Con l’entrata in vigore del GDPR, unitamente al crescente sviluppo della nuove tecnologie e alle relative applicazioni all’interno dei vari contesti sociali, sempre più frequente è divenuto l’impiego di strumenti in grado di rilevare i dati biometrici.
Le nuove tecnologie legate al settore dell’informazione e della comunicazione permettono di eseguire con facilità trattamenti tecnici su immagini da cui è possibile ricavare dati biometrici volti a identificare in maniera inequivocabile una persona fisica. Banalmente le impronte digitali sono diventate uno strumento di uso comune per l’attivazione di dispositivi elettronici e smartphone.
Più recente è invece l’impiego di tecnologie dedicate al riconoscimento facciale e della struttura vascolare dell’occhio o del palmo delle mani, così come alla scansione dell’iride. Questi strumenti garantiscono un valore aggiunto in termini di sicurezza: oggi infatti è possibile assistere all’impiego massiccio del riconoscimento facciale nel contrasto della criminalità e nelle indagini giudiziarie.
Tuttavia l’utilità non prescinde da eventuali criticità legate all’affidabilità di tali sistemi e a quelli che possono essere i rischi per la privacy dei cittadini.
Tra le principali criticità del trattamento di dati biometrici prima tra tutte, l’individuazione della corretta base giuridica da applicare, ma anche la ponderazione dell’effettiva necessità e proporzionalità del trattamento, in considerazione della sua estrema invasività e dell’(in)accuratezza dei risultati prodotti. Se infatti i processi di autenticazione all’accesso basati su password hanno un’accuratezza del 100% (la password inserita da uno specifico user può essere corretta, e l’accesso consentito, oppure non corretta, e l’accesso negato), lo stesso non vale per i sistemi biometrici, che possono presentare un numero – seppure residuale – di falsi positivi, falsi negativi e possono “confondersi” qualora sussistano determinate condizioni esterne.
Da diversi dati biometrici è possibile, inoltre, dedurre anche l’origine razziale o etnica o lo stato di salute di un individuo, ulteriori dati di natura particolare, elementi che acuiscono il rischio del trattamento senza che a ciò si accompagni una garanzia di una maggiore efficacia nei risultati attesi.
Infine, le conseguenze di un breach di dati biometrici sarebbero potenzialmente gravissime: bisogna infatti considerare che al contrario delle password tradizionali, un dato biometrico non può essere modificato né cancellato.
Tutto ciò giustifica la particolare attenzione riservata dal Garante al tema del trattamento dei dati biometrici.
COSA SONO I DATI BIOMETRICI ?
L’art. 4 del Regolamento Europeo definisce i dati biometrici “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici”.
LE LIMITAZIONI ALL'UTILIZZO DEI DATI BIOMETRICI :
Viste le premesse è utile esaminare quali siano i limiti legati all’utilizzo degli stessi, e quali le disposizioni della normativa europea.
L’art. 9 del GDPR, al par.1, stabilisce un divieto generale nel trattamento dei “dati biometrici intesi ad identificare in modo univoco una persona fisica”.
I dati biometrici sono infatti per loro natura – direttamente, univocamente, e in modo stabile nel tempo – collegati all’individuo, e in particolare possono indicare la relazione tra corpo, comportamento e identità del soggetto. L’indebito utilizzo degli stessi (o l’uso di misure di protezione inadeguate) potrebbe quindi dare adito a rischi di notevole entità per i diritti e le libertà delle persone, quali ad esempio l’uso discriminatorio dei dati e furti di identità.
Deroghe al divieto generale sono ammesse solo se sussistono sia una valida base giuridica ai sensi dell’art. 6 del GDPR sia una delle condizioni di cui all’art. 9(2) GDPR, riassumibili in tre punti :
- consenso dell’interessato;
- l’assolvimento degli obblighi e l’esercizio dei diritti del titolare o dell’interessato in materia di diritto del lavoro;
- motivi di interesse pubblico rilevante.
Gli Stati membri hanno inoltre facoltà di introdurre ulteriori condizioni, anche limitative.
Fondare il trattamento dei dati biometrici sul consenso esplicito ex art. 9(2) lett. a GDPR solleva non poche difficoltà, in particolare nel contesto di un rapporto di lavoro – in considerazione dello squilibrio di poteri tra le parti e della presunta soggezione del dipendente al titolare-datore di lavoro, che minerebbero l’effettiva libertà del consenso. La posizione espressa dall’Autorità Garante italiana sul tema ribadisce che il consenso dei dipendenti non costituisce di regola un valido presupposto di liceità per il trattamento di dati personali effettuato in ambito lavorativo.
Il dubbio che ci si pone è come sia possibile dimostrare l’effettiva necessità e proporzionalità del trattamento quando per garantire la libera prestazione del consenso dovrebbe essere assicurata un’alternativa all’interessato (v. ad esempio la posizione della CNIL sul tema dell’accesso biometrico del lavoratore). Al contrario, nei casi in cui non fosse oggettivamente possibile individuare un’alternativa idonea attraverso il ricorso a mezzi meno intrusivi, verrebbe meno il presupposto dell’effettiva possibilità di scelta, e dunque la libertà del consenso – requisito essenziale ai sensi del GDPR.
Per quanto concerne invece l’art. 9(2) lett. b GDPR, che consente l’effettuazione dei trattamenti necessari dei dati biometrici per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro, l’attività sarà consentita solo nella misura in cui autorizzata dal diritto dell’Unione o degli Stati membri, qualora sussistano garanzie appropriate a tutela dei diritti e degli interessi dell’interessato. Potrebbero dunque emergere in tal senso specifici profili connessi alla sicurezza nell’utilizzo di macchinari pericolosi sui quali sia installato un sistema di riconoscimento biometrico al fine di impedirne l’utilizzo a soggetti non autorizzati.
I motivi di interesse pubblico rilevante ex art. 9(2) lett g GDPR, sono stati articolati dal legislatore nazionale nell’art. 2-sexies del novellato codice privacy, che delimita i presupposti di legittimità del trattamento dei dati biometrici ai soli casi nei quali sussista una specifica previsione normativa che individui puntualmente i requisiti che dovranno essere soddisfatti per poter fondare il trattamento sulla detta base giuridica.
Linee guida del Garante in materia di trattamento dei dati biometrici
DATI BIOMETRICI E LAVORO : LA RILEVAZIONE DELLE PRESENZE
La disciplina italiana, di cui all’art. 2-septies del Codice Privacy, conferma che i dati biometrici possono essere trattati solo in presenza di una delle condizioni di cui all’art. 9(2) GDPR e integra le previsioni del Regolamento, richiedendo anche la conformità del trattamento alle Misure di garanzia disposte dal Garante.
L'Autorità indipendente europea per la protezione dei dati, e così anche il Garante italiano, hanno considerato non conforme al principio di proporzionalità l’utilizzo dei dati biometrici dei propri lavoratori per finalità di controllo degli accessi e degli orari di lavoro: ciò in ragione del fatto che la medesima finalità poteva essere soddisfatta attraverso modalità altrettanto efficaci e meno invasive (sign-in, fogli di presenza, utilizzo dei badge). Non è infatti sufficiente interrogarsi in astratto sull’accuratezza del dispositivo, ma è indispensabile valutare la necessità e la proporzionalità del trattamento, al fine di confermarne la liceità.
Nonostante ciò l’utilizzo di dati biometrici nel contesto lavorativo è stato in passato autorizzato in determinati casi dal Garante Privacy italiano nel proprio Provvedimento generale prescrittivo in tema di biometria, tenuto conto delle finalità e del contesto del trattamento ed in particolare per presidiare l’accesso a locali di particolare criticità in relazione alle attività svolte. Secondo gli esempi dell’Autorità stessa, in caso di processi produttivi pericolosi, sottoposti a segreti di varia natura, o tutela di locali destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (ad esempio, banche o aeroporti).
Un ulteriore profilo di liceità era stato inoltre individuato in altra sede dall’Autorità in relazione al trattamento attuato al fine di controllare la presenza sul luogo di lavoro e l’osservanza degli orari da parte di dipendenti in regime alternativo alla detenzione, al fine di preservare la società da possibili responsabilità ed in ragione del particolare contesto socio-economico ad elevato rischio di criminalità organizzata.
Già nel 2019, è stato oggetto di analisi da parte dell’Autorità garante il trattamento dei dati biometrici contestuale all’utilizzo di sistemi di videosorveglianza per finalità di rilevazione delle presenze dei dipendenti pubblici (misure di contrasto dell’assenteismo), in merito al quale venivano espresse diverse riserve da parte del Garante.
Si richiedeva infatti di evitare l’uso simultaneo di più sistemi di rilevazione e di adottare misure biometriche solo nel caso in cui altri sistemi di rilevazione non risultassero adeguati, legando inoltre l’adozione di tali tecnologie a specifici fattori di rischio o particolari presupposti, in ragione dell’invasività dei sistemi di controllo di natura biometrica – ciò al fine di evitarne l’attuazione a prescindere da qualsiasi esigenza concreta e specifica in tal senso.
In conclusione, era stato segnalato che allo stato attuale il quadro normativo non consente al datore di lavoro il trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze: l’utilizzo di un sistema biometrico è infatti una misura che, soprattutto in assenza di particolari esigenze di sicurezza o di elevati rischi che giustifichino il passaggio dall’utilizzo del badge all’utilizzo del riconoscimento biometrico per accedere agli edifici di pertinenza aziendale, sembra preferibile evitare, in un’ottica di proporzionalità del trattamento.
Alla luce di questa analisi, la valutazione della legittimità di un trattamento di dati biometrici, deve essere effettuata con estrema cautela attraverso un’accurata ponderazione in merito all’effettiva sussistenza in capo al titolare di un’idonea base giuridica per l’effettuazione del trattamento, che tenga conto della reale necessità, proporzionalità e adeguatezza dello stesso, nonché tramite l’implementazione di misure di sicurezza atte a tutelare i dati raccolti. Le ipotesi in cui tali condizioni si verificano sembrano essere ad oggi un numero esiguo.
Fonte : Garante privacy