Premessa

Per aver impiegato sistemi di riconoscimento facciale  basati sul riconoscimento biometrico, il Garante Privacy per la protezione dei dati personali ha pesantemente sanzionato cinque società.

Come detto, il Garante Privacy ha nuovamente messo sotto esame la raccolta di dati biometrici nei luoghi di lavoro con sanzioni a più aziende per non aver rispettato le prescrizioni del DPCM sulla protezione dei dati dei lavoratori.

Le imprese erano coinvolte nella gestione di appalti, e lo strumento di riconoscimento facciale biometrico oggetto di indagine era utilizzato congiuntamente dalle varie Società come strumento di controllo delle presenze.

Il fatto

A seguito delle sanzioni irrogate, le aziende sanzionate hanno depositato delle memorie, secondo cui la necessità di adottare lo strumento del riconoscimento facciale era emersa già nel corso del 2021, a fronte di un significativo aumento di casi di assenteismo.

In particolare le aziende si volevano tutelare per via di timbrature ingannevoli che registravano la presenza di dipendenti in realtà assenti.

La situazione generava numerose vertenze legali relative a richieste di compensazione per presunte ore di straordinario non lavorate, che le società contestavano.

I tentativi di risolvere la questione attraverso i metodi convenzionali si rivelavano inefficaci, soprattutto perché, a detta delle aziende, l’uso di cartellini presenze manuali rendeva impossibile verificare con precisione le ore lavorative effettive dei dipendenti.

Di conseguenza, nel contesto di una legittima esercitazione del diritto di organizzazione e controllo sul corretto svolgimento del lavoro, le Società avevano deciso di implementare soluzioni biometriche quale il riconoscimento facciale, volte a rimuovere le problematiche riscontrate.

Inoltre, il fornitore del servizio di raccolta dei dati aveva reso una dichiarazione di conformità del sistema di riconoscimento facciale al Reg. Eu. 679/2016.

La normativa applicabile

Il Garante Privacy constatava che il trattamento di dati biometrici, come è il riconoscimento facciale, avviene in due fasi distinte:

  • la prima, nota come fase di registrazione o “enrolment”, durante la quale vengono raccolte le caratteristiche biometriche dell’interessato;
  • la seconda fase è quella del riconoscimento biometrico, che si verifica nel momento in cui si procede alla verifica delle presenze.

Conseguentemente, anche l’estrazione del cosiddetto “template biometrico” rappresenta un trattamento di dati biometrici, il quale è soggetto alle norme specifiche stabilite dalla legislazione vigente.

L’articolo 4, paragrafo 14, del Regolamento Europeo 679/2016 (GDPR), definisce i dati biometrici come informazioni derivanti da specifiche tecniche di trattamento che riguardano le caratteristiche fisiche, fisiologiche o comportamentali che permettono o confermano l’identità unica di un interessato, come l’aspetto del viso o le impronte digitali.

Tra i dati biometrici si includono, oltre al riconoscimento facciale, elementi come le impronte digitali, l’analisi della firma e la configurazione dell’iride. I dati biometrici rientrano nei cd dati particolari oggetto di specifica disciplina a norma dell’art. 9 del citato Regolamento a causa della loro natura intrinsecamente privata e personale.

Dati biometrici nel contesto lavorativo

Nel contesto lavorativo, le raccolte delle presenze dei lavoratori possono essere considerate all’interno dell’ambito previsto dall’articolo 9, paragrafo 2, lettera b) del GDPR.

Tuttavia, l’uso di dati biometrici per questi scopi è permesso solo “nella misura in cui tale trattamento sia autorizzato dalla legge dell’Unione Europea o delle singole nazioni […] e siano presenti misure di salvaguardia adeguate per proteggere i diritti fondamentali e gli interessi delle persone coinvolte”.

Ulteriormente, l’art. 2 septies del Codice privacy relativo alle misure di protezione per il trattamento di dati genetici, biometrici e relativi alla salute, stabilisce che tali trattamenti possono essere eseguiti solo in conformità alle previsioni dell’Autorità che ad oggi non consente il trattamento di dati biometrici nel contesto lavorativo.

Il trattamento di dati biometrici per la gestione quotidiana delle relazioni di lavoro, come la registrazione delle presenze, con l’obiettivo di prevenire abusi disciplinari, risolvere dispute su retribuzioni per lavoro straordinario, o monitorare la presenza del personale in cantiere risulta in contrasto ai principi di minimizzazione e proporzionalità del trattamento dei dati ex art. 5, paragrafo 1, lettera c), del Reg. Eu. 679/2016.

La posizione del Garante nel caso di specie

Secondo l’Autorità Garante, le Società non hanno dimostrato né documentato quali fossero gli “ordinari strumenti di contrasto” precedentemente impiegati che hanno reso necessari l’implementazione di un sistema di riconoscimento facciale, quanto meno sono riuscite a dimostrare la ragione della loro inefficacia.

Per monitorare le ore lavorative effettive e verificare la presenza dei dipendenti sul posto di lavoro, avrebbero potuto essere esplorate alternative meno invasive, come controlli automatici tramite badge o verifiche dirette.

Ulteriormente, l’evenienza sollevata dalle Società circa le qualifiche del fornitore che ha reso una dichiarazione sulla conformità ex art. 28 del GDPR non solleva i titolari del trattamento dalle responsabilità in caso di trattamenti contrari alla disciplina.

Secondo il Garante il Titolare del trattamento avrebbe dovuto, prima di adottare dispositivi sviluppati da fornitori esterni, assicurarsi che il trattamento dei dati biometrici tramite tali dispositivi rispettasse i principi normativi vigenti anche in considerazione dell’attività sviluppata dall’Autorità sul punto.

Il titolare del trattamento è direttamente responsabile per l’osservanza dei principi generali relativi al trattamento dei dati e deve essere in grado di dimostrare tale conformità. Tale principio trova conferma nell’articolo 24 del GDPR, che attribuisce al titolare del trattamento specifici obblighi di accountability e di mantenere la completa signoria sulle attività di cui è titolare.

La posizione del Garante in generale

L’Autorità prosegue nel suo approccio consolidato, ribadisce il divieto e considera illegittima la raccolta di dati biometrici nel contesto lavorativo, in linea con le decisioni passate.

La costante posizione rappresenta un’ulteriore conferma dell’impegno a proteggere contro l’eccessiva intrusività delle tecnologie e del trattamento dei dati relativi ai dipendenti, che rappresentano la parte più vulnerabile in questo nuovo contesto

Laddove metodi alternativi esistano e possano offrire soluzioni equivalenti, questi devono essere preferiti a strumenti che seppur meno “comodi” e veloci sono in grado di offrire garanzie opportune al lavoratore.

Resta ferma la necessaria indagine circa l’aderenza dello strumento che si intende adottare alle normative e prescrizioni privacy: onere a carico del datore di lavoro e che non può essere sostituita da una semplice dichiarazione offerta da fornitori di servizi e sistemi.