No secco dall’Autorità Garante per la Protezione dei Dati – GPDP all’utilizzo del riconoscimento facciale per il controllo presenze al lavoro. Così sono scattate le sanzioni, cinque in uno stesso giorno, lo scorso 22 febbraio 2024, nei riguardi di altrettante società tutte connesse a questa vicenda.
I rispettivi provvedimenti ripercorrono sostanzialmente le stesse argomentazioni. Ciò che ne deriva, al netto, è semplice: “il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti”.
Vediamo meglio.
Indice degli argomenti
Stop al riconoscimento facciale per rilevare le presenze al lavoro
Partiamo dal presupposto che i dati biometrici non possono essere trattati se non con le dovute cautele, misure e tutele.
Aggiungiamo, poi, che essi rientrano, come noto, tra le categorie particolari dati (art. 9, par. 2 GDPR) e rappresentano tutti quei dati che analizzano caratteristiche di tipo fisico, fisiologico o comportamentale legati a una persona, individuata e individuabile attraverso questo trattamento.
I dati biometrici servono, quindi, a “consentire e confermare l’identificazione univoca di una persona, come avviene, ad esempio, attraverso l’analisi dattiloscopica”. Ne discendono quindi rischi particolarmente elevati (perdita, trafugamento o utilizzo in modo non appropriato e corretto).
Le criticità dell’uso del riconoscimento facciale al lavoro
L’utilizzo del riconoscimento facciale per il rilevamento/controllo presenze al lavoro presenta diverse criticità in termini di protezione dati e in particolare:
- Una illiceità del trattamento: secondo il GPDP il riconoscimento facciale per il controllo delle presenze viola la privacy dei dipendenti poiché dato biometrico, il cui trattamento è soggetto a stringenti regole. Non esiste al momento una norma specifica che consenta l’uso di dati biometrici per questo scopo.
- La mancanza di consenso poi è l’altro fattore senz’altro critico; consenso che rammentiamo, deve essere libero, specifico, informato e inequivocabile che in ambito juslavoristico è difficile ipotizzarlo, visto il disequilibrio tra le parti, da sempre.
- Il rischio di discriminazioni, ben potendo portare a diseguaglianze nei confronti di taluni dipendenti, come ad esempio a causa di errori di sistema o di pregiudizi inconsci negli algoritmi utilizzati.
- Le difficoltà di provvedere alla cancellazione dei dati: in via definitiva e così aumentando il rischio di furti di identità ovvero di altri usi impropri.
- La mancanza di garanzie e di valide alternative, per cui i sistemi di riconoscimento facciale possono essere vulnerabili ad attacchi informatici, con il rischio di furto/uso improprio di dati biometrici dei dipendenti.
In estrema sintesi, dunque, l’utilizzo del riconoscimento facciale per il rilevamento delle presenze al lavoro è altamente sconsigliato se non anche del tutto vietato.
Al riguardo le organizzazioni sono tenute a utilizzare sistemi meno invasivi per il controllo delle presenze dei propri dipendenti, come ad esempio il classico badge.
Trattamento illecito di dati biometrici: cosa dice il Garante privacy
Nei provvedimenti in disamina, l’Autorità garante nell’argomentare i singoli provvedimenti, ritiene che “il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti”.
I trattamenti di dati personali biometrici sono “illegittimi”, tenuto anche conto che la finalità degli stessi “potrebbe essere egualmente raggiunta con mezzi meno invasivi della sfera personale del lavoratore”.
I dati biometrici sono definiti dall’art. 4, par. 1, n. 14 del GDPR come quei: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Sono dati appartenenti a questa categoria anche altri ovvero tutti quelli che possono identificare univocamente una persona fisica.
A tal proposito, l’AI Act di recente approvazione contiene ulteriori specifiche in merito, fornendo una definizione di “identificazione biometrica”, ovvero quel “riconoscimento automatico di caratteristiche fisiche, fisiologiche e comportamentali di una persona, quali il volto, il movimento degli occhi, la forma del corpo, la voce, la prosodia, l’andatura, la postura, la frequenza cardiaca, la pressione sanguigna, l’odore, la pressione esercitata sui tasti, allo scopo di determinare l’identità di una persona confrontando i suoi dati biometrici con quelli di altri individui memorizzati in una banca dati di riferimento, indipendentemente dal fatto che la persona abbia fornito il proprio consenso”.
I fatti
La vicenda nasce da talune segnalazioni/reclami che, in data 24 ottobre 2022, da alcuni dipendenti di una società consortile, i quali per accedere al cantiere/luogo di lavoro stesso (sito di smaltimento rifiuti), dovevano fare uso di “un rilevatore biometrico”, basato sul riconoscimento facciale tramite un tal dispositivo (Face Deep 3– Smart Face Recognition System).
La scelta di tale evoluto strumento pare che si fosse reso necessario per contrastare il cd fenomeno di assenteismo che si era più volte già verificato.
A prescindere dalla motivazione e senza entrarvi nel merito della legittimità o meno pensando ai profilo giuslavoristici, un dato è pacifico: il riconoscimento facciale rientra tra quei mezzi particolarmente invasivi della sfera personale del lavoratore, con tutto ciò che ne consegue.
I provvedimenti
Nella tabella che segue, per brevità ma non a discapito della completezza, ecco che possiamo apprezzare come i cinque provvedimenti sanzionatori e rispettivamente (doc. web. 9995680, 9995701, 9995741, 9995762, 9995785), siano così articolati:
DOC WEB | RUOLO ASSUNTO | VIOLAZIONI RISCONTRATE | IMPORTO |
9995680 | Titolare – datore di lavoro | principi (art. 5)nomina a responsabile (art. 28)mancato censimento dell’attività di trattamento nel registro (art. 30)misure di sicurezza deboli (art. 32)mancata DPIA (art. 35) | 70.000,00€ |
9995701 | Responsabile del trattamento – Società consortile | 5.000,00€ | |
9995741 | Responsabile del trattamento | 6.000,00€ | |
9995762 | Responsabile de trattamento – Partner tecnologico | 20.000,00€ | |
9995785 | Responsabile del trattamento – Consulenti del lavoro | 2.000,00€ |
I passaggi più salienti
Vediamo ora alcuni dei passaggi, già dal primo citato provvedimento quello che di fatto origina gli altri in qualità di titolare con la sanzione più alta e che si porta dietro anche la logica della cd “pesca a strascico”.
Anzitutto, il GPDP osserva che “vi è trattamento di dati biometrici sia nella fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie) sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze”.
Anche la semplice estrazione del template implica un trattamento di dati biometrici.
Il datore di lavoro, in qualità di titolare del trattamento, è tenuto ad applicare i principi generali in materia di protezione dati, e in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) – GDPR.
Nel contesto lavorativo, poi, come si legge pedestremente in tutti i provvedimenti “le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento”. In pratica, sono dati (ex) sensibili.
Ancora. Tenuto conto del combinato disposto con l’art. 2-septies del rinformato Cod. Privacy (“Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”), tali “…trattamenti possono essere effettuati conformemente alle misure di garanzia disposte dal Garante (ai sensi dell’art. 9, par. 4, del Regolamento)”.
Non solo, altro passaggio interessante si ravvisa allorché il GPDP afferma che “…l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al dichiarato fine di far fronte ad illeciti disciplinari”.In pratica, non risponde ai principi di minimizzazione e proporzionalità del trattamento.
Ma v’è di più. Prosegue il GPDP: “La valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto, inoltre, dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo”, cui si rinvia.
Da ultimo, degna di nota appare ancora la circostanza per la quale il produttore e il fornitore di dispositivi di riconoscimento facciale (soggetti che in ogni caso devono tener conto del diritto alla protezione dei dati: v. cons. 78 del Regolamento) si difendono dicendo di aver ottenuto una “dichiarazione e certificazione di conformità dell’apparato biometrico […], in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR”.
A parte la dubbia veridicità in termini non tanto formali quanto sostanziali di potersi dichiarare “GDPR compliant”, che tanto in astratto quando in concreto è difficilmente praticabile, come è possibile definirsi tali? E quel costante monitoraggio e presidio (PDCA) come si concilia?
Trattamento illecito di dati biometrici: 5 provvedimenti, ma un unico fil rouge
Iniziamo con il dire che non esiste, allo stato attuale, una norma che legittimi l’utilizzo dei dati biometrici i quali, in quanto tali, ricadono sotto la scure dell’art. 9, par. 2, GDPR. Di qui, l’esigenza di ricorrere a “mezzi meno invasivi della sfera personale del lavoratore”.
Ciononostante, vista la porzione di accountability che ciascuno è tenuto a (dover) dimostrare, ecco che l’Autorità ha evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’Ordinamento nazionale che in quello europeo.
A tal proposito, il Garante ha più volte stabilito che “la violazione dell’art. 28 […] deve essere imputata anche al responsabile, in quanto, in assenza del contratto o di altro atto giuridico; in difetto le attività di trattamento di dati da avverrebbero in assenza di idonea base giuridica.
Ecco che le Organizzazioni, ad avviso del Garante, “…avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come ad es. il badge).
Trattamento illecito di dati biometrici: le violazioni riscontrate
Da ultimo, notiamo che le violazioni riscontrate sono accomunate dai medesimi perché, e nella fattispecie per non aver:
- dato l’informativa ex art. 13 che, in campo datoriale, esprime anche un dovere di correttezza;
- stipulato tra le parti un accordo ex art. 28 GDPR la cui assenza determina oltre che una violazione di legge anche una carenza di idonea base giuridica;
- censito il trattamento nel Registro delle attività di trattamento quale “obbligo generalizzato” ex art. 30 e di conseguenza per non aver scelto delle misure di sicurezza adeguate ex art. 32;
- effettuato una DPIA ex art. 35 quando invece, scrive testualmente il Garante, In base all’art. 35 del Regolamento, in relazione a trattamenti che prevedono “l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, [tali da] presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Tanto basta per concludere con un assioma: in base all’art. 35 “l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, presenta un rischio elevato per i diritti e le libertà delle persone fisiche” che necessita di una robusta tutela in termini di protezione dati.