Società condannata per aver installato un sistema di rilevazione delle impronte per segnare l’orario e le presenze dei lavoratori
Con provvedimento del 10 novembre 2022, il Garante della Privacy ha condannato una società al pagamento di una sanzione di 20.000 euro per aver installato un sistema di rilevamento delle presenze dei lavoratori tramite riconoscimento delle impronte digitali.
Secondo il Garante, nel caso esaminato, non sussistevano le motivazioni previste dal GDPR e dal Codice della Privacy per poter giustificare un simile sistema di rilevazione delle presenze e dell’orario dei dipendenti. In linea astratta, invece, potrebbe essere ammissibile solo in presenza di reali motivazioni e con la sottoscrizione di una informativa completa in tutti gli elementi previsti dalla legge.
Una Società che gestisce palestre ha introdotto nel 2018 un sistema di rilevamento presenze dei dipendenti mediante il riconoscimento delle impronte digitali. Al posto del tradizionale badge o cartellino marcatempo, un innovativo meccanismo di lettura delle impronte.
Le motivazioni di una scelta così tecnologica? Secondo la Società, “molto spesso in passato i dipendenti dimenticavano di registrare, tramite l’utilizzo del badge, il loro arrivo o la loro uscita dal posto di lavoro, circostanza questa che costringeva il datore ad assumere iniziative disciplinari”. Per tali ragioni ha introdotto questo metodo di rilevazione ultratecnologico.
Tuttavia, questo sistema è stato segnalato al Garante della Privacy da parte di una sigla sindacale.
È questa la domanda a cui hanno dovuto dare una risposta gli esperti del Garante. La risposta è positiva: ripercorrendo il quadro normativo nazionale ed europeo, i componenti della commissione hanno ritenuto ammissibile un sistema di rilevazione presenze mediante lettura delle impronte digitali.
A una condizione però: il rispetto di tutte le garanzie legali previste dalla normativa.
Il GDPRIl Regolamento Generale sulla Protezione dei Dati è un atto dell’Unione Europea che si occupa del trattamento e della circolazione dei dati personali, applicabile a partire dal 25 maggio 2018 More, ossia il Regolamento della Comunità Europea numero 679 del 2016.
All’articolo 9, lettera b) questo regolamento disciplina proprio il trattamento dei dati biometrici, che può essere realizzato solo se “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Sotto tale aspetto, la normativa italiana con l’art. 2 septies Codice della Privacy ha disciplinato specificamente le “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, stabilendo che il trattamento dei dati biometrici può essere eseguito alle condizioni indicate dal GDPR (garanzie per i diritti e gli interessi dei lavoratori) e in conformità alle misure di garanzia disposte dal Garante.
Tuttavia, per poter utilizzare un tale sistema di rilevazione presenze le società interessate devono allegare e dimostrare le reali esigenze e le garanzie a favore dei lavoratori. E nel caso in questione il Garante ha ritenuto che la società non avesse portato alcuna valida giustificazione.
Infatti, si legge nel provvedimento “che l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al dichiarato fine di garantire maggiore velocità e snellezza delle relative operazioni a fronte di ripetute dimenticanze nella timbratura tramite badge, non appare conforme ai principi di minimizzazione e proporzionalità del trattamento”.
In altri termini, rilevare le presenze con la lettura delle impronte digitali al solo fine di velocizzare le operazioni in ingresso e in uscita non è una motivazione valida per poter utilizzare questo sistema.
La Società si è difesa giustificando la propria scelta organizzativa e sottolineando che i dipendenti avevano sottoscritto la informativa con cui prestavano il consenso alla rilevazione delle presenze con la lettura delle impronte digitali.
Il Garante, invece, ha ritenuto che il consenso espresso dai lavoratori non fosse validamente prestato perché i pochi riferimenti contenuti nella informativa “risultano del tutto inidonei a rappresentare le caratteristiche del trattamento che si intende effettuare attraverso gli specifici dispositivi biometrici, come prescritto dall’art. 13 del Regolamento”.
Secondo il Garante l’informativa avrebbe dovuto contenere precise indicazioni “con riguardo al titolare e responsabile del trattamento, base giuridica, tempi di conservazione, diritti dell’interessato, diritto di proporre reclamo ad un’autorità di controllo”.
Leggi anche:
Controllo mail aziendale. Vietato il controllo generalizzato della cronologia internet