EntiOnLine
Categorie
indietro
14/03/2024 Utilizzo dei sistemi di rilevazione delle impronte digitali come sistema di rilevazione delle presenze dei dipendenti
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Alcuni enti hanno richiesto al DPO la possibilità di utilizzare i sistemi di accertamento delle presenze dei dipendenti con la rilevazione delle impronte digitale in sostituzione dei lettori di badge.

Sull’utilizzo di tali sistemi di rilevazione delle impronte digitali per la presenza dei dipendenti è intervenuto il Garante della Privacy che anche recentemente ha ribadito i limiti di trattamento dei dati biometrici e l’assenza, nel nostro ordinamento, di un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Regolamento e dal Codice.

L’ipotesi del trattamento di dati biometrici.

Il Regolamento UE 2026/679 definisce dati biometrici (art. 4, n. 14) i “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”.

In tal senso le impronte digitali dei dipendenti sono dati biometrici. L’Autorità, con propri provvedimenti, ha chiarito che tale tipologia di trattamenti si configura sia nella fase di registrazione (c.d. enrollment, consistente nella acquisizione delle caratteristiche biometriche – nella specie impronte digitali - dell’interessato (v. punti 6.1 e 6.2 dell’allegato A al provvedimento del Garante del 12 novembre 2014, n. 513, in www.garanteprivacy.it, doc. web n. 3556992), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (v. anche punto 6.3 dell’allegato A al citato provvedimento).

La disciplina del Regolamento UE e il divieto di trattamento per i dipendenti.

Il trattamento delle impronte digitali dei dipendenti, nelle modalità sopra descritte, viene fatto rientrare nella categoria di dati personali particolari il cui trattamento è di norma vietato, a meno che non si rientri in uno dei casi specifici elencati all’art.9.2 GDPR.

Nell’ambito lavorativo la norma prevede che il trattamento di dati particolari può essere effettuato solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e considerando. 51–53 del Regolamento).

Orbene il Garante con provvedimento 14 settembre 2023 n. 9940565 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9940565) ha evidenziato che sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento) (v. da ultimo provvedimento dell’Autorità n. 369 del 10/11/2022, doc web n. 9832838).

Pertanto, affinché un trattamento avente a oggetto dati biometrici possa essere lecitamente realizzato è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

Allo stato, ha ribadito il Garante nel provvedimento sopra richiamato, non sussiste un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Regolamento e dal Codice per legittimare i titolari del trattamento a porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle presenze dei dipendenti ai sensi dell’art. 9, par. 2, lett. b) del Regolamento.

Alla luce di quanto sopra, si rileva che il trattamento di dati biometrici nella forma della registrazione e rilevazione delle presenze verrebbe posto in essere dall’Ente Titolare in assenza di un’idonea base giuridica, in violazione dell’art. 9, par. 2, lett. b) del Regolamento.

Categorie
Parole chiave
Banca dati