DOMANDA
Alla luce dell’ordinanza della Corte di Cassazione n. 25686/2018, un’azienda che utilizza impronte digitali e badge per rilevare le presenze dei dipendenti dovrà ottenere un’autorizzazione preventiva da parte del Garante o sarà sufficiente, a seguito di DPIA, modificare l’informativa e ottenere il consenso dei dipendenti?
RISPOSTA
Nel caso in cui un titolare del trattamento voglia procedere all’installazione di un sistema biometrico, è tenuto a porre in essere gli adempimenti indicati di seguito:
- effettuare una DPIA prima di procedere al trattamento;
- valutare l’applicabilità e rispettare la normativa giuslavoristica, ed in particolare gli adempimenti previsti in materia di “impianti audiovisivi e altri strumenti di controllo” dall’art. 4 L.300/70 (qui di seguito “Statuto dei Lavoratori”);
- fornire agli interessati apposita informativa, prima di procedere al trattamento di dati biometrici;
- ottenere il consenso esplicito degli interessati, prima di procedere al trattamento di dati biometrici.
L’art. 35.1 del GDPR prevede, infatti, che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali […]”.
In applicazione di quanto previsto dall’art.35 comma 4 del GDPR, inoltre, l’11 ottobre 2018, con Provvedimento 467/2018 il Garante per la Protezione dei dati personali (di seguito “Garante”) ha pubblicato l’elenco dei trattamenti che devono essere soggetti ad una valutazione di impatto (DPIA). Nell’elenco vengono ricompresi:
- “i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8)”;
- “i trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento”.
Alla luce di quanto sopra, il primo step sarà quindi quello di valutare preventivamente l’impatto che il trattamento potrebbe avere sui diritti e le libertà degli interessati.
In relazione alla valutazione della proporzionalità del trattamento rispetto alla finalità perseguita pare utile specificare che il Garante, in diversi provvedimenti, ha dichiarato sproporzionato il trattamento di dati biometrici per finalità di rilevamento delle presenze dei lavoratori, la quale può essere raggiunta con mezzi meno invasivi della sfera privata del lavoratore. (cfr., tra gli altri, i Provvedimenti n. 552 del 22 ottobre 2015; n. 38 del 31 gennaio 2013; “Uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro – 21 luglio 2005”).
Tuttavia in un caso, invece, il Garante ha ammesso il trattamento per finalità di accertamento della presenza in servizio dei dipendenti in ragione delle peculiarità del trattamento strettamente connesso a quel particolare contesto lavorativo (cfr. Provvedimento 10 gennaio 2013, n. 4).
Si ricorda che nelle ipotesi in cui, conclusa la DPIA, le misure individuate dal titolare non siano ragionevolmente sufficienti a ridurre i rischi ad un livello accettabile ed il pericolo continui a rimanere elevato sarà necessario consultare l’autorità di controllo.
Per quanto attiene invece la normativa giuslavoristica, sarà necessario valutare l’applicabilità al caso di specie dell’art.4 dello Statuto dei Lavoratori.
Sebbene, a seguito delle modifiche intervenute con D.lgs. 151/2015, gli strumenti di registrazione degli accessi e delle presenze vengano esclusi dal perimetro di applicazione del comma 1 dell’articolo 4 e quindi non richiederebbero l’espletamento delle procedure autorizzative (accordo sindacale/autorizzazione ITL), l’applicabilità al caso di specie andrà valutata, a nostro avviso, in relazione alle specifiche modalità di utilizzo dello strumento e alla concreta possibilità di controllo a distanza dell’attività lavorativa che ne possa derivare.
In particolare andrà valutato se il sistema che si intende implementare si limiti a raccogliere e trattare il dato di accesso/presenza del dipendente ovvero permetta, a titolo esemplificativo, di tracciare gli spostamenti del dipendente all’interno dei locali aziendali durante la giornata lavorativa.
Nel caso in cui, a seguito dell’esito delle suddette valutazioni, il titolare decida di procedere con il trattamento sarà necessario:
- predisporre apposita informativa;
- raccogliere il consenso dell’interessato rispettando tutti i requisiti di legittimità del consenso.
Indice degli argomenti
La base giuridica per il trattamento dei dati biometrici
In relazione alla raccolta del consenso si specifica che il GDPR qualifica i dati biometrici come categorie particolari di dati ex art. 9 GDPR.
Nonostante le ampiamente diffuse perplessità in merito alla validità del consenso come base giuridica utilizzabile per il trattamento dei dati nel contesto lavorativo, nel caso di specie il consenso risulta essere, allo stato attuale, l’unica base giuridica applicabile.
Ciò in considerazione sia di quanto disposto dall’art. 9 del GDPR sia di quanto esplicitamente indicato dal Garante nel Provvedimento n. 121 del 22 febbraio 2018. In tale provvedimento, infatti, il Garante afferma che ciascun titolare del trattamento, nel trattare i dati personali sulla base del legittimo interesse proprio o di terzi, debba verificare, prima di iniziare il trattamento, “che tale trattamento non riguardi le categorie particolari di dati personali enumerate all’art. 9, par. 1, del Regolamento (tra i quali sono inclusi i dati biometrici che, rispetto al regime previgente stabilito dal Codice, vengono così sottratti alla possibilità di essere trattati in base al presupposto del legittimo interesse)”.
Proprio in considerazione delle perplessità esistenti in merito alla validità del consenso prestato dal dipendente al datore di lavoro, si ricorda che il titolare dovrà essere in grado di dimostrare che i dipendenti possano concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati.
Nel caso di specie sarà quindi necessario, tra l’altro, prevedere un metodo alternativo di accesso per tutti i soggetti che non intendano prestare il proprio consenso al trattamento dei dati biometrici.
Si tenga infine presente che, come disposto dall’art. 2-septies del D.lgs. 196/03 così come modificato dal D.lgs. 101/2018, i dati biometrici potranno essere oggetto di trattamento in conformità alle misure di garanzia che saranno disposte dal Garante. Nelle more dell’emanazione di tali misure, sembra ragionevole ritenere che il titolare, all’atto di valutazione delle misure tecniche e organizzative adeguate a mitigare i rischi, debba tenere conto delle misure prescritte dal Garante nel “Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014” e nelle allegate linee guida.
La presente risposta in nessun caso, costituisce ovvero intende costituire parere legale o altro tipo di consulenza professionale. Si informa che le tematiche giuridiche sottese al quesito potrebbero necessitare di un’apposita e attenta disamina da parte di professionisti opportunamente coinvolti ed informati.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
