Il Garante della Privacy, di recente, si è nuovamente pronunciato sul binomio biometria e rivelazione presenze. Nell’ordinanza di ingiunzione, emessa a fine novembre scorso, a conclusione di un procedimento sanzionatorio rivolto ad una società, l’Autorità, infatti, ha ribadito la propria posizione. L’introduzione di un sistema di timbratura con terminale biometrico, per rilevare le presenze di dipendenti e collaboratori, registrandone l’accesso e la permanenza in azienda, è un trattamento illegittimo di dati, perché privo di valida base giuridica, oltre che contrario ai principi di liceità, necessità e proporzionalità.
Questo stesso orientamento era già stato manifestato in passato. Nel nostro post “Trattamento di dati biometrici, il quadro normativo è ancora incerto” avevamo visto come il GDPR, all’articolo 9, comma 1, prevedesse un divieto generale di trattamento di dati biometrici, mentre al comma 2 riportasse i casi che costituiscono deroga a tale divieto, in particolare:
l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato, in materia di diritto del lavoro, sicurezza e protezione sociale;
il trattamento è necessario per motivi di interesse pubblico rilevante, sulla base dell’ordinamento dell’Unione o degli Stati membri, interesse che deve essere proporzionato alla finalità perseguita, rispettare le esigenze di protezione dei dati e prevedere misure specifiche per tutelare i diritti fondamentali dell’interessato.
Più in generale, però, perché uno specifico trattamento di dati biometrici possa ritenersi lecito, è necessario che trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento rispetto alle finalità da perseguire. Il datore di lavoro o il titolare del trattamento, in ogni caso, è tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione”, come indicato all’articolo 5 del GDPR.
Biometria e rivelazione presenze: conclusioni
Sulla base dei principi suddetti, il trattamento non può trovare un valido presupposto nemmeno nel consenso del lavoratore, data la asimmetria tra le parti, e non può essere giustificato dall’interesse legittimo, espressamente vietato dal GDPR con riferimento ai dati sensibili. Inoltre, sempre secondo il Garante, l’utilizzo di dati biometrici è sproporzionato per le finalità dichiarate, poiché esistono altri strumenti idonei a garantire la rilevazione delle presenze.
In considerazione delle ripetute pronunce espresse dal Garante in questi anni, è logico ritenere che la posizione assunta sia definitiva e sancisca la fine della biometria applicata alle procedure di controllo degli accessi dei lavoratori. É bene, inoltre, ricordare che il riferimento non è solo ai terminali per la lettura delle impronte digitali, ma anche agli strumenti per il riconoscimento vocale e facciale, ai sistemi di body scanner e, in generale, a tutti i dispositivi per l’identificazione univoca della persona.