codice della Privacy.

Da ultimo, è consigliabile valutare attentamente anche la situazione concreta dell'azienda interessata, perché laddove il provvedimento del Garante definisce i presupposti di esonero da verifica preliminare con riferimento all'accesso di “utenti”, tali condizioni non potranno essere estese ai “dipendenti”, il provvedimento è infatti tassativo e non lascia spazio ad interpretazioni estensive.