La Newsletter n. 525 del 26-6-2024 del Garante per la protezione dei dati personali ha informato di un provvedimento (6-6-2024) col quale è stata sanzionata un’impresa che ha utilizzato un sistema di riconoscimento facciale finalizzato alla gestione delle presenze.
È stato accertato che i dipendenti della società hanno ricevuto l’informativa ai sensi dell’art. 13 del Regolamento e rilasciato il consenso al trattamento dei dati.
Riportiamo alcune delle considerazioni svolte dal Garante che hanno valenza generale.
In linea generale è vietato il trattamento dei dati biometrici, salvo specifiche condizioni.
In ambito lavorativo, la norma dispone che tale trattamento sia consentito solo quando è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1) e cons. 51-53 del Regolamento).
Ad oggi, l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti, per finalità di rilevazione della presenza in servizio (provvedimenti dell’Autorità n. 105, 106, 107 e 109, doc. web n. 9995785, 9995701, 9995680, 9995741).
Nel caso specifico non rileva positivamente che il datore di lavoro abbia acquisito la dichiarazione di conformità rilasciata dal fornitore del dispositivo di riconoscimento facciale.
Sarebbe spettato in ogni caso alla Società, in qualità di titolare del trattamento, verificare la liceità del trattamento da effettuare e la conformità ai principi applicabili.
Pertanto alla luce dei suesposti motivi, si rileva che l’utilizzo del dato biometrico per la rilevazione delle presenze in servizio, senza tra l’altro che fosse stato previsto un sistema alternativo per la verifica dell’orario di lavoro, risulta contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5, par. 1, lett. c) del Regolamento. La norma, infatti, richiede che i dati siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Anche la conservazione del dato raccolto è risultata scorretta in quanto la cancellazione avveniva solo a seguito della cessazione del rapporto lavorativo.
In questo caso il contrasto è con quanto stabilito dal Garante nel provvedimento del 12-11-2014, che prevede che “i campioni biometrici impiegati nella realizzazione del modello biometrico possono essere trattati solo durante le fasi di registrazione e di acquisizione necessarie al
confronto biometrico, e non devono essere memorizzati se non per il tempo strettamente necessario alla generazione del modello stesso” (v. punto 8.5 dell’allegato A).
Anche se approvato con riferimento al precedente quadro normativo, tale provvedimento è tuttora valido nelle sue linee generali e conforme ai principi e alle disposizioni di cui al Regolamento.
Pertanto, tale trattamento non è conforme al principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento che, al contrario, impone che i dati siano conservati per un tempo non superiore al conseguimento delle finalità per le quali sono raccolti.
A completamento delle considerazioni, il provvedimento ribadisce che nell’ambito del rapporto di lavoro il consenso manifestato dai dipendenti non può essere considerato idoneo presupposto di liceità, ciò alla luce dell’asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso (v. provvedimenti n. 16 del 14/01/2021 doc. web n. 9542071, n. 35 del 13/02/2020, doc. web n. 9285411, n. 500 del 13/12/2018, doc web n. 9068983).
L’Autorità affronta anche un altro aspetto: il trattamento di dati personali mediante software. Sunteggiamo le considerazioni svolte che delineano i principali temi che devono essere considerati quando si utilizzano questi strumenti.
I dipendenti, attraverso un codice a barra assegnato individualmente, sono tenuti a registrare nel gestionale le varie fasi dell’attività lavorativa comprese le pause, con l’indicazione della specifica causale (es. riposo, attesa ricambi, ecc.).
Il software consente anche di raccogliere e trattare dati personali riferiti ai clienti dell’officina (ai quali viene fornita l’informativa, acquisita in atti) e le informazioni relative alla tipologia di interventi effettuati sulle autovetture inserite dai dipendenti.
La Società ha predisposto il registro dei trattamenti, dal quale si rilevano le principali finalità perseguite, tramite il gestionale, ma non la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, e di valutarne l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire.
Queste informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa che risulta incompleta e inidonea a rappresentare compiutamente il trattamento effettuato.
Nell’informativa si dichiara semplicemente che “nello svolgimento delle attività di trattamento la Società si impegna ad assicurare l’esattezza e l’aggiornamento dei dati trattati (…); trattare i dati personali acquisiti nel completo rispetto del principio di correttezza, liceità e trasparenza”.
Dai documenti della società non emerge una idonea base giuridica tra quelle elencate all’art. 6 del Regolamento.
Il trattamento è stato posto in essere dalla Società in violazione dei principi di liceità, correttezza e trasparenza di cui agli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.
In ALLEGATO la circolare 48/2024 del Servizio Lavoro Previdenza di Confcooperative Terre d'Emilia/B.More