L’Autorità garante per la protezione dei dati si è nuovamente pronunciata sull’uso dei dati biometrici (riconosciment facciale) per rilevare la presenza dei lavoratori sul posto di lavoro (NEWSLETTER N. 520 del 28 marzo 2024).
I dati biometrici proprio per la loro caratteristica rientrano nelle “categorie particolari di dati personali” e sono soggetti alla stringente disciplina di cui all’art. 9 del GDPR.
L’art. 4, par. 14 del GDPR definisce i “dati biometrici” come: “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici“.
Il caso
In particolare, il caso riguarda delle aziende che avevano implementato un sistema di riconoscimento facciale per monitorare le presenze dei dipendenti.
Durate le indagini il Garante ha rivelato che le società avevano utilizzato un sistema di riconoscimento facciale, il quale era stato implementato al fine di contrastare l’assenteismo e le pratiche fraudolente di rilevazione delle presenze. Sono stati gli stessi dipendenti a sollevare dubbi sulla legittimità del trattamento dei loro dati biometrici. Sostenendo che con metodi meno invasivi si sarebbero potuti raggiungere gli stessi obiettivi.
Entrando nel merito del provvedimento, il Garante ha ricordato che vi è trattamento di dati biometrici sia nella fase di registrazione (enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze. Pertanto, anche in caso di estrazione del cosiddetto template, vi è trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dall’ordinamento.
Elementi contestati
Il Garante ha contestato la base giuridica del trattamento: il consenso. A tal proposito l’utilizzo del “consenso” come base giuridica non è considerato valido per il trattamento di categorie particolari di dati personali da parte del datore di lavoro.
Le aziende, inoltre, non hanno fornito ai dipendenti un’informativa privacy relativa a tale trattamento, violando gli obblighi di trasparenza. Il datore di lavoro ha l’obbligo di indicare ai propri dipendenti e collaboratori quali siano le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati.
Secondo quanto riportato dalle aziende, l’informativa sulla privacy era stata fornita oralmente, ma, secondo il Garante, ciò non può dimostrare che i dipendenti siano stati adeguatamente informati come richiesto dal GDPR.
Il Garante ha, altresì, accertato che le società dovevano nominare un Responsabile della Protezione Dati (DPO) e predisporre una valutazione d’impatto sulla protezione dei dati (DPIA). Elementi fondamentali per garantire la conformità alla protezione dei dati, soprattutto quando si tratta di dati particolari come quelli biometrici.
Alternativa al riconoscimento facciale
L’autorità ha sottolineato che le aziende avrebbero dovuto utilizzare sistemi meno invasivi per verificare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come, ad esempio, i badge).
[VEDI PROVVEDIMENTI doc. web n. 9995680, 9995701, 9995741, 9995762, 9995785]
Potrebbe interessarti
Controllo dei lavoratori
No al silenzio assenso per la videosorveglianza