Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie. Questo il principio ribadito dal Garante che ha sanzionato per 20.000 euro una società sportiva che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei propri dipendenti.
L’Autorità è intervenuta a seguito di una segnalazione di un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, nonostante la richiesta del sindacato di adottare mezzi di rilevazione meno invasivi ( Provvedimento n. 369 del 10.11.2022 ).
A seguito di istruttoria le richieste del segnalante si sono verificate fondate. Sulla base di accertamenti ispettivi è emerso che la società aveva effettuato, per quasi quattro anni, la rilevazione delle impronte digitali dei 132 dipendenti senza un’adeguata base normativa ( sul punto si legga l’analogo provvedimento Garante Privacy –no all’uso delle impronte digitali dei dipendenti se manca base normativa ). Inoltre, violando i principi di minimizzazione e proporzionalità, aveva trattato per scopi di ordinaria gestione (consentire maggiore velocità e snellezza dell’attività di rilevazione delle presenze) una tipologia di dati protetta dal Regolamento europeo con particolari garanzie. La società aveva inoltre fornito ai lavoratori informazioni del tutto carenti sulle caratteristiche dei trattamenti biometrici.
Riscontrate le numerose violazioni della normativa posta a tutela dei dati personali dei lavoratori, il Garante, nel definire la sanzione di 20.000 euro, ha tenuto conto della natura, della gravità e della durata degli illeciti, che si sono protratti fino al 2 maggio scorso , data in cui la società ha sostituito il sistema di rilevazione delle impronte digitali con un sistema non biometrico.
Ben più grave sarebbe stata la sanzione per l’azienda se avesse attivato controlli mediante dati biometrici senza la preventiva autorizzazione dell’ Autorità.
IL provvedimento si pone in linea di continuità con le precedenti decisioni del Garante che hanno ritenuto trattamenti simili non conformi al principio di proporzionalità. Ed infatti l’utilizzo di dati biometrici per finalità di controllo degli accessi e degli orari di lavoro ben può essere sostituito da modalità altrettanto efficaci e meno invasive come sign-in, fogli di presenza e utilizzo dei badge. Secondo il Garante non è infatti sufficiente interrogarsi in astratto sull’accuratezza del dispositivo, ma è indispensabile valutare la necessità e la proporzionalità del trattamento, al fine di confermarne la liceità.
L’utilizzo di dati biometrici nel contesto lavorativo resta pertanto limitato e residuale a determinati casi specifici. E’ il caso, ad esempio, dei processi produttivi pericolosi, sottoposti a segreti di varia natura, o tutela di locali destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (ad esempio, banche o aeroporti) oppure le occasioni in cui risulti necessario il controllo della presenza sul luogo di lavoro e l’osservanza degli orari da parte di dipendenti in regime alternativo alla detenzione.
Dati biometrici : il quadro normativo UE sul trattamento dei dati personali