Il trattamento di dati biometrici è un tema strettamente connesso a quello della Sicurezza. Soluzioni per il controllo accessi e impianti di videosorveglianza “intelligente” sono solo alcuni dei sistemi che possono implicare l’utilizzo di caratteristiche fisiche o comportamentali per l’identificazione di soggetti. Sulla liceità di questo trattamento, però, il dibattito è ancora aperto e il quadro normativo incompleto.
La natura particolarmente sensibile delle informazioni legate alla persona, impone un’attenta considerazione di diversi aspetti. Il primo è senz’altro l’individuazione della corretta base giuridica da applicare. In tal senso, l’articolo 9, comma 1, del GDPR prevede un divieto generale di trattamento di dati biometrici. Al comma 2 dello stesso articolo sono elencati i casi che costituiscono deroga a tale divieto, in particolare:
l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il trattamento di dati biometrici in ambito lavorativo
Alcuni dei casi oggetto della deroga possono generare dubbi interpretativi. Particolarmente significativo è l’esempio del trattamento di dati biometrici, in ambito lavorativo, basato sul consenso esplicito. Infatti, nonostante la deroga prevista dal GDPR, il Garante Italiano per la Privacy ha stabilito che, considerando la presunta soggezione del dipendente nei confronti del datore di lavoro, il consenso non può costituire liberatoria all’utilizzo di informazioni così delicate.
Il Comitato Europeo per la Protezione dei Dati (EBPD) ha una posizione simile, ma più possibilista. Sostiene infatti che, se fosse possibile dimostrare l’effettiva volontarietà del consenso e l’assenza di conseguenze per il dipendente in caso di rifiuto, si potrebbe applicare la deroga prevista anche nel contesto lavorativo. Rispetto a tale interpretazione rimane però il dubbio di come si possano verificare effettivamente le condizioni di cui sopra.
In generale, risulta molto complicato ricavare una “formula” per trovare il corretto bilanciamento fra i diritti e gli interessi del titolare e la tutela dei diritti dei lavoratori.
Il caso specifico del controllo accessi dei dipendenti
Ancora più spinoso è il caso dell’applicazione della biometria alle procedure di controllo degli accessi e degli orari di lavoro dei dipendentii, siano essi pubblici o privati. A livello europeo, infatti, tale pratica è considerata non conforme al principio di proporzionalità. La ratio di tale posizione sta nel fatto che la rilevazione biometrica può essere sostituita da metodi di controllo più tradizionali (badge, fogli di presenza) e altrettanto efficaci.
Anche in questo caso non mancano le eccezioni. In Italia l’utilizzo di dati biometrici in ambito lavorativo è stato autorizzato in passato per il controllo di siti nel quale si svolgevano processi produttivi pericolosi o dove venivano custoditi beni e documenti segreti o riservati. Ulteriori deroghe sono state concesse, per questioni di sicurezza, ai titolari con dipendenti in regime alternativo alla detenzione.
Relativamente ai dipendenti pubblici, sotto la spinta del DDL Concretezza, contenente misure di contrasto all’assenteismo, il Garante si è espresso ripetutamente, in un acceso dibattito con l’allora Ministro Bongiorno. A conclusione di tale dibattito, l’Autorità stabiliva che il quadro normativo non consentiva di avallare il trattamento dei dati biometrici dei dipendenti con finalità di controllo accessi.
Conclusioni e prospettive
Emerge dunque che l’organismo italiano per la tutela della privacy ha posizioni maggiormente restrittive rispetto agli orientamenti europei. La disciplina italiana, di cui all’art. 2-septies del Codice Privacy, stabilisce che i dati biometrici possono essere trattati solo nei casi previsti all’art. 9, comma 2, del GDPR e integra il Regolamento, richiedendo anche la conformità del trattamento alle Misure di garanzia disposte dal Garante. Queste ultime, da adottarsi con provvedimento a cadenza almeno biennale, risultano ad oggi in corso di elaborazione.
In conclusione, nell’attesa che tali misure siano pubblicate, la valutazione della legittimità di un trattamento di dati biometrici, dovrà essere svolta con molta cautela. Essa dovrà includere non solo l’individuazione di un’idonea base giuridica per l’effettuazione del trattamento, fondata sulla reale necessità, proporzionalità e adeguatezza dello stesso, ma anche l’implementazione di misure di sicurezza per la tutela dei dati raccolti.