GUIDA NORMATIVA

Privacy e biometria in ambito lavorativo: legittimità per il rilevamento delle presenze

Identificati i presupposti di liceità del trattamento di dati biometrici in ambito lavorativo, è utile analizzare l’ammissibilità dell’utilizzo di un sistema di riconoscimento biometrico per controllare gli accessi sul luogo di lavoro, le misure di sicurezza da adottare e la necessità della DPIA

01 Ott 2020
G
Riccardo Giacobbi

Legal Consultant Partners4Innovation s.r.l.

L
Francesca Lonardo

Associate Partner Partners4Innovation s.r.l.


Dopo aver approfondito il complicato profilo dei presupposti di liceità del trattamento di dati biometrici in ambito lavorativo, ora viene analizzata l’ammissibilità o meno dell’utilizzo di un sistema di riconoscimento biometrico per controllare gli accessi sul luogo di lavoro, le misure di sicurezza da adottare e la necessità della DPIA.

In particolare, occorre chiedersi se è legittimo utilizzare i sistemi di riconoscimento biometrico per rilevare le presenze dei lavoratori.

Privacy e biometria: legittimità per il rilevamento delle presenze

Il tema è oggi particolarmente sentito data l’utilità di sistemi di tecnologia avanzata per il controllo degli accessi e delle presenze in azienda, ma, per la nostra Autorità di controllo, di regola, la risposta è no[1].

Il nostro Garante ha infatti più volte specificato che il trattamento dei dati biometrici non è ammissibile per finalità di ordinaria gestione del rapporto di lavoro ed in particolare per controllare la presenza dei dipendenti sul posto di lavoro ed i relativi orari. Tale trattamento risulta infatti sproporzionato, potendo tale finalità essere raggiunta con mezzi meno invasivi della sfera privata del lavoratore[2].

Anche nel “Provvedimento generale prescrittivo in tema di biometria” del 14 novembre 2014 richiamato in Privacy e biometria in ambito lavorativo: le condizioni di liceità del trattamento, la nostra Autorità, nel consentire l’utilizzo di “sistemi biometrici per controllare l’accesso, da parte dei soli dipendenti autorizzati, a luoghi particolarmente pericolosi”, al fine di “garantire la sicurezza di persone o beni[3], ha però indicato che gli stessi, in ossequio al principio di limitazione della finalitànon possono essere utilizzati a diversi fini come, per esempio, la verifica del rispetto dell’orario di lavoro dei dipendenti[4].

Anche l’art. 2 septies, comma 7 del d. lgs. 101/2018, che consente espressamente l’utilizzo dei dati biometrici come misura di sicurezza di cui all’art. 32 del GDPR con riferimento alle “procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati”, sia pure nel rispetto delle “misure di garanzia” che dovranno essere disposte dal Garante, sembra legittimarlo come misura di sicurezza, ma non per controllare la presenza dei dipendenti sul posto di lavoro[5].

Il parere del Garante sulla “legge concretezza”

Come noto, il nostro legislatore, al fine di combattere il fenomeno dell’assenteismo nel pubblico impiego e garantire il buon andamento della pubblica amministrazione, ha introdotto, con la legge 56/2019 recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”, un “nuovo sistema di verifica dell’osservanza dell’orario di lavoro basato su un impianto di verifica biometrica e di videosorveglianza, in sostituzione dei consueti metodi di rilevazione automatica”.

Il Garante, chiamato ad esprimere un parere sulla legge[6], ne aveva però segnalato (potremmo dire invano, dato che il legislatore non pare aver seguito le sue indicazioni) i profili di dubbia compatibilità con la disciplina europea e nazionale in materia di protezione dei dati personali.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Secondo l’Autorità, infatti, alla luce dell’invasività dello strumento e della natura del dato trattato, non sarebbe conforme al principio di proporzionalità configurare la rivelazione biometrica come obbligatoria in ogni pubblica amministrazione, “a prescindere da qualsiasi esigenza concreta e specifica in tal senso[7], e, cioè, indipendentemente dalla reale incidenza del rischio di fenomeni di assenteismo.

Incompatibile con il canone di proporzionalità secondo il Garante è anche l’utilizzo contestuale del controllo biometrico e del controllo mediante video-sorveglianza.

Tale impiego contestuale difatti “contrasta con l’esigenza di stretta necessità del trattamento rispetto al fine perseguito; esigenza tanto più rilevante rispetto ai dati biometrici, annoverati nella categoria di dati personali cui la disciplina europea accorda maggiore tutela. Se, infatti, presupposto per l’introduzione di un sistema di attestazione della presenza in servizio così invasivo quale quello biometrico è la sua ritenuta efficacia e affidabilità, ne consegue necessariamente l’ultroneità del ricorso contestuale alla videosorveglianza, che nulla potrebbe aggiungere in termini di contrasto di fenomeni elusivi[8].

Il rispetto dei principi di liceità, proporzionalità e di minimizzazione avrebbe reso necessario limitare la scelta ad un solo strumento di verifica, prevedere il ricorso a sistemi biometrici laddove altri sistemi di rilevazione delle presenze non fossero risultati idonei rispetto agli scopi perseguiti, nonché collegarne l’utilizzo a specifici fattori di rischio e/o a particolari presupposti organizzativi (ad es. dimensione dell’ente).

Misure di sicurezza da adottare a tutela dei dati

Una delle principali scelte che il titolare dovrà compiere – nell’implementazione delle misure tecniche di sicurezza – è se optare per un sistema di conservazione centralizzato o decentralizzato.

Il sistema decentralizzato (in cui i riferimenti biometrici siano conservati sia “direttamente sui dispositivi di rilevazione, su cui avviene il confronto”, oppure “su dispositivi sicuri affidati alla custodia dell’interessato[9]) è di regola considerato preferibile.

Ad avviso del WP29 (parere 3/2012 citato in Privacy e biometria in ambito lavorativo: le condizioni di liceità del trattamento), “È preferibile evitare la conservazione centralizzata delle informazioni biometriche personali ogni qual volta è consentito sottoporre a trattamento i dati biometrici.”. Anche nelle recenti “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak”, l’EDPB ha ribadito che “in general, the decentralised solution is more in line with the minimisation principle[10].

Anche secondo il nostro Garante, “la centralizzazione in una banca dati delle informazioni personali (nella forma del predetto modello) trattate nell’ambito del descritto procedimento di riconoscimento biometrico risulta di regola sproporzionata e non necessaria[11]; sono invece da preferire “altri accorgimenti meno invasivi quale, ad esempio, la memorizzazione del codice identificativo su un supporto che resti nell’esclusiva disponibilità dell’interessato[12].

Quando occorre effettuare una valutazione d’impatto (DPIA)

Sembra opportuno procedere in tal senso, considerando:

  • l’elevato rischio di regola connesso all’utilizzo dei sistemi biometrici richiesto in via generale dall’art. 35.1 del GDPR quale “presupposto” per l’effettuazione della DPIA;
  • quanto illustrato dal WP29, nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati” (WP 248 rev. 01), con particolare riguardo ai criteri nn. 4, 7 e 8[13];
  • quanto indicato nel Provvedimento n. 467 dell’11 ottobre 2018 del Garante, e, in particolare, nei punti nn. 5 e 11 dell’allegato 1[14].

La tesi è avvalorata se si tiene conto di ciò che il Garante ha affermato nel provvedimento n. 167 del 19 settembre 2019 sopra citato (il parere sulla legge concretezza): “la disciplina in esame prevede l’impiego di una tecnologia di trattamento innovativa per il trattamento di dati particolarmente delicati, quelli biometrici, relativi peraltro ad interessati “vulnerabili”, quali sono i lavoratori dipendenti in ragione dello squilibrio esistente tra le parti del rapporto. Tenuto conto delle indicazioni fornite sul punto dal Gruppo di lavoro “Articolo 29” e dallo stesso Garante circa il “rischio elevato” che presentano tali trattamenti, si propone di inserire una specifica disposizione nel regolamento che preveda che la singola amministrazione, in qualità di datore di lavoro e titolare del trattamento, prima dell’attivazione del sistema prescelto effettui una valutazione di impatto ai sensi dell’articolo 35 del Regolamento.”.

Fra le valutazioni da effettuare con la DPIA, il titolare sarà tenuto in particolare, ai sensi dell’art. 35.7. c), a valutare la necessità e proporzionalità del trattamento[15].

Resta inteso che sarà compito del datore di lavoro indagare anche, alla luce delle caratteristiche dell’impianto che intende installare e delle finalità perseguite, la sussistenza dei presupposti per l’applicazione dell’art. 4 dello Statuto dei Lavoratori e/o di altre particolari disposizioni di legge applicabili al caso concreto[16].

NOTE

  1. Una posizione così netta pare non essere stata invece adottata in Portogallo e Spagna.Orientamento analogo a quello del Garante italiano si riscontra, tra gli altri, in Francia (Délibération n° 2019-001 du 10 janvier 2019 – Commission nationale de l’informatique et des libertés).
  2. Si vedano, ex multis, “Imprese: vietato l’uso della biometria per la rilevazione delle presenze e dei tempi di lavoro” del 15 ottobre 2009, i provvedimenti n. 552 del 22 ottobre 2015, n. 38 del 31 gennaio 2013 e Uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro – 21 luglio 2005”.
  3. Tale profilo è stato approfondito in Privacy e biometria in ambito lavorativo: le condizioni di liceità del trattamento.
  4. Si consideri che il Garante ha però ritenuto lecito il trattamento dei dati biometrici al fine del “controllo sulla presenza e sull´osservanza dell´orario di lavoro da parte degli interessati connesso ad un peculiare contesto lavorativo, in cui il sistema era stato adottato “per poter fornire notizie certe alle preposte autorità circa “la presenza effettiva del dipendente [in regime alternativo alla detenzione] sul posto di lavoro”, evitando possibili responsabilità penali per la società datrice in caso di comunicazione di notizie false o inesatte all’autorità giudiziaria, e, al contempo, preservare da atti intimidatori o ritorsivi il personale che non intendeva prestarsi a pratiche fraudolente, anche nell´utilizzo degli strumenti alternativi di accesso (“Sistema di rilevazione di dati biometrici dei lavoratori basato sulla lettura della geometria della mano” del 10 gennaio 2013).
  5. Da notare che – nel Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d. lgs. 101/2018 – il Garante ha espressamente ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico ai locali in cui sono custoditi dati genetici “nel rispetto dei principi in materia di protezione dei dati personali e dei requisiti specifici del trattamento di cui all’art. 9 del Regolamento” e previsto che la “consultazione dei dati genetici trattati con strumenti elettronici” sia consentita “previa adozione di sistemi di autenticazione basati sull’uso combinato di informazioni note ai soggetti all’uopo designati e di dispositivi, anche biometrici, in loro possesso”.
  6. Nonché sullo schema del D.P.C.M. concernente la disciplina di attuazione della suddetta disposizione (provvedimenti, rispettivamente, n. 464 dell’11 ottobre 2018 e n. 167 del 19 settembre 2019).
  7. Il canone di proporzionalità, infatti, consente il ricorso alle misure più invasive solo a fronte dell’inidoneità allo scopo di sistemi meno limitativi del diritto, dal momento che “deroghe e restrizioni” ai diritti fondamentali devono intervenire “entro i limiti dello stretto necessario”. Il test di proporzionalità si articola, dunque, nella duplice valutazione del carattere non sproporzionato degli oneri imposti rispetto ai legittimi fini perseguiti e, quindi, della scelta della misura meno restrittiva dei diritti coinvolti.
  8. A ciò si aggiunga che i sistemi di videosorveglianza non sono strumenti idonei, di per sé, ad assolvere alla specifica finalità di rilevazione e di computo dell’orario di lavoro.
  9. Così il Provvedimento generale prescrittivo in tema di biometria del Garante, punto 6.3 “Riconoscimento biometrico”.
  10. Un’apertura è invece presente nelle linee guida 3/2019 “on processing of personal data through video devices”, sempre dell’EDPB, che sembra legittimare anche il database centralizzato, laddove, però, effettivamente necessario per specifiche finalità e in presenza di oggettive necessità: “In an environment under control (delimited hallways or checkpoints), templates shall be stored on an individual device kept by the user and under his or her sole control (in a smartphone or the id card) or – when needed for specific purposes and in presence of objective needs-stored in a centralized database in an encrypted form with a key/secret solely in the hands of the person to prevent unauthorised access to the template or storage location”.
  11. Così le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” al punto 4.2” del 23 novembre 2006, richiamate anche dalla giurisprudenza civile (sentenza n. 964 del 19.09.2011, Tribunale di Prato, Giudice Raffaella Brogi).
  12. Così, nel Provvedimento del 23 gennaio 2008 “Rivelazioni biometriche per verificare la presenza a corsi di formazione”.
  13. Cioè “Dati sensibili o dati di natura estremamente personale”, “Dati relativi a interessati vulnerabilie “Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative”.
  14. Ossia, rispettivamente “Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).” e “Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.”.Con particolare riguardo al punto 11, il Garante ha fornito il seguente chiarimento interpretativo: “si evidenzia inoltre che il termine “dati biometrici” di cui al punto 11 dell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto va inteso come “dati biometrici, trattati per identificare univocamente una persona fisica”.
  15. La necessità di applicare con particolare rigore i principi di necessità e proporzionalità nel caso di utilizzo di un sistema biometrico è stata affrontata in Privacy e biometria in ambito lavorativo: le condizioni di liceità del trattamento.
  16. A tale proposito, l’Ispettorato Nazionale del Lavoro, con la circolare n. 5/2018, ha precisato che “il riconoscimento biometrico, installato sulle macchine con lo scopo di impedire l’utilizzo della macchina a soggetti non autorizzati, necessario per avviare il funzionamento della stessa, può essere considerato uno strumento indispensabile a “… rendere la prestazione lavorativa…” e pertanto si possa prescindere, ai sensi del comma 2 dell’art. 4 della L. n. 300/1970, sia dall’accordo con le rappresentanze sindacali sia dal procedimento amministrativo di carattere autorizzativo previsto dalla legge”.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5