Dati biometrici e privacy, ecco come vanno trattati in ambito lavorativo - Cyber Security 360

Le regole

Dati biometrici e privacy, ecco come vanno trattati in ambito lavorativo

L’utilizzo di sistemi di riconoscimento biometrico in un contesto lavorativo ha implicazioni relativamente alla legittimità del trattamento dei dati e alla compliance ai principi del GDPR: vediamo qual è la situazione in riferimento alla normativa e agli interventi del Garante privacy

25 Giu 2021
Z
Paola Zanellati

Consulente Privacy

Di fronte alla rapida ascesa degli strumenti che trattano dati biometrici, il Garante Privacy ha assunto sin dall’inizio un atteggiamento particolarmente rigido, in quanto spesso le finalità di identificazione e di sorveglianza non possono giustificare qualsiasi utilizzazione del corpo umano resa possibile dall’innovazione tecnologica. Vanno garantiti sempre il rispetto della dignità della persona, dell’identità personale e dei principi di finalità e di proporzionalità.

Un ambito primario relativo all’impiego dei dati biometrici riguarda il contesto lavorativo. Nell’ottica di un titolare di azienda, l’utilizzo di sistemi di riconoscimento biometrico potrebbe assicurare una puntuale verifica circa l’effettivo svolgimento della prestazione lavorativa. In questo modo, tale tecnologia permetterebbe di conoscere con assoluta certezza quale lavoratore stia svolgendo le proprie mansioni. Inoltre, si eviterebbe anche situazioni quali “lo scambio di cartellini” tra colleghi.

Tale possibilità, tuttavia, presenta non poche implicazioni in ordine alla legittimità del trattamento e alla conformità dei dispositivi utilizzati alle disposizioni e ai principi generali dettati dal GDPR.

Uso di dati biometrici: i rischi privacy

In generale, ciò che più preoccupa relativamente ai dati biometrici è il problema della protezione dell’identità. Tali dati, per la loro peculiare natura, richiedono l’adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l’abusiva ricostruzioni dell’impronta, partendo dal modello di riferimento, e la sua ulteriore utilizzazione a loro insaputa.

L’utilizzo di dati biometrici dovrà, quindi, essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore.

Privacy e biometria in ambito lavorativo: le condizioni di liceità del trattamento

Dati biometrici e Industria 4.0

Già numerose tecnologie di Industria 4.0 si fondano sul trattamento di dati biometrici. Sono state così sviluppate soluzioni che, per quanto futuristiche sono già una realtà e vengono attualmente utilizzate in ambienti industriali tecnologicamente progrediti.

Rientrano nella categoria di suddette soluzioni i dispositivi di robotica indossabile, quali gli esoscheletri per applicazioni industriali volti ad aumentare le capacità operative dei lavoratori che svolgono attività manuali e di movimentazione; le “tute” realizzate anche tramite scansioni del corpo del lavoratore; così come le postazioni di lavoro auto-adattive, strutturate sulla base delle caratteristiche proprie di chi è chiamato ad utilizzare quelle postazioni, anche in termini di condizioni fisiche e di affaticamento.

Di fronte all’utilizzo di tecnologie tanto invasive, che implicano il coinvolgimento della persona in sé – e tenendo in ulteriore considerazione del fatto che i soggetti interessati sono lavoratori – si impone un accurato bilanciamento degli interessi in gioco onde valutare la necessità e la proporzionalità del trattamento di dati biometrici, che attribuisca il giusto peso alla valutazione dei rischi inerenti quei trattamenti . Il che, sul versante tecnico, può indurre ad aderire a soluzioni quali la pseudonimizzazione, l’anonimizzazione successiva dei dati biometrici trattati, o la limitazione inerente ai tempi di conservazione degli stessi.

Cosa dice la legge

Il GDPR all’articolo 4 par. 1 p.4, definisce i dati biometrici: “I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. I dati biometrici rientrano in quella categoria particolare di dati per i quali il Regolamento Europeo, pone una specifica attenzione, vietandone il trattamento, tranne che in alcune particolari situazioni, indicate dall’articolo 9 par. 2.

Dette disposizioni, sono confermate anche dall’articolo 2 septies del D.lgs 101/2018 “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, secondo il quale “i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure”.

Le caratteristiche dei dati biometrici

È necessario porre molta attenzione alla tutela dei dati personali quando si effettua un trattamento di dati biometrici, ad esempio per rilevare la presenza dei lavoratori. Fondamentale che il titolare del trattamento rispetti i principi di privacy by design e di privacy by default, oltre a effettuare una valutazione di impatto sul trattamento dei dati relativi all’utilizzo di strumenti biometrici. Caratteristiche principali di detti dati sono:

  1. l’esclusività, in quanto unici per ogni persona;
  2. la permanenza, stante la loro “non modificabilità” salvo casi di lesioni e/o traumi;
  3. l’idoneità ad identificare con certezza assoluta il soggetto a cui appartengono.

Base giuridica per i dati biometrici

Nel 2016 il Legislatore europeo ha incluso i dati biometrici nel novero dei dati particolari, assoggettandoli al divieto generalizzato di trattamento sancito dal primo paragrafo dell’articolo 9 del GDPR. L’articolo 9 del GDPR, infatti, introduce un generale divieto di trattamento di questa particolare categoria di dati, compresi i dati biometrici. Sono previste solo alcune eccezioni, tassativamente indicate quando il trattamento è necessario:

  • assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale;
  • tutelare un interesse vitale dell’interessato o di un’altra persona fisica;
  • una fondazione, associazione o altro organismo senza scopo di lucro, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo;
  • accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
  • motivi di interesse pubblico rilevante sulla base di norme giuridiche, prevedendo misure appropriate per tutelare i diritti dell’interessato;
  • finalità di medicina preventiva o di medicina del lavoro;
  • motivi di interesse pubblico nel settore della sanità pubblica;
  • a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Ricordiamo che il GDPR non include il legittimo interesse quale legittimazione al trattamento dei dati particolari. Peraltro la conferma esplicita viene fornita dall’Autorità stessa in un provvedimento del 2018 che esclude  il legittimo interesse perseguito dal titolare come presupposto di liceità per il trattamento di dati biometrici.

L’individuazione delle condizioni di liceità del trattamento in esame richiede un’analisi puntuale delle eccezioni ammesse dal legislatore. Si consideri la prima eccezione sopraelencata, ovverossia l’individuazione ex lege della tecnologia biometrica per l’assolvimento degli adempimenti in materia di lavoro. Sul punto, è opportuno il rimando alla recente pronuncia dell’Autorità Garante del 14 gennaio 2021 che ha sanzionato l’Azienda Sanitaria Provinciale di Enna per un importo pari a 30.000 euro per la trattazione dei dati biometrici dei 2000 dipendenti su base normativa carente.

Gli obblighi previsti dal GDPR

Chiariti i presupposti di liceità sull’impiego di dati biometrici, si rammentano gli ulteriori obblighi previsti dal GDPR, posti in capo ai titolari del trattamento:

  • redazione di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR;
  • consegna di un’informativa specifica agli interessati (art. 13 del GDPR);
  • predisposizione di un registro dell’attività di trattamento (art. 30 del GDPR).

L’utilizzo di dispositivi e tecnologie per la raccolta e il trattamento dei dati, in particolare per l’accertamento dell’identità personale nell’ambito dell’erogazione di servizi, dell’accesso a banche dati informatizzate, per il controllo degli ingressi a locali, per l’attivazione di dispositivi elettromeccanici ed elettronici, nonché per la sottoscrizione di documenti informatici sembra sia diventata la normalità e l’unica soluzione attuabile.

Dati biometrici, il nodo del rapporto tra AI e libertà: quali regole in Europa

I doveri del datore di lavoro

I dati raccolti, trasformati in stringhe numeriche dette “template”, presentano le caratteristiche della singolarità, dell’unicità e della permanenza che ne rendono particolarmente delicato e controverso il trattamento e la conservazione.

I sistemi biometrici sono ormai considerati dispositivi “indispensabili” per rendere la prestazione lavorativa, pertanto il datore di lavoro può prescindere, per l’installazione, sia dall’accordo con le rappresentanze sindacali, sia dal procedimento autorizzativo presso le competenti sedi territoriali dell’Ispettorato Nazionale del Lavoro: “L’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale e della topografia della mano può essere consentita per limitare l’accesso ad aree e locali ritenuti sensibili in cui è necessario assicurare elevati e specifici livelli di sicurezza oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività”.

Ciò, è stato chiarito dalla circolare INL numero 5/2018, che nel fornire le indicazioni operative sull’installazione/utilizzazione di impianti audiovisivi e sulla liceità dei dispositivi biometrici, ha delineato prima di tutto le nuove modalità secondo cui effettuare l’istruttoria, in ordine alle istanze presentate dalle imprese per il rilascio del provvedimento autorizzativo, successivamente ha chiarito il concetto di patrimonio aziendale, fattore legittimante del controllo, che senza un idoneo filtro rischia di non trovare un’ adeguata delimitazione.

Come ricorda il Garante della privacy, in tali fattispecie, “i principi di legittimità e determinatezza del fine perseguito, nonché di proporzionalità, correttezza, e non eccedenza, impongono una gradualità dell’ampiezza e della tipologia del monitoraggio, che rende assolutamente residuali i controlli più invasivi” legittimandoli solo a fronte della rilevazione di specifiche anomalie e comunque con l’utilizzo di misure meno limitative dei diritti dei lavoratori.

L’ambito spaziale 

La circolare si sofferma poi sull’ambito spaziale come luogo di lavoro e prende in considerazione non solo i luoghi con postazione fissa, ma anche i luoghi di lavoro esterni dove venga svolta attività in modo saltuario o occasionale. La diversa configurazione dei dispositivi sopra descritti non incide solo in termini di regole procedurali, ma anche e soprattutto con riguardo alle sanzioni applicabili in caso di violazioni.

I controlli a distanza non consentono una sorveglianza massiva, prolungata e indiscriminata sull’attività dei prestatori. La violazione che potrebbe configurarsi, oltre a quella sanzionata dagli artt. 28 e 38 dello Statuto dei Lavoratori, è anche quella dell’art. 8 sempre dello Statuto dei Lavoratori, che vieta di effettuare indagini sulle opinioni politiche, religiose, sindacali del lavoratore, e sui fatti non rilevanti ai fini della valutazione della sua attitudine professionale.

Si rende necessario conciliare il diritto del datore di lavoro, di verificare l’esatto adempimento della prestazione e il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, con la salvaguardia della libertà e dignità dei lavoratori.

È certo, dunque, che vi sarà una progressiva ulteriore diffusione dell’utilizzo dei dati biometrici e relativi sistemi di rilevamento, da adottarsi in ogni caso nel rispetto delle norme a tutela della privacy.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4