La recente ordinanza della Cassazione, n. 13873 del 19 maggio 2023, confermando che il trattamento dei dati biometrici e delle impronte digitali dei dipendenti richiede il loro consenso, ci offre uno spunto per qualche ragionamento sul tema.

La disciplina precedente al GDPR

Tale recente decisione si basa tuttavia sull’orientamento precedentemente espresso dalla Cassazione nella sentenza n. 6642 del 6 marzo 2023 ed entrambe queste decisioni fanno riferimento alle disposizioni del Codice privacy previgente (D.Lgs. n.196/2003) che erano in vigore al momento dei fatti esaminati dai tribunali e sottoposti alla Cassazione.

È fondamentale notare che sia l’ordinanza più recente sia la sentenza precedente si basano sulle disposizioni previgenti, che consentivano il trattamento dei dati biometrici con il consenso esplicito dell’interessato, come previsto dall’articolo 23.

Inoltre, richiedeva la procedura di interpello preventivo prevista dall’articolo 17 del Codice, così come la notificazione correlata, come stabilito dal Provvedimento del Garante per la protezione dei dati personali del 12 novembre 2014.

Il GDPR sui dati biometrici (impronte digitali)

Tuttavia, l’entrata in vigore del Regolamento UE 679/2016 (GDPR) ha modificato il quadro normativo relativo ai dati biometrici.

Secondo il GDPR, i dati biometrici sono definiti come dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca e possono includere impronte digitali, iride, volto, impronta vocale e firma dinamica.

Il GDPR ha introdotto un divieto generale di trattamento dei dati biometrici, a meno che non siano presenti le condizioni specifiche indicate nell’articolo 9, comma 2. Tra queste condizioni, il comma 2, lettera b), prevede la possibilità di trattare tali dati quando è necessario per adempiere agli obblighi o esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, a condizione che ci siano garanzie adeguate per i diritti fondamentali e gli interessi dell’interessato.

Il consenso del lavoratore al trattamento dei dati biometrici non è sufficiente

Tuttavia, il GDPR consente agli Stati membri di introdurre misure più restrittive. In questo contesto, il Decreto Legislativo 101/2018, che ha modificato il D.Lgs. 196/2003, stabilisce che il trattamento dei dati biometrici può essere considerato lecito solo se sono soddisfatte le condizioni dell’articolo 9, comma 2 del GDPR e se sono rispettate le misure di garanzia stabilite dall’Autorità Garante per la protezione dei dati personali (che al momento non sono ancora state pubblicate).

Pertanto, alla luce di questo contesto normativo, è possibile individuare i requisiti e gli adempimenti necessari per il trattamento delle impronte digitali dei dipendenti per l’accesso ai locali dell’azienda.

Secondo le autorità di controllo, il consenso fornito dai lavoratori per trattamenti “aggiuntivi” rispetto a quelli strettamente necessari per la gestione del rapporto di lavoro non può costituire una base giuridica valida. Questo perché, considerata la posizione di “debolezza contrattuale” del dipendente nei confronti del datore di lavoro, tale consenso non può considerarsi “liberamente manifestato” come richiesto dall’articolo 7 del GDPR.

Pertanto, per effettuare trattamenti ulteriori dei dati biometrici dei dipendenti, è necessario trovare una base giuridica diversa dal consenso. Tale base giuridica può essere rappresentata dall’articolo 9, comma 2, lettera b) del GDPR, che permette il trattamento di tali dati quando è necessario per adempiere agli obblighi o esercitare i diritti specifici del titolare del trattamento in materia di diritto del lavoro.

La tutela della salute e il bilanciamento dei diritti

Se il trattamento delle impronte digitali dei dipendenti riguarda il controllo di accesso fisico a aree “sensibili” e l’utilizzo di apparecchiature e macchinari pericolosi, si possono applicare le prescrizioni stabilite nel Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014.

Pertanto, sarà necessario adottare le prescrizioni organizzative e tecniche contenute nel provvedimento stesso e non sarà richiesta una valutazione di impatto, poiché il bilanciamento degli interessi è già incluso nel provvedimento stesso (che escludeva la necessità della procedura di interpello prevista dal precedente Codice Privacy).

D’altra parte, se il trattamento delle impronte digitali per il controllo degli accessi riguarda altre aree dell’azienda, sarà necessario valutare se esista ancora una base giuridica valida e adottare le misure prescritte nell’Allegato A del Provvedimento del 12 novembre 2014. Inoltre, sarà necessaria una valutazione di impatto in conformità all’articolo 35 del GDPR.

In conclusione, per poter procedere al controllo degli accessi dei dipendenti tramite il rilevamento delle impronte digitali, è necessario che il trattamento sia basato sull’articolo 9, comma 2, lettera b) del GDPR e che sia necessario per adempiere agli obblighi o esercitare i diritti specifici del titolare del trattamento.

Nel caso di controllo di accesso a aree “sensibili”, si possono seguire le prescrizioni del Provvedimento del 12 novembre 2014, mentre per altre aree potrebbe essere necessaria una valutazione di impatto.