Riconoscimento facciale dei dipendenti: arriva il no del Garante Privacy
In un recente provvedimento, il Garante privacy ha sanzionato cinque società per l’utilizzo illegittimo di sistemi di riconoscimento facciale per il controllo delle presenze dei dipendenti. Tale decisione rappresenta un punto di svolta importante nella gestione dei dati biometrici all’interno delle aziende e pone serie riflessioni sulle pratiche di monitoraggio dei lavoratori.
Le società coinvolte, operanti in un sito di smaltimento rifiuti, sono state multate per un totale di oltre 100.000 euro per aver trattato dati biometrici dei dipendenti senza un’adeguata base giuridica, in violazione del Regolamento Generale sulla Protezione dei Dati (Reg. UE 679/2016). Il Garante ha identificato la raccolta di dati biometrici mediante riconoscimento facciale come una pratica eccessivamente invasiva, attuata senza le necessarie garanzie normative e di sicurezza.
Nella propria analisi l’Autorità osserva primariamente che il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento … in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”
Viene riconosciuto che le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento; tuttavia, il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […]
Allo stato, l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. In particolare, ricorda che il decreto-legge 10/5/2023, n. 51, con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all’impiego di tali sistemi”.
L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è dunque conforme ai principi di minimizzazione e proporzionalità del trattamento.
II Garante precisa che per gli stessi fini sul luogo di lavoro avrebbero potuto essere adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).
In secondo luogo, il Garante ricorda che il datore di lavoro è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati.
La società ha operato invece senza rispettare il principio di trasparenza, che prevede l’obbligo di indicare ai propri dipendenti quali siano le caratteristiche essenziali dei trattamenti di dati effettuati nonché degli strumenti attraverso i quali sono effettuati.
Ancora, è stato violato l’obbligo di indicare il responsabile del trattamento dei dati personali, che era affidato alla società fornitrice dei dispositivi.
Il significato di privacy si riferisce al diritto di ogni individuo di controllare la divulgazione delle proprie informazioni personali. Le notizie di legge sulla privacy sottolineano come le normative siano costantemente aggiornate per rispondere alle sfide poste dalle nuove tecnologie e dai cambiamenti nel panorama digitale, garantendo che i diritti individuali siano sempre protetti in un mondo sempre più connesso.
Infine, la circostanza che il produttore e il fornitore dei dispositivi di riconoscimento facciale avessero prodotto una “dichiarazione e certificazione di conformità non può far venir meno la responsabilità della Società, considerato che il titolare del trattamento, alla luce di quanto stabilito dall’art. 5, par. 2, del Regolamento, in base al c.d. principio di responsabilizzazione, “è competente per il rispetto [dei principi generali del trattamento] e in grado di comprovarlo”.