Privacy Policy & Cookies
Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente . Utilizzando il nostro sito l'utente acconsente a tutti i cookie in conformità con la Normativa sui Cookie.
Leggi tutto Accetta
×
Home / News / Blog / 2023 / 1 / 3 / Lavoro: nuove sanzioni per la rilevazione delle im...

Lavoro: nuove sanzioni per la rilevazione delle impronte digitali senza specifici requisiti

03 Gennaio 2023

L’Autorità Garante per la protezione dei dati personali ribadisce che il trattamento di dati biometrici sul posto di lavoro è consentito solo con adeguate garanzie e se necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b del GDPR), ovvero per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g del GDPR).

 

L’inosservanza di tali condizioni aveva comportato già nel 2021 (doc. web n. 9542071) l’irrogazione di una sanzione di 30.000 euro da parte del Garante – che avviava un’istruttoria a seguito della pubblicazione di alcuni articoli di stampa – secondo il quale “Allo stato non sussiste pertanto un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Regolamento e dal Codice per legittimare le amministrazioni pubbliche a porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle presenze dei dipendenti ai sensi dell’art. 9, par. 2, lett. b) del Regolamento”.

E il difetto di base giuridica – spiega il Garante – non è superabile né con il consenso dei lavoratori dipendenti, né con il legittimo interesse del titolare del trattamento.

A seguito del rafforzamento delle garanzie previste dal Regolamento UE n. 2016/679 (cd. GDPR) e dal Codice privacy, infatti, l’installazione e l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti necessita di una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.

Più recentemente, una sanzione da 20.000 euro è stata irrogata ad una società a responsabilità limitata che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti presso i club in gestione (doc. web n. 9832838).

In questo caso, la segnalazione al Garante era pervenuta da un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, nonostante la richiesta del sindacato di adottare mezzi di rilevazione meno invasivi.

L’istruttoria ha consentito di scoprire che la società aveva effettuato trattamenti di dati personali dei propri dipendenti attraverso la rilevazione dell’impronta digitale e l’associazione dell’impronta ad un codice assegnato al lavoratore, allo scopo di “agevolare i dipendenti nella registrazione dell’orario di entrata e di uscita” e adottare un sistema “più snello e veloce” rispetto a quello precedentemente in uso basato sul badge.

In questa occasione, l’Autorità Garante ha avuto modo di ribadire che si è in presenza di un trattamento di dati biometrici “sia nella fase di registrazione (c.d. enrollment, consistente nella acquisizione delle caratteristiche biometriche – nella specie impronte digitali dell’interessato) [...] sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze”.

In particolare, il Garante ha contestato che:

     le uniche informazioni fornite ai dipendenti in merito al trattamento           di dati biometrici erano contenute in un breve capoverso presente all’interno dell’informativa relativa alla generalità dei trattamenti effettuati nel contesto del rapporto di lavoro;

     il registro delle attività di trattamento non contemplava i dati biometrici tra i tipi di dati trattati dal titolare, con conseguente violazione dell’art. 30, par. 1, lett. c), del GDPR.

Richiamando l’art. 2-septies del Codice privacy (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute), il Garante ha anche evidenziato che:

     è lecito il trattamento di dati biometrici solo al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del GDPR “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati;

     il datore di lavoro (titolare del trattamento) è in ogni caso tenuto a            rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del GDPR);

     l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle     presenze), al dichiarato fine di garantire maggiore velocità e snellezza delle relative operazioni a fronte di ripetute dimenticanze nella timbratura tramite badge, non appare conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5 del GDPR);

     il consenso del lavoratore non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro;

     i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza” degli stessi, “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), e art. 32 del GDPR).

In ultimo, è interessante rilevare che l’Autorità ha dichiarato di aver stabilito l’entità della sanzione guardando alle condizioni economiche del contravventore (determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio abbreviato d’esercizio per l’anno 2021), nonché al particolare contesto economico legato all’emergenza sanitaria, ma anche tenuto conto dell’entità delle sanzioni irrogate in casi analoghi.