L’articolo 4 comma 1 punto 14 del Regolamento UE 2016/679, definisce i dati biometrici: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.”
I dati biometrici rientrano in quella categoria particolare di dati per i quali il Regolamento UE 2016/679, art. 9, pone una specifica attenzione, vietandone il trattamento, tranne che in alcune particolari situazioni, indicate dall’articolo 9 comma 2.
Dette disposizioni, sono confermate anche dall’articolo 2 septies del D.lgs. 101/2018: “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, secondo il quale “i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure.”
In ottica aziendale, principalmente pubblica, l’utilizzo di sistemi di riconoscimento biometrico aiuterebbero a verificare lo svolgimento della prestazione lavorativa, in particolare controllando la lotta all’assenteismo ed allo scambio dei cartellini tra colleghi.
Il Garante per la protezione dei dai personali, recentemente si è espresso, in seguito alla riforma Buongiorno contro l’assenteismo, con un parere del 19 settembre 2019 [9147290], secondo il quale è necessario fornire un’idonea informativa agli interessati ai sensi dell’art. 13 del Regolamento europeo 2016/679 specificando le cautele adottate, ed i tempi di conservazione.
Inoltre, la disciplina analizzata, prevede che per il trattamento dei dati particolari, dati biometrici, risulta necessario effettuare una valutazione d’impatto, secondo le indicazioni fornite dal WP 29 e dallo stesso Garante circa il “rischio elevato” che presentano tali trattamenti. E’ stato proposto di inserire una specifica disposizione nel regolamento che preveda che la singola amministrazione, in qualità di datore di lavoro e titolare del trattamento, prima dell’attivazione del sistema prescelto effettui una valutazione di impatto ai sensi dell’articolo 35 del Regolamento
La valutazione potrà essere effettuata anche da parte di più titolari del trattamento in considerazione delle caratteristiche analoghe delle relative amministrazioni.
La disposizione potrebbe avere la seguente formulazione, secondo quanto riportato nel parere sopracitato:
“Nel rispetto del principio di responsabilizzazione, il titolare del trattamento, previa valutazione di impatto, da sottoporre al Garante ai sensi dell’art. 2-quinquiesdecies del decreto legislativo 30 giugno 2003, n. 196, individua: le categorie di interessati, in ragione delle mansioni svolte, circoscrivendo il numero di soggetti da sottoporre ai controlli; gli ulteriori presupposti per l’adozione dei sistemi in questione, alla luce delle condizioni più specifiche, anche ambientali, delle amministrazioni di riferimento; le caratteristiche tecniche dei sistemi al fine di garantire la selettività degli accessi ed elevati livelli di sicurezza.”
In ambito privato, invece, il Garante per la protezione dei dati non si è ancora espresso, anche se molte aziende stanno implementando sistemi di rilevamento delle presenze, accompagnate da lettera firmata dai dipendenti riportanti il consenso al trattamento dei dati biometrici.
L’articolo 4 dello statuto dei lavoratori, modificato dall’articolo 23, comma 1 del D.Lgs. 151/2015, visti i cambiamenti dettati dall’uso della tecnologia, ha cercato di dettare delle linee di comportamento affinché ne venga fatto buon uso, sottolineando l’importanza di un accordo con il Sindacato, o in mancanza di questo, dell’autorizzazione dell’Ispettorato del lavoro.
Questo non sussiste, esclusivamente, per gli strumenti di registrazione degli accessi e delle presenze. In questo caso, il datore di lavoro, è tenuto a fornire un’informativa circa le modalità d’uso di detti strumenti ed il modo in cui saranno trattati i dati. Cosi facendo, il datore di lavoro dovrebbe poter effettuare i trattamenti di dati particolari, ai sensi dell’articolo 9 del GDPR.
Sul punto, però, il Garante per la Privacy, insieme ad alcune organizzazioni sindacali, si sono espressi in maniera critica. Il Garante per la protezione dei dati, ha affermato, in un intervento sul quotidiano Huffington Post del 8 settembre 2015, che “L’uso di tecnologie che prevedano il trattamento di dati biometrici, per garantire il rispetto degli orari di lavoro, o anche livelli di sicurezza più elevati, deve essere effettuato nel rispetto della normativa in materia di trattamento dei dati personali, ed inoltre, deve rispettare i principi di necessità e proporzionalità.”
Da ciò si evince che il Garante non vieta l’utilizzo di strumenti per il trattamento dei dati biometrici, se rispettano i requisiti sopracitati.
Inoltre, ai sensi dell’articolo 2086 del c.c., le aziende private hanno il diritto di dettare delle regole di accesso ai locali aziendali, o in maniera autonoma o tramite accordo sindacale.
Si attendono, ad ogni modo, nuove disposizioni in merito da parte dell’Autorità Garante.
Pubblicato il
