Il Garante per la protezione dei Dati Personali, con il provvedimento n. 338 del 6 giugno 2024 ha sanzionato una società per aver trattato illecitamente i dati personali e biometrici dei dipendenti, attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro.
Oggetto del reclamo presentato dal Garante
Il provvedimento in oggetto trae origine da un reclamo presentato da un dipendente di una società che lamentava una violazione della disciplina in materia di protezione dei dati personali, consistente in un illecito trattamento di dati personali dei dipendenti realizzato per mezzo di un hardware installato presso le unità produttive della società per regolare l’accesso sul luogo di lavoro attraverso un sistema di riconoscimento facciale.
L’esito dell’attività istruttoria
All’esito dell’attività istruttoria, è stato accertato che la società ha utilizzato un sistema biometrico basato sul riconoscimento facciale la cui finalità è riconducibile esclusivamente all’elaborazione delle presenze.
Tale hardware consente, infatti, il riconoscimento facciale dei dipendenti quando entrano e escono dall’azienda e ha le seguenti funzionalità: elenco delle persone presenti e stampa dei report delle ore di presenza per ciascun utente.
In base a quanto dichiarato dalla società l’utilizzo del sistema biometrico è stato determinato dall’esigenza di migliorare la qualità e l’efficienza del servizio.
Ciò posto, il Garante ha ricordato come il trattamento dei dati biometrici si realizza sia nella fase di registrazione consistente nell’acquisizione delle caratteristiche biometriche dell’interessato (nel caso di specie, le caratteristiche del volto), sia nella fase di riconoscimento biometrico da effettuarsi all’atto della rilevazione delle presenze (v. provvedimento n. 513 del 12/11/2014).
In base alla disciplina in materia di protezione dei dati personali, posto che i dati biometrici rientrano nel novero delle cd. categorie particolari di dati, si rileva che il relativo trattamento è di regola vietato ai sensi dell’art. 9, par. 1, del Regolamento, mentre è consentito in ambito lavorativo solo quando è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1) e cons. 51-53 del Regolamento).
Ciò significa che, affinché un trattamento avente ad oggetto dati biometrici possa essere lecitamente realizzato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire. Pertanto, ad oggi, l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. Ciò è stato ribadito dal Garante con numerosi provvedimenti, gli ultimi dei quali adottati in data 22/02/2024 con i quali l’Autorità ha dichiarato l’illiceità dei trattamenti effettuati.
Va, inoltre, tenuto conto che il datore di lavoro, in qualità di titolare del trattamento, è tenuto a osservare i principi generali in materia di trattamento dei dati personali, tra cui i principi di liceità, correttezza e trasparenza, il principio di minimizzazione e il principio di limitazione delle finalità (art. 5, par. 1, lett. a), b), c) del Regolamento alla luce del principio di accountability (art. 5 par. 2 del Regolamento). Alla luce di ciò, il Garante ha considerato l’utilizzo del dato biometrico per la rilevazione delle presenze in servizio contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5 par. 1, lett. c) del Regolamento poiché la società non ha prodotto alcuna documentazione che potesse dimostrare la necessità e la proporzionalità del trattamento rispetto alle finalità da conseguire, né tantomeno ha previsto un sistema alternativo per la verifica dell’orario di lavoro.
Pertanto, con riferimento ai dati biometrici per la rilevazione delle presenze, il Garante ha dunque ribadito con tale provvedimento come l’utilizzo di tali dati non sia consentito, in quanto non vi sono norme di legge che, al momento attuale, offrono una regolamentazione specifica sul punto.
Alla luce di quanto sopra affermato, il Garante ha accertato che la società ha effettuato un trattamento di dati biometrici in violazione degli artt. 5, par. 1, lett. a), c), e), e 9, par.2, lett. b) del Regolamento irrogando una sanzione pari a €120.000,00; ordinando alla società di adeguare il trattamento dei dati effettuato mediante il software gestionale alla normativa privacy.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.