Lavoro

Privacy e lavoro, il Garante interviene sulla tutela dei dati biometrici

Irrorata una sanzione amministrativa per l'introduzione, ritenuta illegittima, di un sistema biometrico per la rilevazione degli accessi dei dipendenti . Per i dati personali particolari è prevista una tutela maggiore, essendone di base vietato il trattamento ai sensi dell'art. 9, par. 1 del GDPR

di Gerolamo Pellicanò, Anna Iorio*


Con ordinanza di ingiunzione del 14 gennaio 2021 , il Garante per la protezione dei dati personali ha irrorato una sanzione amministrativa pecuniaria del valore di euro 30.000,00 a un'Azienda Sanitaria Provinciale, rea di aver introdotto un sistema biometrico per la rilevazione degli accessi dei dipendenti in assenza di una base normativa che rendesse legittimo il trattamento di tali dati personali particolari.

Con l'avvento del Regolamento (UE) n. 679/2016, noto come "GDPR", il legislatore ha inteso rafforzare la tutela dei dati biometrici, stante la loro "stretta e stabile relazione con l'individuo e la sua identità", come ripetutamente affermato dal Garante nella sopracitata ordinanza. Ne è prova il loro confluire, quando intesi a identificare in modo univoco una persona fisica, nella categoria dei dati personali cosiddetti "particolari" e disciplinati dall'art. 9 del GDPR.

Per i dati personali particolari è prevista infatti una tutela maggiore, essendone di base vietato il trattamento ai sensi dell'art. 9, par. 1 del GDPR. D'altra parte, lo stesso legislatore mitiga tale previsione con l'introduzione di eccezioni elencate al successivo paragrafo 2.

Il trattamento dei dati biometrici si può dunque ritenere legittimo se, in considerazione dei principi di necessità pertinenza e minimizzazione, rientra in uno dei casi eccezionali previsti dal citato paragrafo 2 e se rispetta ulteriori condizioni, comprese limitazioni, che gli Stati membri possono mantenere o introdurre (art. 9, par. 4 del GDPR).

In Italia sono state introdotte tali ulteriori condizioni con la novella apportata dal d.lgs. 101/2018 al d.lgs. 196/2003 recante il "Codice in materia di protezione dei dati personali": l'articolo 2-septies, comma 1, stabilisce che "in attuazione di quanto previsto dall'articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante [...]".

Tali misure di sicurezza sono stabilite dal Garante con provvedimento il cui schema è sottoposto a consultazione pubblica per un periodo non inferiore a sessanta giorni. Il provvedimento deve essere adottato con cadenza almeno biennale.

Ad oggi non è stato adottato un provvedimento relativo a tali misure di garanzia. (L'unico riferimento applicativo è dato dal "Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014" del Garante)

La mancata introduzione delle citate misure non è però la sola lacuna normativa in tale contesto.

Nel caso dell'Azienda Sanitaria Provinciale ingiunta, il trattamento di dati biometrici è stato considerato illegittimo principalmente in virtù della mancanza di un'idonea base giuridica.

Il trattamento di dati biometrici dei lavoratori non può basarsi sul consenso (art. 9, par. 2, lett. a) del GDPR). E' infatti pacifico che non è valido il consenso reso dal lavoratore per il trattamento dei propri dati personali ai fini dell'esecuzione del rapporto di lavoro.

Ciò perché si considera il lavoratore parte debole contraente, posto in una posizione di svantaggio nei confronti del datore, impossibilitato quindi a prestare il proprio consenso in via del tutto libera e incondizionata al datore per il trattamento dei propri dati personali, anche particolari.

Si renderebbe infatti applicabile il secondo caso consentito dall'articolo 9: "il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri [...] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato" (art. 9, par. 2, lett. b).

Dall'analisi della norma, come confermato dal Garante, si evince che non è sufficiente che il trattamento persegua finalità relative al diritto del lavoro e della sicurezza sociale e protezione sociale, poiché deve essere altresì autorizzato dal diritto dell'UE o degli Stati membri.

Tuttavia né a livello comunitario né nazionale italiano vi è una legge che disciplini la materia in questione.

Nel settore pubblico, come per il caso dell'Azienda ingiunta, la base normativa avrebbe dovuto essere la legge 56/2019 recante "Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo", il cui articolo 2 prevedeva l'introduzione di modalità attuative circa l'introduzione di sistemi di identificazione biometrica. Tale articolo è stato però abrogato dalla Legge di Bilancio 2021.
Nel settore privato la fattispecie non risulta ancora normata.

Invero non è d'aiuto l'assenza della verifica preliminare - una sorta di richiesta di autorizzazione al trattamento fatta dal titolare al Garante -, venuta meno all'entrata in vigore del GDPR e sostituita dal Data Protection Impact Assessment (DPIA), che il titolare stesso deve effettuare in un'ottica di responsabilizzazione di coloro che compiono attività di trattamento di dati personali.

La situazione di incertezza normativa è particolarmente avvertita quando le dimensioni delle aree lavorative risultano essere notevoli, come, per fare solo un esempio, nei grandi cantieri. In essi l'esigenza della massima sicurezza dei luoghi di lavoro assume un preminente rilievo e l'afflusso dei lavoratori con mansioni pericolose e variegate è numericamente considerevole.

Proprio per questo devono essere adottate le massime cautele per assicurare che vi accedano i soli lavoratori in possesso di un regolare contratto di lavoro, della qualificazione appropriata (anche a seguito di una adeguata formazione), della necessaria idoneità fisica. In questi casi per il datore di lavoro è assolutamente prioritario, in forza delle responsabilità anche penali che gravano sul medesimo e nel rispetto del principio di massima cautela, implementare un sistema di controllo degli accessi che consenta l'accertamento della effettiva identità del lavoratore e quindi l'ingresso dei soli lavoratori qualificati, nell'assoluto rispetto della pertinente normativa .

Indubbiamente l'utilizzo di sistemi biometrici per il controllo degli accessi si configura come lo strumento maggiormente tutelante rispetto all'impiego del badge, che, al contrario, è meno affidabile e presenta rischi maggiori. Ad esempio, può essere utilizzato da persona diversa dal reale possessore, se oggetto di scambio o smarrimento in prossimità del cantiere (nell'ultimo caso, prima che siano apportate le azioni atte a scongiurare ogni pericolo).

Un'ulteriore considerazione si rende necessaria con riferimento alla situazione emergenziale da COVID-19, la quale ha comportato l'introduzione di una serie di misure prescrittive a cui il datore deve attenersi per garantire la sicurezza sui luoghi di lavoro, prevenire i contagi e consentire alle autorità competenti il monitoraggio dei medesimi. Ciò è inevitabilmente sfociato nell'implementazione di maggiori controlli sugli accessi ai luoghi di lavoro. Anche in tal senso, l'introduzione di sistemi biometrici costituirebbe un tassello forse perfino imprescindibile.

Questo è un altro caso in cui i ritardi normativi, che derivano dalla incapacità del legislatore/regolatore di tenere il passo dei progressi tecnologici, rappresentano un fattore insopportabilmente penalizzante che va contro gli interessi dei datori di lavoro e dei lavoratori.

Si deve dunque auspicare un prossimo intervento degli organi competenti che consenta di chiudere il presente quadro normativo, alla stregua di quanto compiuto dall'Autorità Garante francese (CNIL) con il Regolamento denominato " Biometria sul posto di lavoro " , a maggior ragione in considerazione di una situazione mondiale che, da un lato, ha notevolmente accelerato il progresso tecnologico e l'utilizzo generalizzato dei pertinenti strumenti e, dall'altro, ha richiesto un approccio differente al controllo degli accessi ai luoghi di lavoro, sempre nel rispetto dei diritti posti a tutela del lavoratore.

____
* Gerolamo Pellicanò, Anna Iorio, Studio CBA

Per saperne di piùRiproduzione riservata ©