Trattamento dei dati biometrici ai fini del rilevamento della presenza di un lavoratore: il provvedimento (chiarificatore) n. 16/2021 a firma del Garante Privacy

Trattamento dei dati biometrici ai fini del rilevamento della presenza di un lavoratore: il provvedimento (chiarificatore) n. 16/2021 a firma del Garante Privacy

Il Provvedimento n. 16 del 14.1.2021 a firma del Garante Privacy italiano (doc. web n. 9542071), emanato nei confronti dell’Azienda Sanitaria provinciale di Enna (Azienda), permette di ottenere un interessante (e necessario) quadro interpretativo in ordine al trattamento dei dati biometrici ex art. 4 n. 14)[1] del Regolamento UE n. 2016/679 (GDPR), utilizzati per l’attività di rilevamento della presenza di un lavoratore all’interno del relativo luogo di lavoro.

Nello specifico, tale ordinanza ha riguardato l’impiego, ad opera dell’Azienda, di un sistema che, grazie all’acquisizione dell’impronta digitale del lavoratore, rilevava la presenza dello stesso sul luogo di lavoro, al fine così – a parere dell’Azienda medesima – di garantire “una maggiore affidabilità tecnica nella verifica dell’entità di ogni dipendente” e di “scoraggiare il fenomeno di assenteismo […] alla luce di quanto previsto dalla legge n. 56/2019”, stante l’asserita notevole complessità nella gestione del personale dipendente, dovuta all’esistenza di presidi decentrati e alla tipologia dell’attività erogata[2]: sotto il profilo tecnologico, il sistema utilizzato era in grado di trasformare l’impronta digitale del dipendente in una stringa biometrica, di memorizzarla all’interno del relativo badge (nell’esclusiva disponibilità del soggetto interessato), e di cancellarla immediatamente dopo l’attività di matching con il dato biometrico già previamente raccolto e conservato nel badge medesimo (“il sistema confronta localmente e solo per il tempo necessario alla verifica, la stringa conservata nel badge con quella calcolata momentaneamente dal rilevatore delle presenze”, e se il confronto è coincidente, “la stringa calcolata momentaneamente viene automaticamente cancellata […] nessun dato biometrico viene memorizzato, ma solo il numero di matricola del dipendente, l’ora e la data di presenza”).

Tenuto in debita considerazione quanto premesso, l’Authority ha ricordato che il datore di lavoro può trattare i dati personali, anche relativi alle categorie particolari ex art. 9 paragrafo 1) del GDPR, dei propri dipendenti laddove il trattamento è necessario, in linea generale, alla gestione del rapporto di lavoro, e per adempiere a specifici obblighi o compiti previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o, infine, dai contratti collettivi (cfr. artt. 6 paragrafo 1) lettera c), 9 paragrafo 2) lettera b) e paragrafo 4) e 88 del GDPR); per altro verso, il medesimo Garante ha evidenziato che tale trattamento può risultare, inoltre, lecito quando è “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” ovvero laddove è “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (cfr. artt. 6 paragrafi 1) lettera e), 2) e 3), nonché 9 paragrafo 2) lettera g) del GDPR, ed artt. 2 ter e sexies del novellato D.Lgs. n. 196/2003).

Il Garante Privacy ha, dunque, evidenziato come il trattamento dei dati biometrici (di regola, vietato) sia consentito al ricorrere di una delle condizioni elencate dall’art. 9 paragrafo 2) del GDPR e, in ambito lavorativo, nel rispetto dell’art. 9 paragrafo 2) lettera b) o lettera g) del GDPR[3]: in altri termini, affinché uno specifico trattamento avente ad oggetto i dati biometrici possa essere lecitamente iniziato è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa (nazionale o comunitaria) che abbia le caratteristiche richieste dalla disciplina della protezione dei dati personali.

In merito, l’Authority nazionale ha concluso evidenziando l’assenza, allo stato attuale, di una simile disposizione normativa, nemmeno in ambito pubblico, dato che la Legge n. 56 del 19.6.2019, invocata dall’Azienda, è stata, invero, abrogata ad opera della Legge n. 178 del 30.12.2020 (cd. Legge di Bilancio 2021), ancor prima della conclusione del necessario iter normativo volto a definire le relative modalità attuative dell’operazione di trattamento ivi prevista.

 

 

 

 


[1] Art. 4 n. 14) del GDPR: “dati biometrici”: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
[2] A tal riguardo, l’Azienda ha aggiunto che: “…la finalità perseguita dall’adozione dei sistemi biometrici di rilevazione delle presenze risponde ad un’esigenza di estrema attualità volta alla prevenzione di reati contro la pubblica amministrazione e, in generale di comportamenti scorretti da parte dei dipendenti, di per sé idonei a ridurre considerevolmente l’efficienza della Pubblica Amministrazione. Laddove, come nel caso di specie, la pubblica Amministrazione interessata operi nel campo dell’assistenza sanitaria vengono quindi in rilievo due distinti interessi cardine dell’ordinamento tanto nazionale (art. 32 ed art. 97 della Costituzione della Repubblica) che comunitario (art. 35 e 41 della Carta dei Diritti Fondamentali dell’Unione Europea): il diritto alla salute ed il principio di buon andamento dell’amministrazione […] negli ultimi anni, svariate amministrazioni pubbliche hanno compiuto la medesima scelta di adozione di un sistema di verifica biometrica delle presenze senza andare incontro, per quanto ne possa sapere l’Azienda deducente, ad alcuna contestazione da parte della predetta Autorità […] da indurre nella generale convinzione della liceità del comportamento […] il Garante della Privacy, con provvedimento del 15 settembre 2016 n. 357, esprimeva parere positivo con riferimento alla richiesta preliminare [di un’azienda ospedaliera…] per l’installazione del sistema di lettura di dati biometrici (impronte digitali) per la rilevazione della presenza in servizio dei dipendenti […con] modalità di funzionamento [analoghe a quelle in uso] presso l’ASP di Enna”.
[3] Cfr. sulla necessità di considerare, in via preventiva, l’utilizzo di dispositivi o misure di sicurezza (meno invasive) idonee ad assicurare l’attendibile verifica della presenza di un lavoratore, senza far ricorso al trattamento di dati biometrici: i) Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro, rispettivamente, alle dipendenze di datori di lavoro privati e in ambito pubblico (Provvedimento n. 53 del 23.11.2006 [doc. web n. 1364099], e n. 23 del 14.6.2007 [doc. web n. 1417809] a firma del Garante Privacy italiano; ii) Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati membri sul trattamento di dati personali nel contesto occupazionale; iii) Provvedimento n. 357 del 15.9.2016 [doc. web n. 5505689] a firma del Garante Privacy italiano; iv) Parere n. 2/2017 del WP 29; v) Deliberazione del 10.1.2019 a firma del CNIL e relative F.A.Q. del 28.3.2019.
         

Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it

Articoli inerenti