Garante: il riconoscimento facciale per il controllo delle presenze viola la privacy dei dipendenti

l’utilizzo del dato biometrico non è conforme ai principi di proporzionalità del trattamento

 
shutterstock 1931288231

Il Garante per la protezione dei dati personali, con Provvedimento del 22 febbraio 2024, ha affermato che il riconoscimento facciale per il controllo delle presenze viola la privacy dei dipendenti.

Entrando nel merito del provvedimento, il Garante ha ricordato che vi è trattamento di dati biometrici sia nella fase di registrazione (enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze. Pertanto, anche in caso di estrazione del cosiddetto template, vi è trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dall’ordinamento.

Al riguardo il Garante ha osservato che, in base alla normativa in materia di protezione dei dati personali:

- il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali, il “Regolamento”) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e

- con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (cfr. artt. 9, par. 2, lett. b), del Regolamento, 88, par. 1 e cons. 51-53 del Regolamento).

Alla luce di tali disposizioni, il Garante ha evidenziato che nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possono rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento. Tuttavia, continua il Garante, il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri (…) in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. E, allo stato, precisa il Garante, l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.

Pertanto, secondo il Garante, l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento (cfr. art. 5, par. 1, lett. c) del Regolamento).

Il Garante ha precisato, altresì, che:

  • il datore di lavoro è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (cfr art. 5, par. 1, lett. a), c) e f) del Regolamento) e
  • “la valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto (…) dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo”.

Ne consegue, ad avviso del Garante, che si sarebbero potuti utilizzare più opportunamente sistemi meno invasivi per controllare la presenza dei propri collaboratori e dipendenti sul luogo di lavoro (ad es. controlli automatici, badge e verifiche indirette).

Il Garante ha anche evidenziato che il datore di lavoro, in applicazione del principio di trasparenza, ha l’obbligo di indicare ai propri dipendenti e collaboratori quali siano le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati, conformemente a quanto specificamente indicato dall’art. 13 del Regolamento. Ciò anche considerando che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del dovere di correttezza. E, nel caso di specie, non è stata fornita ai dipendenti alcuna informativa sulle caratteristiche del trattamento di dati biometrici mediante riconoscimento facciale.

Il Garante ha, altresì, accertato la violazione dell’obbligo di designare la società fornitrice dei dispositivi come Responsabile del trattamento ex art. 28 del Regolamento e l’omessa indicazione nel Registro delle operazioni di trattamento dei dati biometrici tra i tipi di dati trattati, in aperta violazione dell’art. 30 del Regolamento così come ha rilevato che non è stata elaborata la Valutazione di impatto. In merito a quest’ultimo punto il Garante ha ricordato l’art. 35 del Regolamento secondo il quale il titolare - in relazione a trattamenti che prevedono “l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, [tali da] presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, è tenuto ad effettuare una valutazione dell'impatto sulla protezione dei dati personali prima dell’inizio dei trattamenti previsti.


Servizi correlati

Consulenza del lavoro

Affianchiamo i datori di lavoro nella scelta del giusto contratto di lavoro, per ridurre i...
Scopri di più

Consulenza legale e giuslavoristica

Gestire i cambiamenti e le trasformazioni aziendali comporta risvolti giuridico-legali sempre...
Scopri di più

Consulenza per la riorganizzazione aziendale

La riduzione dei costi per la tua azienda passa anche dalla gestione e dalla ...
Scopri di più

Licenziamenti e conciliazione

Assistenza alle aziende nei momenti di crisi aziendale tramite consulenza e gestione...
Scopri di più

Consulenza giuslavoristica e sindacale

Leggi, regolamenti, contratti cambiano in continuazione. Per gestire questa complessità,...
Scopri di più

Bando Formare per Assumere 2022-2023

Regione Lombardia ha approvato la seconda edizione del  bando “Formare per...
Scopri di più

Formazione per l'apprendistato professionalizzante

Il contratto di apprendistato è un contratto di lavoro a tempo indeterminato che si...
Scopri di più

Ricerca del personale

Riuscire a selezionare i collaboratori che siano in linea con le aspettative...
Scopri di più

Valutazione rischio gestanti e lavoratrici madri

Rischio, prevenzione e tutela delle lavoratrici. La tutela delle lavoratrici madri e gestanti...
Scopri di più

Consulenza per la sicurezza in azienda

Ti sosteniamo e troviamo le soluzioni più adeguate, con continuità nel...
Scopri di più

Medicina del Lavoro

La medicina del lavoro per un’azienda è uno strumento determinante, che va...
Scopri di più

Smart working o lavoro agile

Lo  smart working o “lavoro agile”  è una maggiore ...
Scopri di più

Paghe Online - MYeBox

La soluzione smart per l’amministrazione del personale. I cedolini paghe dei tuoi...
Scopri di più

Formazione obbligatoria dipendenti CCNL Metalmeccanica Industria

Il CCNL Metalmeccanica Industria prevede che, per supportare lo sviluppo delle competenze...
Scopri di più