Il Garante privacy, con provvedimento n. 338 del 6 giugno 2024 ha sanzionato una società per aver trattato illecitamente i dati personali dei dipendenti, attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro, nonché tramite di un software gestionale con cui ciascun dipendente era tenuto a registrare i tempi e le modalità di esecuzione dei lavori, nonché i tempi di inattività, con specifiche causali.
Il sistema biometrico di rilevamento presenze: il riconoscimento facciale
L’utilizzo del sistema biometrico sarebbe stato finalizzato, per la società, alla rilevazione delle presenze in servizio dei dipendenti, e determinato dall’esigenza di migliorare la qualità e l’efficienza del servizio.
Il Garante ricorda che, già nel provvedimento n. 513 del 12/11/2014, aveva già chiarito che il trattamento dei dati biometrici si realizza sia nella fase di registrazione (cd. enrolment), consistente nell’acquisizione delle caratteristiche biometriche dell’interessato (come, nel caso di specie, le caratteristiche del volto), sia nella fase di riconoscimento biometrico (facciale), da effettuarsi all’atto della rilevazione delle presenze.
I dati biometrici rientrano nel novero delle cd. categorie particolari di dati ed il relativo trattamento è di regola vietato ai sensi dell’art. 9, par. 1, GDPR, essendo consentito esclusivamente al ricorrere di una delle condizioni indicate al paragrafo 2: con riguardo ai trattamenti effettuati in ambito lavorativo, tale trattamento è consentito solo quando è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; inoltre, è consentito altresì solo se sia autorizzato dal diritto UE o degli Stati membri, o da un CCNL, e in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. b), GDPR).
Pertanto, affinché tale trattamento possa essere lecitamente realizzato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire: l’art. 2-septies del Codice stabilisce che il trattamento dei dati biometrici può essere effettuato conformemente alle misure di garanzia disposte dal Garante in relazione a ciascuna categoria di dati, oltre che nel rispetto delle condizioni previste dal citato art. 9, par. 2, del Regolamento.
Ad oggi, tuttavia, l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti (come il riconoscimento facciale nel caso di specie) per finalità di rilevazione della presenza in servizio, e ciò è stato ribadito dal Garante con numerosi provvedimenti, con i quali l’Autorità ha dichiarato l’illiceità dei trattamenti effettuati (v. provvedimenti n. 105, 106, 107 e 109 del 2024).
Il datore di lavoro, inoltre, in qualità di titolare del trattamento, è tenuto in ogni caso a osservare i principi generali in materia di trattamento dei dati personali, tra cui i principi di liceità, correttezza e trasparenza, il principio di minimizzazione e il principio di limitazione delle finalità (art. 5, par. 1, lett. a), b), c) del Regolamento).
Pertanto, il Garante ha rilevato che, nel caso di specie, l’utilizzo del dato biometrico (ovvero il riconoscimento facciale) per la rilevazione delle presenze dei dipendenti in servizio, senza tra l’altro che fosse stato previsto un sistema alternativo per la verifica dell’orario di lavoro, risulta contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5, par. 1, lett. c) del Regolamento.
Inoltre, in riferimento alla conservazione del dato raccolto, è risultato che il dato biometrico riferito al dipendente venisse cancellato dalla Società solo a seguito della cessazione del rapporto lavorativo, in contrasto con quanto stabilito dal Garante nel citato provvedimento del 12/11/2014, in base al quale tali campioni biometrici possono essere trattati solo durante le fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non devono essere memorizzati, se non per il tempo strettamente necessario alla generazione del modello stesso.
Pertanto, tale trattamento non è conforme neppure al principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), GDPR che, al contrario, impone che i dati siano conservati per un tempo non superiore al conseguimento delle finalità per le quali sono raccolti.
Peraltro, sottolinea il Garante, nell’ambito del rapporto di lavoro il consenso manifestato dai dipendenti all’utilizzo di sistemi di riconoscimento facciale non può essere considerato idoneo presupposto di liceità, ciò alla luce dell’asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso.
Infine, pure l’informativa predisposta dalla Società era risultata carente e inidonea a rappresentare, in maniera completa, le caratteristiche principali del trattamento, essendo mancante di qualsiasi riferimento alle caratteristiche principali del trattamento, ma anche alle cautele adottate, alla natura obbligatoria o facoltativa del conferimento del dato, rispetto alla finalità perseguita, e alla possibilità di utilizzare, in alternativa al sistema biometrico, il sistema tradizionale basato sul badge.
Conclusivamente, il Garante ha accertato che la Società ha effettuato un trattamento di dati biometrici in violazione degli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b) e 13 GDPR.
L’uso del software gestionale
L’Autorità ha inoltre accertato che la società da più di sei anni, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare alla casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate.
In particolare, era risultato dagli accertamenti svolti che i dipendenti fossero tenuti a registrare nel gestionale le varie fasi dell’attività lavorativa, comprese le pause, con l’indicazione della specifica causale (es. riposo, attesa ricambi, ecc.).
Il Garante ha rilevato che la Società non ha consentito all’Autorità di avere piena contezza del trattamento effettuato, di conoscere la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, e di valutarne l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire.
Tra l’altro, tali informazioni non erano state portate neppure a conoscenza dei dipendenti, ai quali era stata fornita un’informativa incompleta, e inidonea a rappresentare compiutamente il trattamento effettuato.
Il Garante ricorda che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è espressione del dovere di correttezza (art. 5, par. 1, lett. a) GDPR).
Parimenti, non era rinvenibile nei documenti prodotti in atti, tra cui l’informativa, una idonea base giuridica tra quelle elencate all’art. 6 del GDPR.
In conclusione, anche in quest’ambito è emerso che il trattamento è stato posto in essere dalla Società in violazione dei principi di liceità, correttezza e trasparenza, di cui agli artt. 5, par. 1, lett. a), 6 e 13 GDPR.