Nell’ordinanza ingiunzione del 22 novembre del 2022, pronunciata dal Garante della Privacy a definizione di un procedimento sanzionatorio avviato contro una società, l’uso di dati biometrici nell’ambito del rapporto di lavoro è stato ritenuto illegittimo. Il caso riguardava un sistema di timbratura per il rilevamento presenze con terminale biometrico tramite rilevamento delle impronte digitali, per dipendenti e collaboratori, con lo scopo di registrare l’accesso e la presenza in azienda. Secondo il Garante è un trattamento illegittimo di dati, perché privo di valida base giuridica, oltre che contrario ai principi di liceità, necessità e proporzionalità.
Perché un trattamento simile possa essere lecitamente iniziato occorre che lo stesso trovi il proprio fondamento in una norma che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità rispetto alle finalità che si intendono attuare. Infatti, l’articolo 4 del Regolamento europeo 2016/679 - cosiddetto Gdpr - definisce biometrici i “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici”.
Il trattamento di dati biometrici di regola vietato dal Gdpr, è consentito in ambito lavorativo solo quando sia reso “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato»”.
Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione nonché integrità e riservatezza dei dati e responsabilizzazione. A nulla vale il consenso anche prestato dal lavoratore. Quindi, in assenza di una normativa specifica, il Garante della Privacy, in diverse occasioni oltre a quella in esame, ha dichiarato illegittimo l’uso di dati biometrici per rilevare la presenza di dipendenti. Tale trattamento, inoltre, sempre secondo il Garante, è sproporzionato rispetto alle finalità dichiarate, poiché esistono altri strumenti che possono garantire la rilevazione delle presenze.
Secondo questo orientamento del Garante non si potranno utilizzare nell’ambito del rapporto di lavoro strumenti quali il riconoscimento vocale, il riconoscimento facciale, i sistemi di body scanner e le scansioni per l’identificazione univoca della persona. L’ordinanza è destinata a suscitare un aspro dibattito vista la prassi in essere presso alcune grosse aziende,
Avvocato Cristina Bruni
