Con un provvedimento dello scorso 10 novembre 2022, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha comminato ad una società italiana una sanzione di 20.000 euro per aver rilevato le presenze dei propri dipendenti tramite la lettura delle impronte digitali. Il Garante ha ribadito che “il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie”.
Il caso nasceva a seguito di una segnalazione effettuata al Garante da una organizzazione sindacale che lamentava l’introduzione da parte della società, datrice di lavoro, di un sistema di timbratura che si serviva di un terminale biometrico finalizzato a rilevare gli accessi e le presenze di dipendenti e collaboratori all’interno delle strutture della stessa. L’introduzione di tale sistema, lamentava inoltre il sindacato, era stata disposta nonostante alla società fosse stato richiesto di adottare “mezzi meno invasivi” che non prevedessero un trattamento di dati biometrici dei soggetti interessati.
La società si difendeva dichiarando che il sistema adottato aveva lo scopo di facilitare agli interessati la registrazione degli orari di entrata e di uscita e rappresentava uno strumento “più snello e veloce” rispetto a quello precedentemente utilizzato che rilevava le presenze tramite un cartellino identificativo personale (c.d. badge).
Compiuta l’attività istruttoria, il Garante ha rilevato, tra le altre, l’illiceità del trattamento di dati personali biometrici effettuato dalla società per (i) aver posto in essere un trattamento in assenza di una idonea base giuridica: il Garante, infatti, ribadisce che il trattamento di dati biometrici in ambito lavorativo è consentito esclusivamente nell’ipotesi in cui sia previsto da una norma, sia essa nazionale o europea; (ii) non aver fornito agli interessati un’adeguata informativa violando, in tal modo, i principi fondamentali in materia quali quelli di liceità, correttezza e trasparenza; (iii) non aver aggiornato il Registro delle attività di trattamento che, nella versione esibita al Garante, non riportava alcun trattamento di dati biometrici dei dipendenti, violando in tal modo anche il principio di accountability; (iv) aver trattato una categoria di dati particolari per una sola finalità di semplificazione delle attività di gestione del rapporto di lavoro.
Per tutte queste ragioni, pertanto, il Garante ha adottato il provvedimento sanzionatorio nei confronti della società ordinando alla stessa non solo di pagare la summenzionata sanzione pecuniaria amministrativa per le indicate violazioni ma disponendo, altresì, la pubblicazione del provvedimento sul proprio sito istituzionale.
In conclusione, sebbene nel contesto lavorativo rilevare le presenze dei dipendenti anche al fine di verificarne il rispetto dell’orario di lavoro rappresenti una attività necessaria per assolvere gli obblighi ed esercitare diritti specifici del datore di lavoro, affinché un trattamento di dati biometrici dei lavoratori sia lecito dovrà trovare il proprio fondamento in una disposizione normativa e tale trattamento non potrà fondarsi sulla raccolta del consenso degli interessati “ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà della manifestazione di volontà del dipendente”.
Altri insights correlati:
