Impronte digitali per rilevare presenza del personale? Illegittimi, si rischiano sanzioni salate. Sentenza
Un provvedimento del Garante della Privacy n. 16 del 14 gennaio 2021 interviene sulla questione della rilevazione delle presenze nella P.A, e nello specifico sulla legittimità o meno dei dati biometrici. Ad oggi il quadro normativo non consente il ricorso a tale strumentazioni anche con il consenso del personale interessato e si rischiano sanzioni pesanti in caso di violazione della normativa in materia di privacy.
Il fatto
In riferimento ad articoli di stampa che riportavano la notizia che l’Azienda sanitaria provinciale di una data città aveva adottato, nelle proprie sedi, un sistema che consente il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze, tramite impronte digitali, al fine di garantire “una maggiore affidabilità tecnica nella verifica dell’identità di ogni dipendente” e “scoraggia[re] fenomeni di assenteismo […]”, l’Ufficio ha avviato un’istruttoria nei confronti dell’Azienda. Concludendo il provvedimento con una sanzione di 30mila euro .
Alcuni riferimenti normativi
La disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1 del Regolamento), dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” ovvero, quando “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (artt. 6, parr. 1, lett. e), 2 e 3, nonché 9, par. 2, lett. g,) del Regolamento e 2-ter e 2-sexies del Codice).
I dati biometrici
Come noto, osserva il Garante, la definizione di dati biometrici li individua come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”(art. 4, punto 14), del Regolamento) e sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità. In tale quadro, il trattamento di dati biometrici (di regola vietato) è consentito al ricorrere di una delle condizioni indicate dell’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento)”.
L’assenza di base giuridica per il trattamento di dati biometrici per finalità di rilevazione delle presenze
“Fin dal 2007 il Garante ha evidenziato che i principi di protezione dei dati impongono che siano preventivamente considerati altri sistemi, dispositivi e misure di sicurezza – meno invasive– che possano assicurare l’attendibile verifica delle presenze, senza fare ricorso al trattamento dei dati biometrici (v. già, Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro, rispettivamente, alle dipendenze di datori di lavoro privati e in ambito pubblico provv. 23 novembre 2006, n. 53, doc. web n. 1364099 e provv. 14 giugno 2007, n. 23, doc. web n. 1417809). Tali principi trovano conferma anche a livello internazionale e nelle posizioni assunte dalle altre autorità di controllo (v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, par. 18; v. anche Gruppo di lavoro “Articolo 29”, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, par. 5; CNIL, deliberazione 10.1.2019 https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type e le FAQ pubblicate in data 28 marzo 2019 “Question-réponses sur le règlement type biométrie nonché le precedenti linee guida “Travail & données personnells”).
Precedenti illegittimi anche nella scuola
In tale quadro, con riguardo ad alcuni casi di uso generalizzato dei sistemi biometrici nel contesto lavorativo, a fronte di generiche esigenze di prevenzione circa l’eventuale utilizzo distorto degli strumenti di rilevazione delle presenze d’uso comune (quali i badge), il Garante ha valutato non proporzionato il relativo trattamento (cfr., Provv.ti 30 maggio 2013 nn. 261 e 262 e 1° agosto 2013, n. 384, doc. web nn. 2502951, 2503101 e 2578547 nei confronti di alcuni istituti scolastici; ma anche 31 gennaio 2013, n. 38, doc. web n. 2304669 nei confronti di un Comune; v. anche il provv. n. 249 del 24 maggio 2017, doc. web n. 6531525, avente ad oggetto la carta multiservizi del Ministero della difesa), ammettendolo, invece, in limitate ipotesi e in presenza di obiettive e documentate esigenze che rendessero indispensabile l’adozione di tali sistemi, tenuto conto della specificità del caso concreto, del contesto socio-economico di riferimento e delle caratteristiche della tecnologia impiegata (cfr., ad esempio, provv. 15 settembre 2016 n. 357, doc. web n. 5505689, espressamente menzionato dall’Azienda nelle memorie difensive).
Ad oggi la normativa non consente il ricorso ai dati biometrici
“Come noto, l’iter normativo, indispensabile a integrare il sistema delle basi giuridiche del trattamento richiesto dal Regolamento e dal Codice con riguardo ai dati biometrici, non è stato, concluso -non essendo stato adottato il regolamento attuativo, che avrebbe dovuto contenere specifiche garanzie per circoscrivere e specificare la portata della norma nonché regolare le principali caratteristiche e modalità del trattamento- e, da ultimo, l’art. 1, comma 958 della legge 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021) ha abrogato i commi da 1 a 4 dell’articolo 2 della legge 19 giugno 2019. Allo stato non sussiste pertanto un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Regolamento e dal Codice per legittimare le amministrazioni pubbliche a porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle presenze dei dipendenti ai sensi dell’art. 9, par. 2, lett. b) del Regolamento”.
Non può bastare neanche il consenso dei dipendenti
“Né il difetto di base giuridica, in merito al trattamento dei dati biometrici, può essere superato dal consenso dei dipendenti posto che, come peraltro ribadito di recente dal Garante (da ultimo, provv. n. 35 del 13 febbraio 2020, doc. web n. 9285411) non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v., l’orientamento consolidato in sede europea, Gruppo di lavoro “Articolo 29″, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020)”.
