E’ chiaro che la presenza sul posto di lavoro da parte dei dipendenti, è condizione essenziale al fine della tempestiva e proficua esecuzione delle mansioni per cui, a suo tempo, è stato firmato il contratto di assunzione.
Ragioni di produttività aziendale, come pure la necessità di allocare le risorse in modo appropriato e di conservare un buon clima organizzativo, sono alla base dei controlli, effettuati da parte del datore di lavoro, circa la presenza in ufficio del personale.
Ebbene, proprio su questi temi è recentemente intervenuto il Garante Privacy, che ha ribadito il no al riconoscimento facciale per effettuare il controllo presenze dei lavoratori. In altre parole, i datori di lavoro non possono servirsi dei cd. dati biometrici per verificare chi c’è sul luogo di lavoro, e per identificare eventuali casi di assenteismo.
Vediamo più da vicino.
Riconoscimento facciale dei lavoratori: il Garante ribadisce la tutela della riservatezza
Servirsi del riconoscimento facciale per verificare la presenza dei lavoratori in ufficio è illegale e vìola la sfera di riservatezza. Il Garante per la protezione dei dati personali ha confermato un indirizzo avvalorato dall’assenza di norme in materia, come pure nel GDPR, che dispongano la facoltà di effettuare controlli tramite riconoscimento facciale.
In altre parole, l’Autorità ha rimarcato come al momento non esista alcuna norma che permetta l’uso di sistemi di controllo biometrici in ambito lavorativo. Anzi vi sono norme nazionali e dell’Unione Europea che proteggono adeguatamente i dati personali, contro casi di abusi e irregolarità nell’individuazione e loro utilizzo.
Non a caso, nel sito web ufficiale la citata Autorità ha reso noto di aver sanzionato cinque società che trattavano dati biometrici, ma senza averne facoltà ed, anzi, commettendo un abuso ai danni del diritto alla riservatezza dei lavoratori.
Per capire meglio il rilievo di quanto precisato dal Garante, è opportuno ricordare che i dati biometrici altro non sono che informazioni correlate all’insieme delle caratteristiche fisiche, fisiologiche o comportamentali uniche di una persona.
Si tratta cioè di caratteristiche usate per identificare o autenticare qualcuno, senza cadere in errore. Tra gli esempi tipici di strumenti di rilevazione di dati biometrici abbiamo le impronte digitali, le scansioni dell’iride, le impronte vocali. Anche la cd. scansione facciale, o riconoscimento facciale, rientra tra questi strumenti.
Il punto è che l’utilizzo dei dati biometrici solleva questioni di privacy e sicurezza, in quanto è fondamentale proteggere questi dati da accessi non autorizzati o utilizzi impropri.
Le sanzioni emesse dal Garante Privacy sull’uso dei dati biometrici
Nel sito web ufficiale del Garante per la protezione dei dati personali, si trova scritto in particolare che per cinque società sono giunte salate sanzioni amministrative pecuniarie – inflitte dalla stessa Autorità.
70mila, 20mila, 6mila, 5mila e 2mila euro sono le cifre incluse nei cinque provvedimenti sanzionatori contro altrettante aziende di igiene ambientale, riunite in associazione temporanea ed impegnate in siti di smaltimento rifiuti. Dette multe sono state inflitte, come accennato, per aver raccolto e trattato in maniera illecita i dati biometrici di un alto numero di lavoratori e lavoratrici in servizio.
Il Garante ha fatto sapere di esser intervenuto, dopo alcuni reclami formulati da più dipendenti delle cinque società coinvolte. Nell’ambito dell’accertamento dei fatti, in cui anche la GdF ha dato il suo contributo con sopralluoghi, era emerso che le aziende poi sanzionate dal Garante, avevano reso obbligatorio – per l’accesso al sito di lavoro – l’utilizzo di un rilevatore biometrico per verificare l’effettivo ingresso e presenza dei dipendenti sul luogo di lavoro.
Per completezza ricordiamo che, in materia di violazioni della disciplina relativa al trattamento dei dati personali, il Garante può infliggere sanzioni amministrative pecuniarie anche ad autorità pubbliche e/o organismi pubblici. Così ha infatti indicato la Corte di Cassazione con l’ordinanza n. 28385 dello scorso anno.
Ulteriori violazioni emerse
Non solo. Insieme a tale obbligo di eseguire il riconoscimento facciale, non giustificato da norme di legge ad hoc, le cinque imprese sanzionate non hanno dato un’informativa chiara e dettagliata ai lavoratori e alle lavoratrici – in tema di raccolta e uso dei loro dati personali.
Al contempo, le cinque aziende si erano rese responsabili anche di un’altra violazione. Non avevano infatti compiuto le cd. valutazioni d’impatto di cui alla normativa sulla privacy, con esse intendendosi le procedura mirate a descrivere il trattamento, valutarne necessità e proporzionalità, e agevolare la gestione dei rischi per i diritti e le libertà delle persone fisiche, derivanti dal trattamento dei dati personali.
Nelle indagini era emerso altresì che le aziende non avevano varato le opportune misure tecniche e di sicurezza, per tutelare i dati personali immagazzinati.
Conclusioni
Insieme al versamento delle sanzioni di cui sopra, il Garante ha imposto l’eliminazione dei dati raccolti in maniera illecita e senza alcuna autorizzazione di legge. A detta dell’Autorità, le aziende avrebbero dovuto servirsi di sistemi meno invasivi, per verificare la presenza dei dipendenti e collaboratori sul luogo di lavoro.
Tra questi ad es. l’ormai classico badge, un evoluto sistema di timbrature che va oltre il classico cartellino e che è in grado di registrare con precisione le presenze e le ore lavorate dal personale in azienda.