Il Garante (ri)torna sul trattamento dei dati biometrici e personali dei dipendenti in ambito lavorativo

Massima

Il trattamento da parte del datore di lavoro di dati biometrici e personali riferiti ai propri dipendenti, per le rispettive finalità di rilevazione delle presenze e di analisi dell’attività lavorativa, deve essere ritenuto illecito allorquando posto in essere in violazione delle prescrizioni e dei princìpi sanciti nel GDPR, avuto particolare riguardo alla mancata individuazione di un’idonea base giuridica (artt. 6 e 9 GDPR), nonché al mancato assolvimento dell’obbligo di informativa nei confronti degli interessati (art. 13 GDPR).

Il caso

Con reclamo presentato ai sensi dell'art. 77 GDPR, Tizio, tramite il proprio legale, ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte della società Cappello Giovanni & Figli s.r.l. (“la Società”), consistente in un illecito trattamento di dati personali dei dipendenti realizzato per mezzo di un software denominato “Infinity DMS” (“software”) e di un hardware denominato “X.-Face 380” (“hardware”). A seguito dell'attività istruttoria delegata dal Garante al Nucleo Privacy della Guardia di finanza è emerso che:

1. mediante il software i dipendenti registrano, attraverso un codice a barre assegnato individualmente, le varie fasi dell'attività lavorativa (inizio, fine e pause, con indicazione della causale), inserendo anche dati relativi ai clienti. L'uso di tale software verrebbe “imposto” alla Società dalla casa madre: a quest'ultima, infatti, viene inviato mensilmente un report contenente dati aggregati sui tempi impiegati per le lavorazioni, anche al fine di monitorare l'efficienza economica dell'attività. Stante quanto dichiarato dalla Società, i dati sono conservati per un periodo di dieci anni dalla data di cessazione del rapporto di lavoro e sia ai dipendenti che ai clienti è stata fornita apposita informativa.
2. l'hardware o, meglio, il sistema biometrico consente il riconoscimento facciale dei dipendenti in ingresso e in uscita e funziona attraverso la preliminare registrazione di ciascun dipendente mediante foto del volto, al primo accesso, previo rilascio dell'informativa e richiesta del consenso. La Società ha dichiarato di aver svolto una valutazione d'impatto e ha specificato che i dati vengono cancellati alla cessazione del rapporto lavorativo.

Sulla base degli elementi acquisiti, l'Autorità ha notificato, ai sensi dell'art. 166, d. lgs. 196/2003 (“Codice Privacy”), l'avvio del procedimento per l'adozione dei provvedimenti di cui all'art. 58 GDPR. In particolare, con riferimento al trattamento dei dati biometrici, è stata notificata la violazione degli artt. 5, par. 1, lett. a), b) ed f), 6, par. 1, lett. a), 9, par. 2, lett. b) e 13 GDPR; con riferimento al trattamento realizzato mediante il software è stata contestata la violazione degli artt. 5, par. 1, lett. a), 6 e 13 GDPR.

La questione

La questione in esame è la seguente: l’uso di un sistema biometrico di riconoscimento facciale ai fini della rilevazione delle presenze sul luogo di lavoro e l’uso, da parte del datore di lavoro, di un sistema gestionale idoneo a tenere traccia dell’attività di lavoro svolta dai dipendenti e fornire dei report di analisi relative alle tempistiche impiegate è da ritenersi sempre illecito?

Le soluzioni giuridiche

Con riguardo al trattamento realizzato attraverso il sistema di riconoscimento facciale il Garante ha colto nuovamente l'occasione per ribadire, a poco tempo di distanza dagli ultimi provvedimenti in materia (cinque, per l'esattezza), che ad oggi lo stesso non è consentito per la finalità di rilevazione della presenza in servizio, in quanto manca la disposizione normativa richiesta quale presupposto di liceità ai sensi del combinato disposto degli artt. 9, par. 2 e 88, par. 1 GDPR e, ulteriormente, non sono ancora state adottate le misure di garanzia il cui rispetto costituisce, ai sensi dell'art. 2-septies Codice privacy, condizione di liceità del trattamento di dati biometrici. Né, ricorda l'Autorità, il trattamento può essere considerato lecito se fondato sul consenso dei dipendenti, posto che, come ribadito in più occasioni (cfr. doc. web n. 9285411; n. 9542071), il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, GDPR; v. anche WP29, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, e WP259, Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 del 4 maggio 2020). Il Garante ha evidenziato inoltre l'obbligo per il datore, in qualità di titolare del trattamento, dell'osservanza dei principi generali in materia di trattamento dei dati personali, ai sensi dei quali è necessario, tra gli altri, che il titolare valuti l'installazione di un sistema alternativo per la verifica dell'orario di lavoro; delimiti i tempi di conservazione dei dati (in conformità a quanto previsto nel provvedimento generale prescrittivo in tema di biometria ); verifichi in concreto la conformità del sistema al GDPR (non bastando in tal senso una dichiarazione di conformità da parte del fornitore).

La Società è stata altresì sanzionata in relazione al trattamento derivante dall'uso del software per la registrazione dell'attività dei lavoratori (rispetto al quale la medesima non aveva fornito alcun elemento utile al Garante al fine di avere piena contezza del tipo di trattamento effettuato) sia per assenza di un'idonea base giuridica a fondamento del trattamento che per l'inidonea ed inadeguata informativa fornita ai dipendenti.

L'Autorità ha perciò irrogato una sanzione di 120.000 euro, invitando altresì la Società a conformare il trattamento derivante dall'uso del software alla disciplina in materia di protezione dei dati personali.

Osservazioni

I trattamenti di dati personali realizzati dal datore di lavoro mediante l'installazione di strumenti di controllo rappresentano da tempo un argomento sensibile nell'ambito della normativa in materia di lavoro e protezione dei dati personali.

Con particolare riguardo ai dati biometrici, il loro trattamento nel contesto lavorativo è stato più volte attenzionato dall'Autorità, specie in ragione dell'obbligo di consultazione preventiva in passato imposto ai datori che avessero voluto installare un sistema di riconoscimento basato su tali dati. Con l'entrata in vigore del GDPR, l'obbligo di consultazione è venuto meno, gravando però sul datore altri oneri, tra cui, in primis, l'individuazione di un'idonea base giuridica da porre a fondamento del trattamento: tale base giuridica non è, tuttavia, attualmente contemplata dall'ordinamento, almeno con riferimento al trattamento realizzato per fini di rilevazione della presenza in servizio, sia nel settore pubblico che in quello privato.

Anche in relazione all'uso di altri sistemi, specie quelli idonei a realizzare un controllo indiretto dell'attività lavorativa, è necessario che il datore individui previamente la base giuridica a fondamento dei trattamenti di dati che ne derivino. È inoltre necessario che il datore rispetti i presupposti di liceità stabiliti dall'art. 4, l. n. 300/70 (“Statuto dei lavoratori”), cui fa rinvio l'art. 114 del codice privacy, nonché le diposizioni che vietano al datore di acquisire e trattare informazioni e fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8, l. n. 300/70 e art. 10 d.lgs. n. 276/03, cui fa rinvio l'art. 113 del codice privacy). Gli artt. 113 e 114 del codice privacy sono infatti considerati disposizioni più specifiche e di maggiore garanzia di cui all'art. 88 GDPR, la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina l'applicazione di sanzioni ai sensi dell'art. 83 GDPR.

Inoltre, come ribadito dall'Autorità, è sempre necessario che il datore di lavoro operi in conformità al principio di trasparenza e correttezza di cui all'art. 5 GDPR, fornendo ai lavoratori un'informativa idonea a rappresentare compiutamente ogni trattamento realizzato. Il difetto di trasparenza renderebbe peraltro inutilizzabili i dati raccolti o detenuti per qualunque finalità connessa al rapporto di lavoro. di recente, inoltre, a seguito dell'introduzione dell'art. 1-bis al d.lgs. 152/97, sono stati imposto ai datori di lavoro a fornire indicazioni rilevanti per diverse finalità connesse al rapporto di lavoro obblighi informativi ancora più dettagliati in caso di utilizzo di sistemi decisionali o di monitoraggio integralmente automatizzati deputati, nonché, in particolare, indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori.

Ai datori di lavoro è perciò imposta un'attenta valutazione circa gli adempimenti normativi derivanti dal combinato disposto delle norme in materia di protezione dei dati personali e di quelle giuslavoristiche, al fine di un'attuazione coordinata ed efficace delle stesse.