Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Riconoscimento facciale e controllo aziendale delle presenze

Il Garante per la Privacy con diverse pronunce ha messo un punto fermo: non si può usare il riconoscimento facciale per controllare quando i dipendenti entrano ed escono dal lavoro. Questa pratica, secondo l’Autorità, viola la privacy dei lavoratori.

Perché non si può usare il riconoscimento facciale per controllare le presenze in azienda

Perché non si può usare il riconoscimento facciale per controllare le presenze aziendali?

I volti sono considerati dati molto personali, come una sorta di “impronta digitale”. Per poterli utilizzare in questo modo, ci dovrebbe essere una legge specifica che lo permetta. Ma questa legge, al momento, non esiste.

Il Garante ricorda che tali dati, essendo riconducibili alle categorie di dati particolari di cui all’art. 9 del Regolamento europeo, non possono trovare come base giuridica che legittima il loro trattamento l’art. 9, co. 2 lett.b) del GDPR.

Tale comma, infatti, prescrive che il trattamento di dati biometrici in materia di diritto del lavoro, della sicurezza sociale e protezione sociale, è legittimo se e solo se […] è autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Lo stesso, pertanto, deve essere concepito quale presupposto per l’attuazione di questa normativa di dettaglio e non deve essere inteso come una norma di per sé autorizzatoria.

In altre parole, il trattamento di dati biometrici può trovare attuazione (e dunque idonea base giuridica nell’art. 9, co. 2 lett. b) del Regolamento) solo se esiste una specifica disciplina comunitaria o nazionale, ovvero una disposizione di un CCNL che preveda espressamente un’autorizzazione al trattamento di dati biometrici per una finalità esplicita.

A sostegno di tale conclusione deve anche ricordarsi che il trattamento di dati biometrici – aventi la finalità di rilevazione delle presenze – risulti comunque in contrasto anche con i principi di minimizzazione e proporzionalità del trattamento di cui al GDPR. E’ un po’ la stessa cosa che accade con l’uso delle impronte digitali o per controllare le presenze dei lavoratori.

Il Garante ha spiegato infatti che ci sono altri modi, meno invasivi, per controllare le presenze, come i badge, le firme digitali e/o le verifiche dirette. Questi metodi sono sicuramente sufficienti e non mettono a rischio la privacy dei lavoratori.