Dati biometrici dei dipendenti per rilevare le presenze: il garante conferma l’illiceità
Lo scorso 22 febbraio il Garante, intervenuto a seguito dei reclami ricevuti da diversi dipendenti, ha sanzionato cinque società – coinvolte nello smaltimento di rifiuti presso lo stesso sito – per aver utilizzato un sistema di riconoscimento facciale per la rilevazione delle presenze dei dipendenti sul posto di lavoro, violando così la loro privacy.
Il Garante ha colto l’occasione per precisare – e ribadire – che non esiste alcuna norma che consenta l’utilizzo di dati biometrici dei dipendenti (come impronte digitali, fisionomia del volto, linee della mano ecc.) per rilevare la loro presenza sul luogo di lavoro.
L’utilizzo di tali dati nell’ordinaria gestione del rapporto di lavoro (come la rilevazione delle presenze) non è conforme ai principi di minimizzazione e proporzionalità del trattamento.
Per porre in essere tale attività possono essere, infatti, utilizzati strumenti meno invasivi di quelli biometrici (come il badge o le verifiche dirette), che trattano i soli dati personali dei dipendenti.
Il Garante specifica, inoltre, che anche qualora il datore di lavoro metta a disposizione dei dipendenti un sistema di rilevamento non biometrico in alternativa a quello di tipo biometrico, i trattamenti di dati effettuati non sarebbero comunque leciti, non essendo, in ogni caso, necessari.
Ma non solo: il fatto che il fornitore del dispositivo di rilevamento biometrico produca una dichiarazione di conformità del sistema al GDPR non fa certamente venir meno la responsabilità della società che ne richiede l’installazione di effettuare le verifiche del caso, alla luce del principio di accountability.
Durante l’attività ispettiva del Garante sono, inoltre, emerse ulteriori violazioni. Le società non avevano infatti fornito un’idonea informativa ai sensi dell’art. 13 GDPR ai propri dipendenti, non avevano stipulato il contratto ai sensi dell’art. 28 GDPR con i soggetti esterni che gestivano alcuni servizi per loro conto, avevano omesso di aggiornare il registro delle attività di trattamento, non avevano eseguito una valutazione d’impatto e non avevano adottato misure di sicurezza tecniche e organizzative adeguate.
Oltre ad ingiungere il pagamento di ingenti sanzioni amministrative pecuniarie, il Garante ha ordinato alle società di cancellare i dati biometrici raccolti e di comunicare le iniziative intraprese a tal fine.