controlli presenza rilevamento impronta dipendenti

Con provvedimento n. 369 del 10 novembre 2022 il Garante per la protezione dei dati personali si è pronunciato nei confronti di una società sportiva dilettantistica, chiarendo quali devono essere i requisiti indispensabili perché il datore di lavoro possa utilizzare un sistema di rilevazione delle impronte digitali per accertare la presenza a lavoro dei dipendenti. Prima di analizzare il contenuto del provvedimento e le conseguenze che il medesimo ha determinato, è opportuno chiarire il regime giuridico dei dati biometrici e la tutela che essi ricevono all’interno del GDPR.

 

Dati biometrici: criticità, garanzie e regime giuridico

Negli ultimi tempi un numero sempre più crescente di strumenti tecnologici, dagli smartphone ai sistemi di videosorveglianza con riconoscimento facciale, è in grado di trattare dati biometrici, rilevando le caratteristiche fisiche, fisiologiche e comportamentali degli interessati. I dati biometrici sono, in sostanza, tutte quelle informazioni che definiscono una persona fisica rendendola sé stessa e differenziandola da chiunque altro (impronte digitali, lineamenti del viso, caratteristiche dell’iride, tonalità della voce).  Le criticità legate a questa tipologia di trattamento risultano, però, essere notevoli. Innanzitutto, la natura profondamente invasiva del trattamento, fa emergere la necessità di un bilanciamento tra l’effettiva necessità del trattamento e la sua proporzionalità. Inoltre, con riguardo a ciascuna tipologia di riconoscimento biometrico, andranno attentamente considerati i tassi di falsi positivi e negativi al fine di verificarne l’accuratezza (punto 7.3, Linee Guida in materia di riconoscimento biometrico e firma grafometria). In terzo luogo, un’ipotesi di data breach che coinvolge dati biometrici può generare gravi conseguenze: a differenza delle password, i dati biometrici non possono essere modificati e tantomeno cancellati. Se vi interessa saperne di più sulla protezione dei dati biometrici, vi consigliamo questo articolo.

Per quanto riguarda la disciplina normativa che regolamenta i dati biometrici, all’interno del GDPR sono presenti una serie di garanzie specifiche e necessarie, considerato il carattere sensibile che tali dati presentano. Oltre all’art. 6 del Regolamento che fornisce una definizione puntuale di dato biometrico (“ dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali immagine facciale o i dati dattiloscopici..”), l’art. 9, par. 1, dispone il divieto generale di trattamento dei dati biometrici, fatte salve le eccezioni e i casi derogatori previsti al par. 2, come, a titolo meramente esemplificativo, il consenso dell’interessato, motivi di rilevante interesse pubblico o qualora il trattamento sia necessario a tutelare un suo interesse vitale, e le ulteriori condizioni legittimanti elencate dall’art. 6 del Regolamento. L’attività, in ogni caso, sarà consentita soltanto laddove sussistano garanzie appropriate a tutela dei diritti dell’interessato e siano individuati accuratamente i requisiti da soddisfare per rispettare la base giuridica del trattamento.

 

Provvedimento del Garante: il caso di specie, le conseguenze e provvedimenti analoghi

Nel caso sottoposto alla nostra attenzione, il Garante ha sanzionato per 20.000 € una società sportiva dilettantistica che utilizzava un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti presso i club in gestione. L’intervento del Garante è avvenuto a seguito di una segnalazione di un’organizzazione sindacale che ha lamentato l’utilizzo del sistema di rilevazione biometrico da parte della società, sebbene la prima avesse già inviato richiesta di utilizzare strumenti di rilevazione meno invasivi. All’esito dell’attività istruttoria e degli accertamenti ispettivi condotti dal nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, è risultato che la società, per circa quattro anni, ha utilizzato un sistema di rilevazione delle impronte digitali per 132 dipendenti, in assenza di un’idonea base giuridica. Oltre alle condizioni sopra richiamate, il trattamento dei dati biometrici sul luogo di lavoro è consentito, infatti, soltanto qualora sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento (il datore di lavoro in questo caso) o dell’interessato in materia di diritto del lavoro e sia autorizzato dal diritto dell’Unione o degli stati Membri, in presenza di garanzie appropriate per i diritti fondamentali dell’interessato. Nel caso in esame, la società, innanzitutto, ha violato i principi di minimizzazione e proporzionalità del trattamento (art. 5 del GDPR), avendo trattato dati biometrici per scopi di ordinaria gestione del lavoro (maggiore rapidità nella rilevazione delle presenze). Inoltre, in violazione delle garanzie di liceità, correttezza e trasparenza prescritte dallo stesso Regolamento, la società ha fornito ai dipendenti informazioni insufficienti sulle caratteristiche del trattamento, limitandosi, nell’informativa sulla privacy, ad indicare che il trattamento dei dati biometrici sarebbe avvenuto con la massima attenzione, senza rappresentare e specificare le ulteriori caratteristiche del trattamento (base giuridica, tempi di conservazione, diritti dell’interessato). Infine, un’ulteriore criticità emersa dall’attività istruttoria, è risultata essere l’omessa indicazione nel registro delle attività di trattamento delle operazioni sui dati biometrici, la cui annotazione nel registro, come quella di tutti i dati personali trattati, è necessaria.

rilevazione impronte azienda presenze

 

Sanzioni per sistemi di rilevazione non a norma

Il caso di specie non è il primo che ha interessato il trattamento di dati biometrici e che ha richiesto l’intervento delle autorità competenti. Con provvedimento del 14 Gennaio 2021, il Garante ha sanzionato per 30.000 € l’Azienda sanitaria provinciale di Enna per aver utilizzato un sistema di rilevazione delle presenze che prevedeva l’utilizzo dell’impronta digitale di oltre 2000 dipendenti e collaboratori dell’azienda. Tale sistema era stato ritenuto sproporzionato rispetto alla quantità di dati raccolti e sostituibile da un sistema meno invasivo, idoneo ad assicurare una verifica delle presenze degli orari di lavoro dei dipendenti altrettanto attendibile. Nella stessa direzione si colloca un recente parere dell’European Data Protection Supervisor, che ha considerato non rispettoso del principio di proporzionalità l’uso di dati biometrici per controllare accessi e orari di lavoro dei dipendenti, ponendo l’accento sulla non necessità di tale trattamento: la citata finalità, infatti, poteva essere realizzata con sistemi tanto efficaci quanto meno invasivi (badge, fogli di presenza).

Ti potrebbe interessare anche questo articolo che spiega tutto sui Controlli difensivi in azienda.

 

Conclusioni e cosa fare

Da queste brevi osservazioni emergono le principali criticità e gli aspetti più rilevanti del trattamento di dati biometrici. Per giustificare e legittimare un trattamento di tale portata, sarà indispensabile condurre un’attenta valutazione sull’effettiva sussistenza in capo al titolare del trattamento di un’idonea base giuridica, ponendo attenzione su aspetti come la corretta informativa da fornire all’interessato. Occorrerà, inoltre, considerare la concreta necessità, proporzionalità e adeguatezza del trattamento, cercando di implementare misure di sicurezza idonee a tutelare i dati raccolti e tenendo conto anche delle finalità e del contesto in cui essi sono trattati: si pensi, ad esempio, alla necessità di utilizzare un sistema di rilevazione biometrico per presidiare l’accesso ad aree sensibili dove sono custoditi documenti riservati o oggetti di valore.

Per qualsiasi esigenza sulle informative o in tema di privacy puoi rivolgerti allo Studio Legale FCLEX (con sede a Bologna, ma si può procedere anche completamente online) e chiedere dell’Avvocato Giuseppe Croari, che da anni opera nel settore, al fianco delle imprese.

avvocato giuseppe croari bologna privacy

Ultimi aggiornamenti

ai act
L’approvazione dell’AI Act da parte dell’Unione Europea rappresenta un passo storico nella regolamentazione dell’intelligenza artificiale (AI). Questo articolo offre un’analisi approfondita del regolamento e delle sue implicazioni per aziende e consumatori. Cos’è e come funziona l’AI Act? L’AI Act è il primo regolamento completo al mondo […]
aliexpress dropshipping
AliExpress, gigante dell’e-commerce mondiale, deve il suo successo non solo alla vastità di prodotti a prezzi competitivi, ma anche al modello di vendita in dropshipping. Questo sistema permette a chiunque di aprire un e-commerce senza costi di gestione, vendendo prodotti disponibili su AliExpress senza possederli fisicamente. […]
smartphone geolocalizzato
Nell’era digitale, gli smartphone rappresentano dispositivi imprescindibili per la vita quotidiana, fungendo da ponte di connessione con il mondo circostante. In questo scenario, la possibilità di rintracciare un telefono smarrito o rubato assume un’importanza cruciale. Tuttavia, l’implementazione di sistemi di geolocalizzazione per smartphone spenti, introdotta da […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.