29 Mar Il trattamento dei dati biometrici ai fini del rilevamento delle presenze dei lavoratori: l’assenza di una idonea base giuridica

L’ordinanza ingiunzione n. 16 del 14 gennaio 2021 (“Provvedimento”), emanata dal Garante per la protezione dei dati personali (“Garante”) nei confronti dell’Azienda sanitaria provinciale di Enna (“Azienda”), offre uno scorcio interessante sull’orientamento della citata Autorità in ordine al trattamento dei dati biometrici ai fini del rilevamento delle presenze dei dipendenti sul luogo di lavoro e, più in generale, nell’ambito giuslavoristico.

Il trattamento dei dati biometrici oggetto del Provvedimento

In particolare, il Provvedimento ha interessato l’utilizzo da parte dell’Azienda di un sistema di rilevamento delle presenze (“Sistema”) in grado di acquisire i dati biometrici dei dipendenti – nello specifico, l’impronta digitale – così accertandone in modo univoco l’identità. Tale Sistema – in base alle dichiarazioni rese dall’Azienda – avrebbe garantito “una maggiore affidabilità tecnica nella verifica dell’identità di ogni dipendente”, anche tenuto conto che “l’esistenza di presidi decentrati […] e la tipologia dell’attività prestata (diversi operatori prestano la propria attività su due e/o tre turni nelle 24 ore, talvolta anche in presidi ospedalieri e territoriali) comporta[no] una notevole complessità nella gestione del personale dipendente”; inoltre, il Sistema – sempre secondo l’Azienda – avrebbe “scoraggia[to] fenomeni di assenteismo”, così assicurando la tutela del buon andamento della pubblica amministrazione.

Sotto il profilo tecnico, dall’analisi del Provvedimento si apprende come il Sistema adottato dall’Azienda utilizzasse un software in grado di trasformare l’impronta digitale del dipendente in una stringa biometrica e memorizzarla in forma crittografata all’interno del badge del dipendente stesso. Concretamente, la verifica dell’identità del dipendente avveniva mediante il confronto tra la stringa biometrica, memorizzata all’interno del badge, e l’impronta digitale apposta sul terminale nelle fasi di accesso al luogo di lavoro; in occasione della timbratura, il terminale trasmetteva così il numero di matricola del dipendente, la data e l’ora della timbratura al sistema di gestione delle presenze aziendale.

Dopo avere negato un trattamento di dati biometrici, per la tempestiva eliminazione della stringa biometrica associata all’impronta digitale del lavoratore – l’Azienda ha provato a sostenere che l’attività posta in essere fosse in linea con le prescrizioni di cui alla L. 56/2019; inoltre, ha indicato come basi di legittimità del trattamento il consenso del lavoratore [1] e lo svolgimento di un compito di pubblico interesse, anche alla luce del legittimo interesse dell’Azienda stessa [2].

L’esito dell’attività istruttoria e la posizione del Garante

Smentita la tesi preliminare dell’Azienda, secondo la quale non vi era neppure un trattamento di dati personali [3], il Garante ha così analizzato l’uso del Sistema, fino ad accertare l’assenza dei presupposti di legittimità del trattamento dei dati biometrici, come si dirà di seguito.

Infatti, rilevando come il Regolamento UE 679/2016 (“GDPR”) e il D.lgs. 196/2003 (“Codice Privacy”), novellato dal D.lgs. 101/2018, avessero rafforzato le tutele relative al trattamento di dati biometrici, includendoli nelle cc.dd. categorie particolari di dati di cui all’art. 9 del GDPR [4] e in tal modo assoggettandoli al relativo rigoroso regime di trattamento, il Garante  ha evidenziato che, astrattamente, il trattamento, benché di regola vietato dall’art. 9(1) del GDPR, potrebbe considerarsi ammesso nei soli casi previsti dagli artt. 9(2)(b), che ha riguardo in generale all’ambito giuslavoristico, e 9(2)(g) del GDPR, che attiene invece ai trattamenti necessari per motivi di interesse pubblico rilevante.

Quanto all’art. 9(2)(b), il trattamento potrebbe ritenersi consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. Analogamente, anche invocando l’art. 9(2)(g), il trattamento dovrebbe rinvenire il suo fondamento in una previsione normativa comunitaria o nazionale; peraltro, in tale ultimo caso, l’art. 2-sexies del Codice Privacy, attuativo dello stesso art. 9(2)(g) del GDPR, nel prescrivere i requisiti della previsione normativa in questione, precisa che essa dovrebbe “specificare, oltre al motivo di interesse pubblico rilevante, […] i tipi di dati, le operazioni eseguibili, le misure appropriate per tutelare i diritti degli interessati”.

Come si è detto, tanto nel caso di cui all’art. 9(2)(b) quanto nel caso previsto dall’art. 9(2)(g) del GDPR, il trattamento dovrebbe essere espressamente previsto da una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire. A tal riguardo, con il Provvedimento il Garante ha tuttavia avuto modo di chiarire come, allo stato attuale, tale disposizione non sussista e come, conseguentemente, gli artt. 9(2)(b) e 9(2)(g) GDPR non siano concretamente applicabili per giustificare il trattamento dei dati biometrici dei dipendenti ai fini della rilevazione delle presenze e, più in generale, in ambito giuslavoristico.

Con esclusivo riferimento all’ambito pubblicistico, preme osservare che l’art. 2 della Legge 19 giugno 2019, n. 56, invocato dall’Azienda, non risulta idoneo a fondare la liceità del trattamento, atteso che l’iter normativo, indispensabile a integrare il sistema delle basi giuridiche del trattamento richiesto dal GDPR e dal Codice Privacy con riguardo ai dati biometrici, non è stato concluso – non essendo stato adottato il regolamento attuativo che avrebbe dovuto contenere specifiche garanzie per circoscrivere e specificare la portata della norma nonché regolare le principali caratteristiche e modalità del trattamento; peraltro, ad oggi la norma risulta essere stata abrogata dalla L. 178/2020.

Analizzando poi le basi legali richiamate dall’Azienda, il Garante ha contestato le osservazioni addotte dall’Azienda per giustificare l’uso del consenso del lavoratore.

In tal senso, ha precisato come il consenso del dipendente non costituisca, di regola, un valido presupposto di liceità per il trattamento dei dati personali, atteso che lo stesso si presenta in ambito giuslavoristico come un soggetto cd. “vulnerabile”; conclusione in linea con le più indicazioni dell’European Data Protection Board, secondo le quali “… È improbabile che il dipendente sia in grado di rispondere liberamente, senza percepire pressioni … Di conseguenza il Comitato ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente (articolo 6, paragrafo 1, lettera a)) in considerazione della natura del rapporto tra datore di lavoro e dipendente” [5].

Inoltre, il Garante ha escluso la possibilità di poter fondare il trattamento sul legittimo interesse dell’Azienda, in quanto tale base non risulta espressamente indicata nell’art. 9(2) del GDPR.

Conclusioni

Con il Provvedimento, il Garante ha accertato che, alla luce dell’attuale assetto normativo nazionale, l’Azienda ha effettuato un illecito trattamento dei dati biometrici dei dipendenti, avendo agito in assenza di un’idonea base giuridica e, dunque, in violazione degli artt. 5(1)(a), 6 e 9 del GDPR.

Stante tutto quanto esposto e il recente Provvedimento di cui sopra, laddove un datore di lavoro volesse impiegare la biometria per verificare la presenza dei lavoratori sul luogo di lavoro rischierebbe di esser sanzionato dal Garante per l’attività posta in essere in assenza di ulteriori definizioni normative in merito.

—

Note:

[1] In primis, infatti, dal momento che “il trattamento [era] effettuato direttamente e personalmente dall’interessato […] compiendo due operazioni materiali che sono sotto il suo personale ed esclusivo controllo”, tali semplici azioni avrebbero potuto considerarsi quale gesto “univoco espressivo di una precisa volontà del dipendente di dare avvio e […] di acconsentire al trattamento dei dati”, come da ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna – 14 gennaio 2021: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9542071, punto 2.

[2] In particolare, l’Azienda ha sostenuto che “sono palesi la ricorrenza del parametro prescritto dalla lett. e) dell’art. 6 del Regolamento e la conseguente liceità del trattamento di dati biomedici in questione [anche alla luce] della lettera f) dell’art. 6 del Regolamento”. Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna – 14 gennaio 2021: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9542071, punto 2.

[3] Nel caso in esame, è stato affermato che l’Azienda – ancorché non conservasse su una banca dati centralizzata i dati biometrici degli interessati, ma solo su dispositivi portatili dotati di adeguate capacità crittografiche (badge con funzionalità di smart card), affidati alla diretta ed esclusiva disponibilità di ciascun interessato – effettui comunque un trattamento di dati biometrici. Come confermato dall’Azienda stessa, infatti, tali dati “si trovano (sebbene per pochissimi istanti) all’interno” di sistemi impiegati dal datore di lavoro per la rilevazione delle presenze e per le connesse finalità di gestione del rapporto contrattuale con i propri dipendenti; ciò, sia nella fase di registrazione (c.d. enrollment) con l’acquisizione delle caratteristiche biometriche (impronte digitali) dell’interessato (v. anche punti 6.1 e 6.2 dell’allegato A al provvedimento del Garante del 12 novembre 2014, n. 513), sia nella fase di riconoscimento biometrico, all’atto delle rilevazioni delle presenze (v. anche punto 6.3 dell’allegato A al citato provvedimento). – Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna – 14 gennaio 2021: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9542071, punto 3.1.

[4] L’art. 4, n. 14) del GDPR definisce “«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

[5] Si veda l’orientamento consolidato in sede europea, EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, p. 9 (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_it.pdf); Gruppo di lavoro “Articolo 29”, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 (https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169); Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020; le previsioni normative di cui al Cons. n. 43; art. 4, punto 11), e art. 7( 3) e art. 7(4) del GDPR.