Non è certo una posizione che sorprende quella del Garante rispetto all’uso del riconoscimento facciale ai fini del rilevamento delle presenze sui luoghi di lavoro. Il Garante, infatti, conferma il proprio “no” sull’uso del dato biometrico per la registrazione delle presenze dei dipendenti. Il caso esaminato è comunque interessante perché permette di ribadire alcuni concetti che sembrano assodati, ma nella realtà dei fatti non lo sono. (si veda L’impronta digitale non è un badge! La posizione del Garante.)
Indice
Il caso esaminato dal Garante
I soggetti coinvolti e sanzioni sono molti, infatti, sono ben 5 i provvedimenti ( 9995680, 9995701, 9995741, 9995762, 9995785), che, collegati tra loro, disegnano tutti gli illeciti commessi.
Alcuni dipendenti hanno presentato un reclamo verso il Datore di Lavoro che dal mese di febbraio 2022, per l’accesso al cantiere e l’accertamento della presenza degli stessi sul luogo di lavoro utilizzava un rilevatore biometrico, basato sul riconoscimento facciale.
Si tratta del dispositivo “Face Deep 3 – Smart Face Recognition System”, prodotto da Anviz Global.
Tra le difese del datore di lavoro un paio di elementi sono interessanti. Per prima cosa la giustificazione della scelta del Datore di Lavoro, ovvero il pesante aggravamento del fenomeno dell’assenteismo con timbrature fraudolente che attestavano la presenza in servizio di dipendenti che, in realtà, non prestavano regolarmente la loro prestazione.
Inoltre, il Datore di Lavoro ha scelto un sistema di rilevazione delle presenze mediante riconoscimento facciale rivolgendosi ad una società che commercializza un sistema implementato da un’azienda leader sul mercato (Anviz Global), il cui applicativo (Face Deep 3 – Smart Face Recognition System) veniva presentato come uno strumento pienamente coerente con i vincoli derivanti dal rispetto della normativa a tutela della protezione dei dati personali dei lavoratori.
Il Garante ha ritenuto queste difese poco rilevanti e ha dichiarato “il riconoscimento facciale per controllare la presenze sul posto di lavoro viola la privacy dei dipendenti”. Vediamo perché.
Quando possono essere trattati i dati biometrici?
La normativa sulla protezione dei dati personali prevede che il trattamento di dati biometrici è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento. Con riguardo ai trattamenti effettuati in ambito lavorativo, l’utilizzo è possibile quando il trattamento è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1 e cons. 51-53 del Regolamento).
In sintesi, nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, ma l’uso del dato biometrico a tal fine è consentito solo in presenza di un’autorizzazione del diritto dell’Unione o degli Stati membri e in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).
Pertanto, a fine di poter contabilizzare le effettive ore di lavoro prestate e di accertare la presenza dei lavoratori sul luogo di lavoro esistono misure utili allo scopo meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).
La dichiarazione del produttore sulla certificazione di conformità dell’apparato biometrico al GDPR non fa venir meno la responsabilità del Datore, titolare del trattamento, alla luce del principio di “Accountability” a cui compete il rispetto dei principi del trattamento nelle scelte che opera. L’uso di tali strumenti, infatti, è contrario a monte del regolamento per la violazione dei principi di minimizzazione e proporzionalità.
Ovviamente neppure l’eventuale acquisizione di un consenso avrebbe fatto venir meno il comportamento illecito del Titolare.
Quali sono i principi violati nel caso sanzionati?
Ribadito che la scelta del datore di lavoro di utilizzare lo strumento biometrico per la rilevazione delle presenze è contrario al GDPR “a prescindere” da tutto, vediamo quali sono stati gli ulteriori principi palesemente violati, che hanno portato all’applicazione delle sanzioni.
-
Principio di trasparenza
Il datore di lavoro, in applicazione del principio di trasparenza, ha l’obbligo di indicare ai propri dipendenti e collaboratori, quali sono le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati. Il tutto conformemente a quanto specificamente indicato dall’art. 13 del Regolamento e analogamente a qualsiasi trattamento dati.
Si precisa, poi che il Garante ha sottolineato come il trattamento di dati riguardava sia la fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato, sia la fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (vedi anche Trasparenza e informativa. L’approccio deve cambiare.)
-
Assenza dell’accordo ai sensi dell’articolo 28 del GDPR
Nel caso di specie, il Datore di Lavoro, pur avvalendosi dei servizi di un fornitore per la gestione dell’applicativo di controllo utilizzato che gli consentiva l’accesso ai dati dei dipendenti relativi alla rilevazione delle presenze non ha provveduto alla corretta designazione del fornitore quale responsabile del trattamento, come previsto dall’art. 28 del Regolamento.
Un altro fornitore non correttamente designato Responsabile è la società che forniva servizi di “consulenza, assistenza e adempimenti in materia di diritto del lavoro”, il consulente del lavoro. Quest’ultimo è indubbio che tratti dati in nome e per conto del Datore di lavoro per l’elaborazione di prospetti di liquidazione di malattia, maternità, ferie e l’elaborazione di tabulati per le trattenute sindacali.
Anche in relazione a tale attività, la Società non ha provveduto a designare la società fornitrice di servizi quale responsabile del trattamento, come invece previsto dall’art. 28 del Regolamento.
L’assenza di tale formalizzazione costituisce, quindi, una violazione dell’articolo 28.
-
Incompletezza del Registro del trattamento e delle misure di sicurezza.
Interessante è anche il rilievo fatto in merito all’assenza nel Registro del trattamento del Titolare: il registro delle operazioni di trattamento non indica i dati biometrici tra i tipi di dati trattati dal titolare. Assenza che viola quanto stabilito dall’art. 30 del Regolamento.
Oltre all’incompletezza del Registro, alcune specifiche misure di sicurezza sono state oggetto di censura da parte del Garante.
Innanzitutto le credenziali di autenticazione con profilo Admin erano le stesse riportate nel manuale di utilizzo (userID, cosiddetto default ID, “0”, password “12345”) e non erano mai state modificate nel corso del tempo. Ciò ha reso facilmente possibile accedere alle informazioni memorizzate nel terminale, in quanto le credenziali erano disponibili a chiunque, anche in Internet. Questa condotta configura una specifica violazione dell’articolo 32 del Regolamento, in base al quale il titolare del trattamento è tenuto ad approntare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
-
Assenza della valutazione di Impatto
In base all’art. 35 del Regolamento, in relazione a trattamenti che prevedono “l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, tali da presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Per mero scrupolo si ricorda che secondo il Provvedimento del Garante sull’obbligatorietà della DPIA il Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti difficilmente potranno essere escluse dall’obbligo di DPIA (Criterio n.5, Prov. Garante 467/2018)” e WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).