La vulnerabilità dei sistemi tradizionali apre le porte a nuovi sistemi di sicurezza ed autenticazione. Tra quelli più avanzati spicca la biometria.
Questa moderna tecnologia la si trova applicata, principalmente, negli smartphone di ultima generazione, ma comincia a prendere piede in diversi settori, come nella domotica, nell’industria automobilistica, nella sanità ma anche nei servizi bancari.
Di fatto, il riconoscimento biometrico (noto anche come “AIDC – Automatic Identification and Data Capture”) si avvale di un sistema informatico che consente di identificare un soggetto sulla base di caratteristiche biologiche e comportamentali.
In ambito aziendale l’applicazione di tali dispositivi permetterebbe al datore di lavoro di verificare il corretto svolgimento delle prestazione lavorativa dei propri dipendenti e di rilevarne la presenza; è di tutta evidenza che tale eventualità comporta diverse implicazioni in punto alla tutela dei dati personali dei lavoratori e di conseguenza alla legittimità del trattamento stesso.
Una recente decisione della Corte di Cassazione consente di avere una visione più chiara della questione.
Il Caso
L’Autorità Garante per la protezione dei dati personali comminava una sanzione di 66 mila Euro ad una azienda per avere installato un sistema di raccolta dei dati biometrici della mano per le rilevazione delle presenze dei dipendenti.
Avverso l’ordinanza-ingiunzione di pagamento la società proponeva opposizione dinnanzi al Tribunale di Catania, il quale accoglieva il ricorso, condannando il Garante al pagamento di una sanzione dell’importo di 30 mila Euro, per responsabilità aggravata, ai sensi dell’art. 96, ultimo comma, c.p.c.
Secondo il Tribunale adito, infatti, non sussisteva la prova che il trattamento fosse avvenuto in violazione della disciplina di settore ed in ogni caso, nel caso di specie, i dati biometrici non erano stati utilizzati per identificare i lavoratori.
L’Autorità Garante della privacy ricorreva dinnanzi la Corte di Cassazione, la quale si pronunciava con l’ordinanza n. 25686 del 15 ottobre 2018.
Secondo la Corte infatti: “La nozione di trattamento di dati personali di tipo biometrico comprenderebbe qualunque operazione o complesso di operazioni che consenta l’identificazione anche indiretta del soggetto, come nella specie avverrebbe attraverso il sistema , adottato dalla società resistente.”
Nella fattispecie concreta la trasformazione del dato biometrico relativo alla mano del dipendente in un codice, consentirebbe l’identificazione personale attraverso operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto.
Dal dettato normativo di cui all’art. 4 del Codice della Privacy – che fornisce, tra le altre, la definizione di dato personale e di trattamento – emerge che è irrilevante, ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati, essendo sufficiente anche un’attività di raccolta ed elaborazione temporanea, come sottolineato dalla Suprema Corte.
Per le ragioni esposte la Cassazione ritiene che la Società sanzionata abbia adottato un sistema che tratta dati biometrici, e come tale assoggettato alla preventiva notificazione al Garante, come disposto dall’art. 37 D. Lgs n. 196 del 2003.
Il dato biometrico
Il GDPR fornisce una definizione di dato biometrico all’art. 4, comma 1, p.to 14, ovvero “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Questi dati si caratterizzano per le seguenti peculiarità:
- Unicità: sono riconducibili in via esclusiva ad un soggetto;
- Continuità: sono pressoché immutabili nel tempo, salvo eventi particolari;
- Certezza: consentono di identificare un soggetto senza margine di errore.
Rientrano nella categoria dei dati personali particolari in quanto strettamente attinenti alla sfera intima e personale dell’interessato. Per tale ragioni ne è vietato il trattamento, salvo nei casi tassativamente elencati all’art. 9, comma 2, del Regolamento europeo.
Questa disposizione viene altresì confermata dall’art. 2 septies del D.lgs. 101/2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio”, dal quale si evince inoltre che il trattamento di tali dati deve avvenire in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento adottato con cadenza biennale.
La legittimità del trattamento dei dati biometrici
Alla luce di quanto poc’anzi detto occorre ora capire quando il trattamento di un dato biometrico di un lavoratore finalizzato al controllo dello svolgimento dell’attività lavorativa violi le disposizioni del GDPR.
In un recente parere fornito dall’Autorità Garante su un disegno di legge di materia di prevenzione dell’assenteismo nelle pubbliche amministrazioni viene trattato il tema della liceità dell’utilizzo dei sistemi biometrici. (Versione integrale del Parere)
Il Disegno di Legge sottoposto introduce alcune modifiche al D.Lgs 165 del 2001 (Testo integrale) in materia di lavoro pubblico e promuove l’impiego di sistemi di identificazione biometrica e di videosorveglianza in sostituzione di quelli attualmente in uso, con la finalità principale di contrastare il fenomeno dell’assenteismo e delle false attestazioni di presenza in servizio.
La possibilità di impiego di tecniche biometriche nel contesto lavorativo è limitata dalle disposizioni del Regolamento europeo in materia di data protection, in particolare all’art. 6 sulla liceità e sulla proporzionalità del trattamento e l’art. 9 sulla protezione “rafforzata” di determinate categorie di dati personali. Lo stesso Regolamento, all’art. 88, consente ad ogni Stato membro di regolare la materia dei rapporti di lavoro con norme più specifiche purché queste includano “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati”.
Il Garante della Privacy, Antonello Soro, in linea generale, ha espresso un parere favorevole sulla questione ma ha manifestato qualche perplessità con riguardo alle misure organizzative da adottare.
In particolare, ritiene che l’impiego obbligatorio e simultaneo (e non alternativo) di due sistemi di controllo – videosorveglianza e raccolta di dati biometrici – risulti eccessivo oltre che oneroso rispetto alle finalità che si intendono perseguire.
Precisa, inoltre, che il trattamento, sebbene effettuato per finalità legittime e nel rispetto della normativa di settore, deve rispettare i principi di liceità, proporzionalità e di minimizzazione dei dati.
In ogni caso il sistema di rilevazione adottato deve essere quello meno restrittivo dei diritti delle persone (principio di gradualità delle misure) ed ancorato ad una effettiva sussistenza di specifici fattori di rischio ovvero a particolari presupposti, che possono essere demandati a regolamenti di attuazione, sui quali il Garante dovrà esprimere parere.
Conclusioni
Tornando al caso trattato dalla Suprema Corte emerge che la rilevazione delle presenze dei lavoratori in azienda mediante raccolta e trattamento di dati biometrici non è lecita se non autorizzata dall’Autorità Garante.
Alla stregua del parere fornito dal Garante sulla materia e delle disposizioni di cui al GDPR, pare possa ragionevolmente concludersi che il datore di lavoro potrà utilizzare sistemi di riconoscimento biometrico dell’identità dei lavoratori purchè il trattamento dei dati operi nel rispetto dei diritti e delle libertà fondamentali dei dipendenti e nell’osservanza dei principi del trattamento e dei presupposti di legittimità tra cui quello di liceità, proporzionalità e minimizzazione, previsti dal Regolamento europeo.
VP