Quotidianamente IusPrivacy aiuta i clienti a trattare in modo corretto e lecito i dati personali degli interessati che entrano in contatto con le loro realtà aziendali.
Questo ci dà la possibilità di confrontarci, giorno dopo giorno, con questioni attinenti ai vari argomenti del mondo della privacy.
Oggi vogliamo parlarvi del trattamento dei dati biometrici.
Il caso
Energard S.r.l. – Società di Ingegneria, nostra Azienda cliente, aveva installato un sistema di lettura delle impronte digitali posto all’ingresso della sede aziendale, al fine di rilevare le presenze giornaliere dei lavoratori. Detta azienda si rivolge a noi chiedendo se il trattamento svolto fosse lecito o se fosse necessario rimuovere l’intero sistema di lettura.
Oggetto di tutela e i presupposti normativi applicati
Partiamo col definire cosa si intende per dato biometrico. L’articolo 4 par. 1 p.4, del GDPR definisce i dati biometrici come “I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Il Regolamento Europeo classifica questa tipologia di dati come “particolari”, vietandone l’utilizzo tranne in particolari ipotesi normativamente previste dall’art. 9, par.2, del GDPR. Questa impostazione normativa trova conferma anche nell’articolo 2 septies del D.lgs 101/2018 “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, secondo il quale “i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure”.
L’articolo 9 del GDPR, quindi, introduce un generale divieto di trattamento di questa particolare categoria di dati.
Da notare che il GDPR non include il legittimo interesse quale base giuridica idonea al trattamento dei dati particolari, pertanto sarà il Titolare del trattamento, in seguito ad un’attenta analisi del trattamento in esame, ad individuare la condizione di liceità più idonea ai sensi dell’art. 6 GDPR.
L’utilizzo del dato biometrico per il controllo degli accessi dei lavoratori
Granitico l’orientamento del Garante che vieta l’utilizzo del dato biometrico del lavoratore nel contesto lavorativo.
Come abbiamo già precedentemente detto, il trattamento di dati biometrici è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento. In ambito lavorativo, il trattamento dei dati biometrici è consentito solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), GDPR); occorre quindi che vi sia un’espressa previsione normativa per il lecito utilizzo degli stessi.
Per di più, anche se il Regolamento prevede all’art. 6 che il consenso rende lecito il trattamento del dato, nel rapporto di lavoro, data la situazione di squilibrio di potere tra titolare del trattamento/datore di lavoro e interessato/lavoratore, questa non è un’idonea base giuridica.
È infatti ormai pacifico che il consenso prestato dal lavoratore non possa ritenersi valido in quanto sarebbe quasi sempre condizionato dall’asimmetria di potere sussistente tra datore di lavoro, che chiede il consenso, e il dipendente che nei fatti difficilmente si trova in condizione di poterlo negare.
In rarissime ipotesi l’Autorità ha ritenuto lecito il trattamento del dato biometrico in ambito lavorativo.
Esempio ne è il provvedimento del 15 giugno del 2006 [doc. web n. 1306523], in cui si riconosce come non sproporzionato l’uso del dato biometrico allo scopo di regolare l’accesso ad aree particolari dell’azienda a condizione che il dato biometrico sia riferito al solo personale addetto (quindi circoscritto ad un numero limitato di interessati) e risulti l’unico mezzo per verificare con accuratezza l’identità del lavoratore.
Il datore di lavoro, in qualità di titolare del trattamento, è tenuto al rispetto della normativa privacy, in particolare dei principi dettati dall’art.5 GDPR (tra i quali troviamo il principio di minimizzazione e di proporzionalità), dall’art.30 con riguardo alla tenuta dei registri (strumento fondamentale per assicurare l’accountability del titolare, in linea con quanto richiesto dall’art. 24 del GDPR), dall’art.13 in materia di informativa e alla redazione di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR.
Come IusPrivacy ha supportato l’azienda
Cifra distintiva di IusPrivacy è la presenza di uno staff esperto in materia e un approccio sistematico alla questione da affrontare.
Nel caso oggi in esame, lo staff ha svolto un DPIA utilizzando il metodo CNIL.
In seguito all’esito del predetto documento, sono state fornite alla nostra Azienda cliente le conclusioni con dettagliate argomentazioni che hanno messo in luce le possibili criticità insite nel trattamento del dato biometrico e, reso ogni possibile chiarimento, sono state illustrate tutte le possibili soluzioni alternative da poter attuare.
Avv. Erika Marchesano
________________________
Fonti: Provvedimenti Garante
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1306523
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/2304669
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9832838
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9940565
