Privacy dipendenti: no al controllo delle presenze con il riconoscimento facciale

Sanzionate le società che utilizzano il riconoscimento facciale per verificare le presenze dei lavoratori e delle lavoratrici.

Il Garante per la Privacy è intervenuto a tutela dei dipendenti e dei loro dati personali.

Si tratta di sistemi troppo invasivi per il controllo della presenza dei dipendenti.

Privacy dipendenti: no al controllo delle presenze con il riconoscimento facciale

Con i provvedimenti del 22 febbraio, pubblicati il 28 marzo scorso, il Garante della Privacy torna ad occuparsi della questione legata all’utilizzo dei dati biometrici da parte delle aziende.

Nello specifico, l’Autorità garante per la protezione dei dati personali ha sanzionato 5 diverse società per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori e lavoratrici, raccolti attraverso sistemi di riconoscimento facciale.

Le aziende in questione, infatti, utilizzavano tali sistemi per tracciare le presenze dei dipendenti sul posto di lavoro.

Si tratta di una pratica, sottolinea il Garante, che viola la privacy di lavoratori e lavoratrici.

Per svolgere l’attività di controllo delle presenze non esiste, al momento, alcuna norma che consenta l’utilizzo di dati biometrici come prevede il Regolamento generale sulla protezione dei dati personali (Regolamento (UE) 2016/679).

L’Autorità Garante, intervenuta a seguito dei reclami di diversi dipendenti, ha evidenziato i particolari rischi per i diritti dei lavoratori legati all’impiego di sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo.

Come sottolineato dal Garante, per il controllo delle presenze di dipendenti e collaboratori sul luogo di lavoro, sarebbe più opportuno utilizzare sistemi meno invasivi, come ad esempio controlli automatici tramite badge o verifiche dirette.

Ulteriori violazioni possono riguardare poi la mancata adozione di specifiche misure di sicurezza, necessarie per la rilevazione biometrica. Le aziende, infatti, devono fornire ai lavoratori e alle lavoratrici informative chiare e dettagliate ed effettuare la valutazione d’impatto prevista dalla normativa sulla privacy.

Oltre al pagamento delle sanzioni il Garante ha ordinato anche la cancellazione dei dati raccolti illecitamente.

Il trattamento dei dati biometrici

Il trattamento di dati biometrici, di norma vietato ai sensi del Regolamento (art. 9, paragrafo 1), è permesso esclusivamente qualora ricorra una delle condizioni indicate al successivo paragrafo 2.

In relazione ai trattamenti effettuati in ambito lavorativo, è consentito solo quando il trattamento è:

“necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato [...] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.”

Il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati.

Pertanto, sebbene nel contesto lavorativo le attività di rilevazione delle presenze dei dipendenti e di verifica del rispetto dell’orario di lavoro possono rientrare tra le condizioni individuate al citato paragrafo 2, il trattamento dei dati biometrici è consentito solo nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri e in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Inoltre, sottolinea il Garante, allo stato l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.

L’utilizzo di tali dati nel contesto dell’ordinaria gestione del rapporto di lavoro (come appunto l’attività di rilevazione delle presenze), non è conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).