Garante privacy: vietato usare le impronte digitali come badge senza specifici requisiti
Il Garante per la protezione dei dati personali ha sanzionato una società sportiva con una multa di 20000 euro per aver utilizzato un sistema che impiegava le impronte digitali per rilevare la presenza dei dipendenti nel club, senza un’adeguata base giuridica e senza garanzie idonee.
L’Autorità, nel comminare la sanzione, ha rammentato che il trattamento di dati biometrici sul posto di lavoro è ammesso unicamente se necessario per compiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie.
La segnalazione è giunta al Garante da un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, sebbene il sindacato avesse richiesto di impiegare strumenti di rilevazione delle presenze alternativi e meno invasivi.
Durante l’istruttoria e gli accertamenti ispettivi, condotti dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, è risultato che la rilevazione delle impronte digitali dei dipendenti era stata effettuata dalla società per quasi quattro anni, anche senza un’opportuna base normativa.
I dati biometrici erano stati impiegati per consentire maggiore velocità e al fine di rendere più agevole l’attività di rilevazione degli orari di entrata ed uscita dei dipendenti, violando però i principi di minimizzazione e proporzionalità.
Cosa dicono le norme sul trattamento dei dati biometrici in ambito lavorativo
Secondo quanto stabilito dalla normativa in materia di protezione dei dati personali, il trattamento di dati biometrici è di norma vietato ai sensi dell’art. 9, par. 1 del Regolamento n. 679/2016, salvo ricorra una delle condizioni indicate nel medesimo art. 9, al par. 2 del Regolamento; con particolare riferimento ai trattamenti effettuati in ambito lavorativo, i dati biometrici possono essere trattati solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).
Pertanto, sebbene in ambito lavorativo, le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro, possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, poichè racchiudono un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro [e della sicurezza sociale e protezione sociale]”, tuttavia il trattamento dei dati biometrici è ammesso unicamente “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento).
In tale contesto, scrive il Garante, affinchè uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente avviato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.
Il consenso del lavoratore non è una valida base giuridica per trattare i dati biometrici
La base giuridica del consenso del lavoratore al trattamento dei dati biometrici, usata invece dalla società, non può essere considerata come valida, posto che il Garante, in diverse occasioni, ha ribadito che il consenso del lavoratore non può costituire, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro, ciò alla luce della disequilibrio tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare nel caso concreto l’effettiva libertà della manifestazione di volontà del dipendente (si veda il più recente provvedimento del Garante in merito a tale argomento, n. 16 del 14 gennaio 2021, doc. web n. 9542071).
L’informativa privacy deve essere dettagliata
Durante l’istruttoria, è inoltre emerso che le informazioni circa il trattamento di dati biometrici, contenute nell’informativa privacy generale, erano insufficienti, non descrivendo in dettaglio le caratteristiche del trattamento che la società intendeva effettuare attraverso gli specifici dispositivi biometrici, come invece prescritto dall’art. 13 del Regolamento, e nemmeno da tale documento si evinceva un riferimento alla possibilità di utilizzare, in alternativa al sistema biometrico, il sistema tradizionale basato sul badge o di poter revocare il consenso prestato, come dichiarato dalla Società stessa nel corso dell’attività istruttoria.
Nel registro dei trattamenti vanno indicati tutti i trattamenti di dati compiuti dall’organizzazione
Veniva inoltre violato l’articolo 30 del Regolamento, in quanto nemmeno nel Registro dei trattamenti, il trattamento di dati biometrici veniva indicato.
Accertate le diverse violazioni della normativa posta a protezione dei dati personali dei lavoratori, il Garante, ha comminato la sanzione di 20.000 euro, considerando la natura, la gravità e la durata del trattamento illecito, che si è protratto fino a che la società non ha sostituito il sistema di rilevazione del dato biometrico, con un sistema badge tradizionale.