E’ necessario porre molta attenzione alla tutela dei dati personali quando si fa un trattamento di dati biometrici volto a rilevare la presenza dei lavoratori in azienda. In particolare dopo il GDPR.
Indice degli argomenti
Cosa sono i dati biometrici
Secondo la definizione del Regolamento UE 679/2016 (art. 4, comma 1, punto 14) sono dati biometrici i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Caratteristiche principali di detti dati sono:
- l’esclusività, in quanto unici per ogni persona;
- la permanenza, stante la loro immodificabilità salvo casi di lesioni e/o traumi;
- l’idoneità ad identificare con certezza assoluta il soggetto a cui appartengono.
Nell’ottica di un titolare di azienda, dunque, l’utilizzo di sistemi di riconoscimento biometrico potrebbe assicurare una puntuale verifica circa l’effettivo svolgimento della prestazione lavorativa, permettendo di conoscere con assoluta certezza quale lavoratore stia svolgendo le proprie mansioni, evitando situazioni quali “lo scambio di cartellini” tra colleghi.
Tale possibilità, tuttavia, presenta non poche implicazioni in ordine alla legittimità del trattamento e alla conformità dei dispositivi utilizzati alle disposizioni e ai principi generali dettati dal GDPR.
Trattamento di dati biometrici: la base giuridica
Nella previsione del Regolamento Europeo 679/2016 i dati biometrici rientrano nella categoria di quei dati, definiti particolari, che per la loro sensibilità e stretta attinenza alla sfera più “personale” dell’interessato, sono oggetto di specifica protezione. L’art 9 del GDPR, infatti, introduce un generale divieto di trattamento di questa particolare categoria di dati (compresi quindi i dati biometrici), tranne alcune eccezioni, tassativamente indicate:
- quando l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
- quando il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo;
- quando il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- quando il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
- quando il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
- quando il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
- quando il trattamento è necessario per motivi di interesse pubblico rilevante sulla base di norme giuridiche, prevedendo misure appropriate per tutelare i diritti dell’interessato;
- quando il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità;
- quando il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti dell’interessato, in particolare il segreto professionale;
- quando il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Ultima ipotesi, qualora il trattamento sia effettuato ad opera o sotto la responsabilità di un professionista soggetto al segreto professionale per il trattamento di categorie particolari di dati personali relativi alla salute in relazione ad esigenze specifiche, se tale trattamento è effettuato conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
Pertanto, così come anche confermato dall’art. 2 septies del D.lgs. 101/2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio” i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure.
Rilevamento delle presenze: quando il trattamento è legittimo
Si tratta quindi di capire se il trattamento dei dati biometrici dei lavoratori per finalità di controllo dell’osservanza dell’orario di lavoro possa essere considerato legittimo ai sensi del GDPR alla luce delle basi giuridiche del trattamento dei dati personali di cui al citato art. 9.
Tale questione è stata affrontata proprio dall’Autorità Garante della privacy sul recente “parere sul disegno di legge recante interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” reso in data 11/10/2018 doc. web. 9051774 attinente ai presupposti di liceità del trattamento innanzi descritto esprimendosi in senso positivo al disegno di legge considerato, seppur con alcune osservazioni che saranno appresso esaminate.
Attraverso tale proposta normativa il legislatore nazionale promuove alcune modifiche al D.lgs. 165/2001 prevedendo l’introduzione di “sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso” al fine di reprimere il fenomeno dell’assenteismo nelle pubbliche amministrazioni.
Come già abbiamo indicato, occorre considerare che tra i requisiti di liceità del trattamento dei dati biometrici, il Regolamento fa rientrare il presupposto che il trattamento “sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro” nella misura in cui sia autorizzato “dal diritto (…) degli Stati Membri (…) in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9 par. 2 lett. b) con conseguente forte limitazione del ricorso a tale presupposto di liceità per l’effettuazione dei trattamenti di verifica delle presenze dei lavoratori tramite strumenti di verifica biometrica dell’identità, se non nei casi in cui un provvedimento legislativo o regolamentare intervenga per autorizzarne l’utilizzo previo accertamento e verifica dell’idoneità delle misure tecniche adottate per la protezione dei dati trattati.
Il tutto, è opportuno sottolineare, sempre con riserva, ad opera della normativa italiana, di prevedere “norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro…” ed in particolare norme che “includano misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e i diritti fondamentali degli interessati” (art. 88 GDPR).
Sempre il Garante nel provvedimento innanzi citato sottolinea come le predette misure debbano essere tali da garantire il rispetto dei principi di liceità, proporzionalità e di minimizzazione del trattamento.
In particolare, sotto il profilo delle misure organizzative, il Garante propone di:
- limitare la scelta ad un solo strumento di verifica (videosorveglianza o sistemi di identificazione biometrica) evitando quindi un utilizzo congiunto dei due strumenti di rilevazione delle presenze;
- disciplinarne l’utilizzo nel rispetto del principio di gradualità delle misure limitative dei diritti delle persone, ove cioè altri sistemi di rilevazione delle presenze non risultino idonei rispetto agli scopi perseguiti;
- ancorarne l’utilizzo alla sussistenza di specifici fattori di rischio ovvero a particolari presupposti quali ad esempio le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale.
La declinazione di tali fattori potrebbe essere demandata ai regolamenti di attuazione, sui quali il Garante dovrà esprimere il parere di competenza.
Privacy by design e privacy by default: due principi sempre validi
Sotto il profilo delle misure tecniche riferibili alla conformità degli strumenti adottati alle prescrizioni del Regolamento, non sarà possibile prescindere dall’osservanza degli ormai ricorrenti principi di privacy by design e privacy by default.
Il titolare, cioè, in un’ottica di prevenzione del rischio e protezione degli interessati, prima ancora che inizi il trattamento e, successivamente, nell’esecuzione dello stesso, dovrà adottare ed attuare tutte quelle misure tecniche ed organizzative volte ad assicurare la riservatezza e la protezione dei dati personali, nel rispetto della disciplina dettata dal Regolamento (privacy by design).
Pertanto, qualora un’azienda decida di utilizzare strumenti volti a raccogliere dati biometrici, dovrà necessariamente utilizzare uno strumento che rispetti i requisiti dettati dalla disciplina privacy (ad esempio, uno strumento di riconoscimento del volto che minimizzi i dati, trattando e conservando solo quei dettagli necessari a compiere l’identificazione) e dotarsi di sistemi di cifratura e pseudonimizzazione dei dati. Inoltre, come impostazione predefinita dell’azienda, potranno essere trattati solo i dati necessari e sufficienti per il compimento delle finalità previste e per il periodo di tempo strettamente necessario, consentendo l’accesso ed il trattamento dei dati all’interno dell’azienda ad un numero preventivamente definito di incaricati, che dovranno essere appositamente individuati e muniti di apposite istruzioni (privacy by default).
L’osservanza delle disposizioni innanzi indicate e dei rispettivi provvedimenti attuativi non esonereranno il titolare del trattamento dall’obbligo di effettuare una valutazione di impatto sul trattamento dei dati relativi all’utilizzo di strumenti biometrici di accertamento dell’identità dei lavoratori, considerato che tutti i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione)dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti” sono obbligatoriamente soggetti alla valutazione d’impatto. (Allegato 1 al provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979])
Conclusioni
Il Regolamento europeo costituisce una sorta di vademecum posto nelle mani del Titolare per un corretto trattamento dei dati personali degli interessati alla luce del progresso tecnologico che ha interessato la nostra società negli ultimi decenni. La garanzia dell’osservanza dei principi fondamentali del trattamento tra cui quello di liceità, proporzionalità e minimizzazione costituiscono il punto fermo intorno al quale il Titolare dovrà ancorare ogni decisione connessa al trattamento di dati personali che lo stesso intenderà realizzare. L’utilizzo di sistemi di accertamento biometrico dell’identità dei lavoratori è asservito all’interesse del datore di lavoro a non venir “frodato” dai suoi dipendenti, soprattutto nel settore della pubblica amministrazione dove il destinatario del servizio reso è la comunità nel suo complesso. Un interesse questo che viene perseguito mediate l’utilizzo di sistemi tecnologici innovativi che per essere considerati legittimi devono operare nel rispetto dei diritti e delle libertà fondamentali degli interessati e sui presupposti di legittimità previsti dal Regolamento e di cui il Garante, e prima ancora il Legislatore nazionale, devono farsi promotori.