GUIDA NORMATIVA

Privacy e biometria in ambito lavorativo: le condizioni di liceità del trattamento

L’uso in ambito lavorativo dei sistemi di autenticazione basati sul riconoscimento biometrico offre vantaggi applicativi ed economici: in ambito privacy, però, l’uso della biometria deve avere dei chiari presupposti di liceità che giustifichino il trattamento dei dati. Ecco come individuarli

24 Set 2020
G
Riccardo Giacobbi

Legal Consultant Partners4Innovation s.r.l.

L
Francesca Lonardo

Associate Partner Partners4Innovation s.r.l.


Sono sempre di più, nel mondo, le imprese che implementano presso i propri spazi aziendali, per finalità organizzative e/o di sicurezza, sistemi di autenticazione basati sul riconoscimento biometrico, ritenendoli, oltre che facili da utilizzare, anche vantaggiosi dal punto di vista economico[1]: ma quali sono i risvolti dal punto di vista privacy nell’uso della biometria in ambito lavorativo?

Anzitutto, nel presente contributo, verrà approfondito il profilo del presupposto di liceità del trattamento, mentre, con un successivo articolo online, viene esaminata l’ammissibilità o meno della finalità – perseguita da un sistema di riconoscimento biometrico – di controllo degli accessi sul luogo di lavoro, oltreché alcuni aspetti in ambito di security e di eventuale obbligatorietà della cosiddetta DPIA.

Le basi giuridiche che legittimano il trattamento di dati biometrici

Uno degli aspetti più critici del trattamento di dati biometrici in ambito lavorativo è sicuramente la corretta individuazione dei presupposti di liceità del trattamento.

Proviamo ad individuare quali sono secondo la normativa in materia di protezione dei dati personali.

Privacy e biometria in ambito lavorativo: condizioni di liceità con la direttiva 95/46/CE

Diversamente da quanto previsto dalla normativa vigente, la direttiva 95/46/CE non annoverava espressamente i dati biometrici fra le “categorie particolari di dati” di cui all’art. 8.

Ciò significa che il trattamento dei dati biometrici doveva essere fondato esclusivamente su una delle basi giuridiche di cui all’art. 7 della menzionata direttiva.

A tale proposito, secondo il Gruppo di lavoro articolo 29 (di seguito, “WP29”)[2], nell“Opinion 3/2012 on developments in biometric technologies”, l’interesse legittimo può rappresentare una valida base giuridica per il trattamento di dati biometrici, a condizione che il titolare sia in grado di dimostrare che il suo interesse prevale sul diritto degli interessati a non essere sottoposti al trattamento dei propri dati biometrici.

Ciò può avvenire, ad esempio, quando il trattamento è effettuato per esigenze di sicurezza del patrimonio aziendale e delle persone, in presenza di un rischio considerevole, documentabile sulla base di evidenze oggettive, come nel caso di un laboratorio che svolge ricerche su un virus pericoloso protetto da porte che si aprono solo dopo l’avvenuta verifica dell’impronta digitale e della scansione dell’iride.

In tal caso, l’interesse legittimo dell’azienda ad assicurarsi che solo le persone autorizzate possano entrare prevale sul diritto degli interessati a che i propri dati biometrici con vengano trattati.

Appare invece sproporzionato, secondo il WP29, l’utilizzo di un sistema biometrico centralizzato basato sulle impronte digitali in una palestra, al fine di consentire l’accesso solo ai clienti che hanno pagato l’abbonamento, quando, invece, si potrebbe facilmente ricorrere a mezzi meno invasivi ugualmente praticabili ed efficaci.

Il sistema biometrico deve infatti essere effettivamente necessario per raggiungere lo scopo previsto e non semplicemente il più conveniente o comodo[3].

Secondo il WP29, in ambito lavorativo – sempreché la necessità del trattamento possa essere adeguatamente dimostrata, nonché bilanciata con i diritti e le libertà degli interessati – l’interesse legittimo appare preferibile rispetto al consenso dei dipendenti, che è presumibilmente “debole” a causa dello squilibrio di potere che caratterizza la relazione fra gli stessi ed il loro datore.

Privacy e biometria in ambito lavorativo: condizioni di liceità col “vecchio” D.lgs. 196/2003

Anche il Codice Privacy previgente, ovviamente, in attuazione della Direttiva 95/46/CE, non includeva i dati biometrici fra i “dati sensibili”.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Poiché, però, il trattamento di tali dati, “in ragione della tecnica prescelta, del contesto di utilizzazione, del numero e della tipologia di potenziali interessati, delle modalità e delle finalità del trattamento”, può comportare “rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell´interessato”, chi intendeva adottare sistemi biometrici era tenuto a presentare al Garante, ai sensi dell´art. 17 del Codice Privacy[4], una richiesta di verifica preliminare (il cd. “prior checking”).

Non era necessario presentare istanza di verifica preliminare nei casi individuati dalla nostra Autorità con il “Provvedimento generale prescrittivo in tema di biometria” del 14 novembre 2014, alla luce del loro ridotto livello di rischio[5], a condizione che venissero adottate tutte le cautele individuate con il provvedimento e fossero rispettati, in particolare, i principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti.

Tra le ipotesi individuate, il Garante annoverava:

  1. il controllo dell’accesso fisico ad aree “sensibili” dei soggetti addetti e utilizzo di apparati e macchinari pericolosi;
  2. l’uso dell’impronta digitale o della topografia della mano a scopi facilitativi (in cui le tecniche biometriche sono utilizzate al fine di consentire, regolare e semplificare l’accesso fisico degli utenti ad aree fisiche in ambito pubblico o privato oppure a servizi).

Nel primo caso, il Garante, ha riconosciuto, quale presupposto di legittimità del trattamento dei dati biometrici, l’istituto del bilanciamento di interessi di cui all’art. 24, comma 1, lettera g), del Codice Privacy previgente, “per cui, in ragione del legittimo interesse perseguito dal titolare, delle prescrizioni imposte dal presente provvedimento e delle finalità connesse a specifiche esigenze di sicurezza, il trattamento può avvenire senza il consenso degli interessati[6].

Nella seconda casistica, invece, “il presupposto di legittimità del trattamento è dato dal consenso effettivamente libero degli interessati e dall’utilizzo di sistemi alternativi di accesso non basati su dati biometrici.

Privacy e biometria in ambito lavorativo: condizioni di liceità con il GDPR

Come noto, i “dati biometrici intesi a identificare in modo univoco una persona fisica” sono stati inclusi tra le “categorie particolari di dati” di cui all’art. 9.1 del GDPR, beneficiando, quindi, nel nuovo quadro giuridico europeo, di una protezione rafforzata.

Di conseguenza, il relativo trattamento richiede sia una valida base giuridica ai sensi dell’art. 6 del GDPR che una delle condizioni di legittimità di cui all’art. 9.2 del GDPR.

Orbene, il consenso è previsto sia, in generale, come base giuridica ai sensi dell’art. 6.1, lett. a) del GDPR, sia, laddove “esplicito”, come condizione di legittimità ulteriore ai sensi dell’art. 9.2 lett. a) del GDPR[7].

Chi scrive nutre però perplessità nell’utilizzo di tale base giuridica nel contesto lavorativo. Difatti, il consenso, per poter essere valido, ai sensi dell’art. 7.4 del GDPR, deve essere “libero”. Il consenso non è espresso liberamente se l’interessato non ha un’effettiva possibilità di scelta, si sente costretto a dare il consenso o subisce conseguenze negative se non acconsente[8].

Come sopra indicato, l’interessato “non è in grado di operare una scelta autenticamente libera” quando esiste, come nell’ambito lavorativo, dato il rapporto di subordinazione fra datore di lavoro e dipendenti, “un evidente squilibrio di potere tra l’interessato e il titolare[9].

Sia il WP29 che l’autorità sua “erede” [10] hanno precisato che, affinché il consenso al trattamento dei dati biometrici sia libero, è necessario che all’interessato venga garantita una valida alternativa (ad esempio, una password o un badge).

Il punto è che non sempre è possibile ricorrere a mezzi meno intrusivi. Nell’esempio del laboratorio di cui sopra, il titolare del trattamento non può offrire al dipendente un meccanismo alternativo senza avere un impatto diretto sulla sicurezza dell’area riservata, poiché non esistono misure alternative meno invasive adatte a raggiungere un livello di sicurezza adeguato.

Anzi, se fosse possibile utilizzare un mezzo alternativo significherebbe che il ricorso a sistemi biometrici non è effettivamente necessario per raggiungere la finalità perseguita, costituendo, quindi, una misura sproporzionata.

E per quanto riguarda l’interesse legittimo? Non si riscontrano indicazioni in senso contrario nel GDPR, tanto che la possibilità di ricorrere a tale base giuridica per il trattamento di dati biometrici è stata prevista da diverse autorità di controllo europee[11], oltre che, come abbiamo visto dal WP29, nel parere 3/2012 in epoca antecedente al GDPR. Per poter ricorrere a tale base giuridica sarebbe però necessario prendere in considerazione i particolari rischi associati al trattamento e porre eventualmente in essere misure di sicurezza più robuste per mitigare ogni impatto sugli interessati[12][13].

In Italia, però, la possibilità di utilizzare il legittimo interesse quale base giuridica per il trattamento dei dati biometrici è stata espressamente esclusa dalla nostra Autorità con il Provvedimento del 22 febbraio 2018 (“Indicazioni preliminari di cui in motivazione volte a favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679”).

Secondo il Garante, tali dati, essendo ora inclusi fra “le categorie particolari di dati personali enumerate all´art. 9, par. 1, del Regolamento”, rispetto al regime stabilito dal Codice Privacy previgente, sarebbero “così, sottratti alla possibilità di essere trattati in base al presupposto del legittimo interesse”.

Il punto è che, se anche si ritenesse l’interesse legittimo la corretta base giuridica di cui all’art. 6 del GDPR, rimane comunque il problema di individuare una delle condizioni di legittimità di cui all’art. 9.2 previste per le categorie particolari di dati.

Difatti, se si esclude, in via generale, la possibilità di utilizzare il consenso in ambito lavorativo, appare difficile poter ricorrere ad una delle altre condizioni di cui all’art. 9.2.

Privacy e biometria in ambito lavorativo: condizioni di liceità con il nuovo Codice Privacy

Auspichiamo che una soluzione al problema sia individuata con il provvedimento del Garante di cui all’art. 2-septies del Codice Privacy, che si spera sia emanato il prima possibile[14].

Tale norma, infatti, in attuazione dell’art. 9.4 del GDPR (secondo cui il trattamento dei dati biometrici può essere soggetto a “ulteriori condizioni, incluse limitazioni”, liberamente mantenute o introdotte, dai singoli Stati membri), ha espressamente previsto che il Garante, con provvedimento biennale, nello stabilire specifiche «misure di garanzia» per il trattamento di tali dati, possa individuare “ulteriori condizioni” sulla base delle quali il trattamento è consentito.

Ulteriori temi

Ma se la finalità del trattamento di dati biometrici fosse quella di rilevare le presenze dei lavoratori, vi sarebbero particolari limitazioni?

E se l’impresa decidesse di introdurre il sistema biometrico presso la propria azienda, quali misure di sicurezza dovrebbe anzitutto prendere in considerazione?

Ci sarebbero particolari adempimenti da assolvere, quale il compimento della cd. DPIA?

Per dare risposta a tutte queste domande rimandiamo ad un altro articolo pubblicato su questa stessa testata.

NOTE

  1. Secondo l’indagine di PWC “Global state of information security” del 2018, il 60% delle aziende intervistate starebbero adottando sistemi di autenticazione biometrica. La crescita del settore è stata evidenziata anche dal “Digital Transformation Monitor” della Commissione Europea nel documento “Biometrics technologies: a key enabler for future digital services, sempre del 2018. Per gli addetti ai lavori si tratterebbe di un mercato che è valso, per il solo 2019, diversi bilioni di dollari. E ciò nonostante le critiche sull’utilizzo di tale strumento tecnologico mosse dall’autorità di controllo spagnola (Agencia Española de Protección de Datos) e dall’European Data Protection Supervisor (“EDPS”) nel documento “Misunderstandings with regard to biometric identification and authentication”.
  2. Il WP29 – istituito, appunto, dall’art. 29 della direttiva previgente – era un organismo consultivo ed indipendente che si occupava di promuovere l’applicazione coerente delle norme sulla protezione dei dati personali nell’Unione Europea e la cooperazione tra le autorità competenti. Il WP29 è stato oggi sostituito dall’European Data Protection Board (“EDPB”).
  3. If the benefit is relatively minor, such as an increase in convenience or a slight cost saving, then the loss of privacy is not appropriate”.
  4. Disposizione abrogata dall’art. 27 del d. lgs 101/2018.
  5. in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione
  6. L’Autorità ha confermato tale orientamento nel provvedimento “Verifica preliminare relativa ad un sistema di controllo accessi biometrico facciale del 16 febbraio 2017, con cui ha accolto una richiesta di verifica preliminare presentata da una società in relazione all’utilizzo di un sistema di “controllo accessi biometrico con riconoscimento facciale” per consentire l’ingresso ad uno stabilimento (in cui erano custoditi materie prime e prodotti finiti di elevato valore) esclusivamente al personale autorizzato, utilizzato esclusivamente “per esigenze di tutela dell’incolumità delle persone e di sicurezza del patrimonio aziendale”, consentendo di avere “contezza certa” dell’identità del personale presente all’interno dello stabilimento e non “per finalità di rilevazione delle presenze del personale.
  7. L’EDPB, nelle “Guidelines 3/2019 on processing of personal data through video devices” adottate in data 29 gennaio 2020, specifica che l’utilizzo della videosorveglianza con funzionalità di riconoscimento facciale da parte di privati per le proprie finalità (es. marketing, statistiche o anche di sicurezza), nella maggior parte dei casi richiederebbe proprio l’esplicito consenso degli interessati ai sensi dell’art. 9.2, lett. a), anche se potrebbe essere applicabile anche un’altra eccezione di cui all’art. 9.2 del GDPR.
  8. Così, l’EDPB, nelle Linee guida 5/2020 del 4 maggio 2020 in materia di consenso.
  9. In tal senso il WP29 nel parere 2/2017 sul trattamento dei dati sul posto di lavoro.
  10. Il WP29 nel parere 3/2012 prima citato, nonchè l’EDPB nelle recenti “Guidelines 3/2019 on processing of personal data through video devices”,
  11. Come l’Autorità garante ungherese nelle linee guida del 2016, l’Autorità garante portoghese in merito ad un processo di “authorization” del 2017 e l’Autorità irlandese nel proprio Report annuale del 2016.
  12. Così in particolare, l’UK Information Commissioner’s Office (“ICO”) nelle proprie linee guida sul trattamento delle categorie particolari di dati personali pubblicate il 14 novembre 2019: “If you are processing special category data this means you must still identify a lawful basis for your processing, in exactly the same way as for any other personal data. In other words, you must identify both a lawful basis under Article 6 and a condition for processing special category data under Article 9.However, if you are relying on legitimate interests as your lawful basis, you need to take into account the particular risks associated with special category data in your legitimate interests assessment. You may need to put in place more robust safeguards to mitigate any impact or risks to the individual to demonstrate that the legitimate interests basis applies.”
  13. The organization in the above scenario has chosen to rely on legitimate interest (protection of property and fraud prevention) as their lawful basis for processing biometric data”, così Borderless Ideas, By Omo Osagiede, Contributor, CSO, Apr 6, 2018, “Biometrics in the workplace: what about consent and legitimate interest?
  14. La norma recita testualmente (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute): “In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo.” Si segnala che c’è chi ritiene, sulla base di un’interpretazione letterale della norma, che, in assenza di tali “misure di garanzia”, il trattamento di dati biometrici non potrebbe proprio essere effettuato. A parere di chi scrive, un’attività ermeneutica così restrittiva non è condivisibile. La disposizione può essere piuttosto interpretata come previsione di un obbligo di conformare i trattamenti di tali tipologia di dati (quindi, non solo biometrici) alle misure di garanzia nel momento in cui queste saranno disposte dal garante.
WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 5