Sempre più spesso le aziende introducono all’interno delle proprie procedure sistemi tecnologici, come ad esempio sistemi di sorveglianza digitale, applicazioni con geolocalizzazione e sistemi biometrici che consentono di snellire, velocizzare i processi e di verificare le performance dei propri dipendenti. Queste tecnologie però comportano un controllo eccessivo del lavoratore e spesso illegittimo. Prima di servirsi di questi sistemi occorrerebbe chiedersi se gli stessi abbiano un impatto sulla protezione dei dati personali dei dipendenti e come poterli implementare osservando la normativa. Il Garante, come nel provvedimento che verrà di esaminato, ci aiuta a comprendere i confini e i limiti di utilizzo di questi strumenti.
Indice
I dati biometrici e la timbratura biometrica
Come abbiamo visto nel nostro approfondimento Riconoscimento delle persone con la biometria: i falsi miti da conoscere, l’espressione “dati biometrici” fa riferimento a quei dati personali ottenuti da trattamenti tecnici specifici relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca come:
- le impronte digitali
- la fisionomia del volto
- la forma della mano o dell’orecchio
- colore e dimensione dell’iride.
Questo tipo di dati per la loro particolare natura viene fatto rientrare nella categoria particolari di dati personali il cui trattamento è di norma vietato, a meno che non si rientri in uno dei casi specifici elencati all’art.9.2 GDPR. Nell’ambito lavorativo la norma prevede che il trattamento di dati particolari può essere effettuato solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e considerando. 51–53 del Regolamento).
Molte sono le tecnologie oggi che prevedono l’uso di questi dati; pensiamo agli smartphone che si sbloccano grazie al riconoscimento del volto o della propria impronta digitale e che permettono ai proprietari di evitare l’uso di codici e password rintracciabili da altri. Il principale vantaggio che portano questi sistemi riguarda proprio l’univocità dei dati. ( Sul riconoscimento biometrico è utile consultare le Linee guida in materia di riconoscimento biometrico e firma grafometrica del 2014 )
Queste tecnologie, in particolare la rilevazione biometrica ha suscitato l’interesse delle aziende che sono alla ricerca di metodi rapidi per facilitare il riconoscimento dei dipendenti, consentendo l’accesso ai luoghi di lavoro e la registrazione della presenza, che aiuta peraltro a contrastare l’assenteismo e ad essere certi che la persona si trovi esattamente in azienda.
La situazione italiana
La timbratura biometrica è già consentita in molti paesi ma non in Italia.
Il Garante italiano infatti ha stabilito che il trattamento dei dati biometrici non è ammissibile per l’ordinaria gestione del rapporto lavorativo, in particolare per il controllo presenze dei dipendenti sul luogo di lavoro. L’uso della biometria nell’ambito lavorativo è poi meglio definito nelle Linee-guida per il trattamento di dati dei dipendenti privati – 23 novembre 2006.
L’autorità ritiene che, in mancanza di una normativa di base valida e completa, tale modalità risulta sproporzionata rispetto alla finalità dell’operazione, realizzabile attraverso altri sistemi meno rischiosi, e meno invasivi della sfera privata del lavoratore.
L’inadempimento delle regole è punito generalmente con pesanti sanzioni, come vedremo nel caso in esame che non resta peraltro isolato. E’ il caso dell’Azienda sanitaria provinciale (ASP) di Enna, che utilizzava le impronte digitali di 2000 dipendenti per la rilevazione presenze, senza rispettare pienamente le normative del Regolamento Europeo. La struttura sanitaria ha così ricevuto un’ammenda di 30.000 € e ha dovuto provvedere alla cancellazione dei dati biometrici memorizzati.
L’orientamento generale è quello di negare l’utilizzo di sistemi di rilevazione delle presenze a base biometrica. Prima dell’adozione del Regolamento il Garante in casi particolari, ne è di esempio il caso di Asia S.p.A il Garante della privacy ha autorizzato nel 2013 l’utilizzo di un sistema biometrico che riconosceva la densità dalla sagoma della mano, nello specifico si trattava di un società municipalizzata di Napoli che si occupava della gestione dei rifiuti della città: in considerazione dell’ambiente a rischio infiltrazioni camorristiche e del fatto che l’azienda, per statuto, impiega anche pregiudicati con carichi pendenti in corso di “rieducazione”, una situazione che richiede un’attenzione particolare alla certezza della presenza.
Veniamo al caso Sportitalia
Con un avviso del maggio del 2019 un’organizzazione sindacale ha segnalato che a partire dal mese di ottobre del 2018 presso i locali della Società dilettantistica Sportitalia era stato introdotto un sistema di timbratura per la rilevazione delle presenze con terminale biometrico per tutti i dipendenti e collaboratori al fine di registrare l’accesso e la presenza presso il “Club”. Il sistema in oggetto era stato introdotto nonostante il parere contrario dell’organizzazione sindacale.
L’Autorità Garante, in virtù della segnalazione, ha invitato la società a fornire riscontro ai fatti segnalati, ma al verificarsi del protratto silenzio della stessa ha in seguito delegato il nucleo speciale privacy e frodi tecnologiche ad effettuare la notifica relativa all’avvio del procedimento sanzionatorio e il contestuale controllo ispettivo.
Al termine dell’istruttoria è emerso che la Società ha effettuato attraverso il sistema di rilevazione delle impronte digitali un trattamento di dati biometrici dei lavoratori per diverso tempo violando numerose disposizioni del Regolamento.
…Le Violazioni
- In base alla disciplina in materia di protezione dei dati personali, come abbiamo visto, il trattamento di dati biometrici è consentito esclusivamente in presenza delle condizioni stabilite dall’art. 9, paragrafo 2, del Regolamento. Per quanto concerne i trattamenti di dati svolti in ambito lavorativo, è stabilito che il trattamento è consentito solo qualora sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri”.
Nel caso di specie l’utilizzo del dato biometrico, nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al fine di velocizzare le operazioni di timbratura, non appare conforme (oltre che eccessivo) ai principi di minimizzazione e proporzionalità del trattamento sanciti dall’art 5 del Regolamento.
- Ancora, il trattamento di dati personali effettuato dalla Società risulta non conforme a quanto previsto dall’art. 6 del Regolamento. La norma, nell’elencare quali siano le “condizioni di liceità” del trattamento, ammette la prestazione del consenso da parte del soggetto interessato. Il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare i termini proposti o rifiutarli senza subire un eventuale pregiudizio. Inoltre, il titolare che decide di basare un trattamento di dati sul consenso deve assicurarsi che esso sia: inequivocabile, liberamente fornito, specifico, informato, verificabile e revocabile.
Nel caso di specie i dipendenti della Società hanno sì prestato il loro consenso al trattamento dei dati personali, ma questo non risulta presentare le caratteristiche di cui sopra. Come spesso ribadito dal Garante all’interno dei suoi provvedimenti, il consenso del lavoratore non costituisce un valido presupposto di liceità per il trattamento di dati personali. Questo giustificato dall’evidente posizione di “squilibrio contrattuale” nella quale si trovano coinvolte le parti. Infatti, se il trattamento di dati personali, in ambito lavorativo, trovasse la propria condizione di liceità nella manifestazione del consenso da parte del lavoratore, sarebbe necessario verificare caso per caso se effettivamente il consenso sia stato liberamente prestato.
- In base a quanto previsto dall’art. 12 del Regolamento, il titolare del trattamento è tenuto a comunicare all’interessato tutte le informazioni previste all’art. 13 GDPR. All’esito dell’attività istruttoria, è emerso che gli unici elementi informativi forniti dalla Società in relazione al trattamento dei dati biometrici dei dipendenti sono quelli contenuti nella “Informativa sulla privacy per i dipendenti”. Che non risulta però idonea a rappresentare le caratteristiche del trattamento che si intende effettuare, poiché priva di informazioni essenziali: titolare e responsabile del trattamento, base giuridica, tempi di conservazione, diritti dell’interessato, diritto di proporre reclamo ad un’autorità di controllo. L’informativa fornita ai dipendenti risulta peraltro incompleta poiché, al suo interno, non viene fornita alcuna informazione riguardo alla possibilità, per i dipendenti:
- di revocare il consenso prestato;
- di poter scegliere un sistema alternativo per la rilevazione delle presenze.
Di conseguenza, l’Autorità ritiene il documento fornito dalla Società del tutto insufficiente a rappresentare compiutamente il trattamento effettuato.
- In ultimo, è emerso che il “registro dei trattamenti” predisposto dalla Società era carente di alcune informazioni: in primo luogo riportava solo la data di ultimo aggiornamento e non la data di prima istituzione e inoltre non indicava i dati biometrici tra i tipi di dati trattati dal titolare. Il registro dei trattamenti è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 GPDR) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. Costituisce uno dei principali elementi di accountability del titolare, è uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e nonché di poter corrispondere alle richieste di esibizione da parte dell’autorità di controllo.
La corretta gestione del registro non costituisce un adempimento formale ma parte integrante di un sistema di corretta gestione dei trattamenti dei dati personali effettuati e l’omissione delle informazioni da parte di Sportitalia risulta in violazione di quanto stabilito dall’art 30 par. 1 lett c) del Regolamento.
L’autorità, alla luce delle numerose violazioni della normativa, poste a tutela dei dati personali dei lavoratori, ha comminato alla società una sanzione di 20.000 euro.
Conclusioni: gli accorgimenti da seguire
Nel provvedimento esaminato, il Garante richiama l’attenzione sui principi fondamentali del Regolamento, ribadendo innanzitutto che per trattare dati appartenenti alla categoria di dati particolari è necessaria la presenza di determinate condizioni, così come stabilito dagli articoli esaminati e che il trattamento non dev’essere sproporzionato rispetto alle finalità, quindi, deve essere conforme ai principi di minimizzazione e proporzionalità così come previsto dal Regolamento.
Al verificarsi di queste condizioni occorre poi, prima di introdurre qualsiasi strumento coinvolgente un trattamento di dati particolari (es. dati biometrici) verificare con l’aiuto del proprio consulente privacy o DPO se presente, se si rientri nell’obbligo di redazione della valutazione d’impatto (art. 35 del GDPR). Le casistiche in cui risulta necessaria la redazione della DPIA, sono riportare le linee guida offerte dal Gruppo di lavoro articolo 29 per la protezione dei dati, WP248 rev. 01, recepite con provvedimento del Garante del 11 ottobre del 2018. La valutazione di impatto (DPIA) si pone come obbiettivo primario quello di individuare i rischi elevati per la libertà e i diritti degli interessati, una volta individuato il rischio o i rischi (se sono più di uno), la valutazione dovrà prevedere l’adozione delle misure più possibili idonee al fine di far fronte a tale rischio. Nel caso la procedura di individuazione delle misure idonee non fosse possibile, bisognerà consultare l’Autorità di Controllo, che potrà obbligare l’inserimento di nuove misure, implementare quelle già presenti o vietare il trattamento, se quest’ultimo sia impraticabile senza ledere i diritti e libertà degli interessati.
Grazie alla DPIA sarà anche più agevole attuare gli altri adempimenti fondamentali:
- fornire ai soggetti interessati Informative chiare e dettagliate in merito al trattamento che verrà svolto;
- individuare per ogni trattamento la corretta base giuridica e nel caso si trattasse del consenso, verificare che esso possa essere liberamente manifestato, non pregiudizievole e sempre revocabile;
- aggiornare con puntualità e accuratezza la documentazione privacy, in particolare il registro dei trattamenti che, come abbiamo visto, costituisce uno degli strumenti attestante la capacità del Titolare di adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.