Il riconoscimento facciale non è consentito sul posto di lavoro: è questa la posizione del Garante per la Protezione dei Dati Personali (GPDP) che ha provveduto a sanzionare cinque società che avevano utilizzato tale tecnologia per la rilevazione delle presenze dei propri dipendenti.
L’uso di dati biometrici per il monitoraggio dell’orario di lavoro di impiegati ed operai è un’innovazione di grande portata che può rendere più agevole la gestione del personale in azienda consentendo una registrazione automatica delle presenze in modo da ridurre possibili errori e soprattutto frodi, ma al tempo stesso solleva non poche preoccupazioni sulla privacy dei dipendenti.
Il Garante, con i provvedimenti del 22/02/2024, ha fissato un punto fermo in una materia particolarmente delicata.
Riconoscimento facciale: il suo impiego nelle aziende
Il riconoscimento biometrico, ovvero l’identificazione di una persona sulla base di una o più caratteristiche fisiologiche, come la propria impronta digitale, la forma del volto, il colore e la dimensione dell’iride, o sulla base di caratteristiche comportamentali, quali il timbro della voce o i movimenti del corpo, sono ampiamente diffusi e, se da una parte presentano indubbi vantaggi, in quanto si tratta di una tecnica accurata ed affidabile che vanta notevoli livelli di sicurezza rendendo difficile il furto di dati personali, dall’altra comporta molte implicazioni a livello di privacy.
All’interno delle aziende il rilevamento della biometria facciale può essere impiegato per il controllo degli accessi e la gestione delle presenze nei posti di lavoro. L’uso del riconoscimento facciale consente l’ingresso in aree riservate al solo personale autorizzato o permette di verificare in modo attendibile gli orari di entrata e di uscita dei propri dipendenti contrastando sostituzioni di personale non autorizzate o fenomeni di assenteismo basati su scambi di cartellini o di badge.
La vicenda in esame
Ad essere coinvolte nella vicenda sono state cinque società operanti in uno stesso sito di smaltimento rifiuti che hanno adottato il riconoscimento facciale come sistema di rilevazione delle presenze.
In seguito a reclami di vari dipendenti, il Garante della privacy ha svolto la sua attività ispettiva in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ed ha provveduto a multare le società incriminate per oltre 100.000 euro in quanto esse hanno trattato dati biometrici dei dipendenti in violazione del Regolamento Generale sulla Protezione dei Dati (GDPR).
Inoltre, è stata ordinata la cancellazione dei dati raccolti in maniera illecita.
Secondo il Garante le aziende avrebbero dovuto impiegare sistemi meno invasivi per il controllo delle presenze del personale dipendente.
L’uso dei dati biometrici nel GDPR
Il dato biometrico rientra tra le categorie particolari di dati personali ai quali si applicano le disposizioni contenute nell’art.9 del GDPR. La norma stabilisce il divieto di trattare dati biometrici intesi a identificare in modo univoco una persona fisica, ma consente di superare tale restrizione in alcuni casi come nell’ipotesi in cui l’interessato abbia prestato il proprio consenso esplicito al trattamento per una o più finalità specifiche.
Sempre lo stesso articolo prevede che il divieto dell’uso dei dati biometrici non si applica neppure nei casi nei quali “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
La posizione del Garante della privacy
Poste queste premesse il Garante della privacy ha rilevato che, allo stato attuale, non esistono norme nazionali o europee che autorizzino l’uso del riconoscimento facciale per il rilevamento delle presenze, né sussistono adeguate garanzie per l’interessato. Nel caso esaminato, il Garante ha rilevato il mancato rispetto di quei principi di minimizzazione e proporzionalità del trattamento previsti dall’art.5 del GDPR il quale, alla lettera c) del primo paragrafo, stabilisce che i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” dato che la rilevazione delle presenze dei dipendenti può avvenire con modalità meno invasive per la privacy di questi ultimi mediante, ad esempio, l’uso di badge.
Inoltre, in base al principio di stabilizzazione sancito dal secondo paragrafo dell’art.5, che afferma che “il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo” la responsabilità di quest’ultimo sussiste anche nel caso in cui il produttore e il fornitore dei dispositivi di riconoscimento facciale forniscano una dichiarazione e certificazione di conformità al GDPR dell’apparato biometrico.
Per ciò che concerne la possibilità di un eventuale consento esplicito al riconoscimento facciale da parte dei lavoratori, il Garante della privacy ha sostenuto che esso non può costituire un’idonea base giuridica per il trattamento dei dati biometrici in ambito lavorativo a causa della disparità di poteri tra il datore di lavoro e il lavoratore il cui consenso, in linea generale, non può essere considerato libero e, di conseguenza, valido. Tali considerazioni si devono ritenere applicabili anche nell’ipotesi in cui sia messo a disposizione dei lavoratori un sistema di rilevazione non biometrico in alternativa a quello biometrico.
