Il Garante Privacy ha ordinato ad una Società il pagamento di € 120.000,00 a titolo di sanzione amministrativa per aver violato i dati personali dei dipendenti attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro.
Dal provvedimento del 6 giugno 2024, pubblicato sul sito del Garante il 26 giugno 2024, si evince che un lavoratore aveva presentato un reclamo lamentando il trattamento illecito di dati personali da parte del datore di lavoro. In particolare, il reclamante aveva lamentato l’utilizzo di un software gestionale utilizzato presso due unità produttive diretto a registrare le prestazioni lavorative e i tempi di intervento dei dipendenti, nonché di un hardware installato per regolare l’accesso sul luogo di lavoro attraverso un sistema di riconoscimento facciale.
Dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza, sono emerse numerose violazioni del GDPR.
Il Garante ha rilevato che, in base alla disciplina in materia di protezione dei dati personali, posto che i dati biometrici rientrano nel novero delle cd. categorie particolari di dati, il relativo trattamento è di regola vietato ai sensi dell’art. 9, par. 1, del Regolamento, mentre è consentito esclusivamente al ricorrere di una delle condizioni indicate al paragrafo 2 del medesimo articolo.
In particolare, con riguardo ai trattamenti effettuati in ambito lavorativo, ha ricordato che il trattamento è consentito solo quando è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1) e cons. 51-53 del Regolamento).
Pertanto, affinché un trattamento avente ad oggetto dati biometrici possa essere lecitamente realizzato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.
Sotto questo profilo, l’art. 2-septies del Codice stabilisce che il trattamento dei dati biometrici può essere effettuato conformemente alle misure di garanzia disposte dal Garante in relazione a ciascuna categoria di dati, oltre che nel rispetto delle condizioni previste dal citato art. 9, par. 2, del Regolamento.
Ad oggi – ha concluso il Garante - l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.
Già lo scorso febbraio il Garante, con 5 provvedimenti, distinti ma aventi un contenuto sovrapponibile, aveva evidenziato che il riconoscimento facciale viola la privacy dei lavoratori (ne avevamo parlato in Riconoscimento facciale dei lavoratori: no del Garante Privacy).
A conferma dell’importanza, e dell’attualità della tematica, si segnala che anche l’Artificial Intelligence Act, approvato lo scorso 21 maggio 2024 dal Consiglio dell’Unione Europea (cfr. Intelligenza Artificiale: anche il Consiglio ha approvato il testo dell'AI Act) si è occupato del trattamento dei dati biometrici.
Il nuovo Regolamento vieta, ad esempio, i sistemi di categorizzazione biometrica delle persone fisiche sulla base di dati biometrici per dedurne o desumerne la razza, le opinioni politiche, l’appartenenza sindacale, le convinzioni religiose o filosofiche, la vita sessuale o l’orientamento sessuale, così come i sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e negli istituti scolastici, eccetto per motivi medici o di sicurezza (ad esempio il monitoraggio dei livelli di stanchezza di un pilota). È del pari vietato, salve alcune eccezioni, l’uso di sistemi per l’identificazione biometrica remota “in tempo reale” di persone fisiche in spazi accessibili al pubblichi (cioè, il riconoscimento facciale mediante telecamere a circuito chiuso) ai fini di attività di contrasto. Le forze dell’ordine potranno utilizzare l’identificazione in tempo reale, ma con il rispetto di garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa.