La rivelazione delle impronte digitali dei dipendenti, oggetto di un acceso dibattito durante il Governo Conte, in concomitanza con l’iter di approvazione del DDL Concretezza, rimane ancora oggi una questione irrisolta. Di recente, il Garante Privacy si è espresso nuovamente sul tema. Su segnalazione di un’organizzazione sindacale, infatti, l’Autorità è intervenuta sul caso di una società sportiva che utilizzava un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti. Nel corso dell’indagine, è emerso che il trattamento dei dati biometrici dei lavoratori era stato effettuato per quasi quattro anni senza un’adeguata base normativa.
Il caso della società sportiva
La società sportiva oggetto dell’istruttoria, avendo constatato numerose dimenticanze nella timbratura del badge, aveva deciso di adottare un sistema di lettura delle impronte che velocizzasse le operazioni di accesso del personale. La Direzione aveva consegnato a tutti i dipendenti un’informativa che riportava in modo esplicito la questione della rilevazione delle impronte digitali e la cui sottoscrizione implicava il consenso. Essa, inoltre, aveva dichiarato al Garante che i lavoratori erano al corrente che restava attivo anche il sistema di rilevazione tradizionale tramite badge.
L’Autorità ha accertato che, nonostante non vi fosse stata alcuna registrazione o diffusione delle impronte digitali, la società effettuava un trattamento di dati biometrici, senza che fossero rispettati i principi di minimizzazione e proporzionalità. Tale trattamento, infatti, è consentito esclusivamente nel caso in cui ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento UE e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Il provvedimento del Garante sulla rilevazione delle impronte digitali
Ritenendo che velocizzare e semplificare l’attività di rilevazione delle presenze non fosse motivo sufficiente per trattare una tipologia di dati tanto sensibili, il Garante ha emesso il provvedimento n. 9832838 del 10 novembre 2022. L’ordinanza, oltre a comminare una multa di 20.000 euro alla società sportiva oggetto del procedimento, stabilisce ancora una volta che il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie.