Garante: il riconoscimento facciale per il controllo delle presenze viola la privacy dei dipendenti
Il Garante per la protezione dei dati personali, con Provvedimento del 22 febbraio 2024, ha affermato che il riconoscimento facciale per il controllo delle presenze viola la privacy dei dipendenti.
Entrando nel merito del provvedimento, il Garante ha ricordato che vi è trattamento di dati biometrici sia nella fase di registrazione (enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze. Pertanto, anche in caso di estrazione del cosiddetto template, vi è trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dall’ordinamento.
Al riguardo il Garante ha osservato che, in base alla normativa in materia di protezione dei dati personali:
- il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali, il “Regolamento”) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e
- con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (cfr. artt. 9, par. 2, lett. b), del Regolamento, 88, par. 1 e cons. 51-53 del Regolamento).
Alla luce di tali disposizioni, il Garante ha evidenziato che nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possono rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento. Tuttavia, continua il Garante, il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri (…) in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. E, allo stato, precisa il Garante, l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.
Pertanto, secondo il Garante, l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento (cfr. art. 5, par. 1, lett. c) del Regolamento).
Il Garante ha precisato, altresì, che:
- il datore di lavoro è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (cfr art. 5, par. 1, lett. a), c) e f) del Regolamento) e
- “la valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto (…) dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo”.
Ne consegue, ad avviso del Garante, che si sarebbero potuti utilizzare più opportunamente sistemi meno invasivi per controllare la presenza dei propri collaboratori e dipendenti sul luogo di lavoro (ad es. controlli automatici, badge e verifiche indirette).
Il Garante ha anche evidenziato che il datore di lavoro, in applicazione del principio di trasparenza, ha l’obbligo di indicare ai propri dipendenti e collaboratori quali siano le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati, conformemente a quanto specificamente indicato dall’art. 13 del Regolamento. Ciò anche considerando che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del dovere di correttezza. E, nel caso di specie, non è stata fornita ai dipendenti alcuna informativa sulle caratteristiche del trattamento di dati biometrici mediante riconoscimento facciale.
Il Garante ha, altresì, accertato la violazione dell’obbligo di designare la società fornitrice dei dispositivi come Responsabile del trattamento ex art. 28 del Regolamento e l’omessa indicazione nel Registro delle operazioni di trattamento dei dati biometrici tra i tipi di dati trattati, in aperta violazione dell’art. 30 del Regolamento così come ha rilevato che non è stata elaborata la Valutazione di impatto. In merito a quest’ultimo punto il Garante ha ricordato l’art. 35 del Regolamento secondo il quale il titolare - in relazione a trattamenti che prevedono “l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, [tali da] presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, è tenuto ad effettuare una valutazione dell'impatto sulla protezione dei dati personali prima dell’inizio dei trattamenti previsti.