Riconoscimento biometrico come sistema di controllo degli accessi; il bilanciamento tra diritti del datore di lavoro e diritti del lavoratore – soprattutto in materia di privacy – è sempre molto delicato ed oggetto, sovente, di controversia tra le due parti.
Se da un lato, infatti, la libertà di iniziativa economica del datore di lavoro è tutelata dalla nostra Costituzione (art. 41) e permette al datore di controllare che l’attività lavorativa dei dipendenti sia eseguita conformemente alle direttive da lui impartite, dall’altro, tale potere di controllo è limitato dal contrapposto diritto dei lavoratori al rispetto della loro riservatezza, della dignità personale, della libertà di espressione e di comunicazione.
Da qui, l’esigenza di contemperamento dei due diritti contrapposti e, quindi, della regolamentazione dei poteri del datore di lavoro.
Inoltre, con la modernizzazione delle tecniche lavorative e con lo sviluppo tecnologico, è ormai possibile realizzare veri e propri controlli a distanza, estremamente penetranti, nei confronti dei lavoratori: si è reso dunque necessario aggiornare le regole volte alla tutela del lavoratore, contemperando il diritto del datore di lavoro alla tutela dei beni aziendali.
A questo proposito, lo Statuto dei Lavoratori ed il GDPR (Regolamento Generale sulla Protezione dei Dati) prevedono un rigoroso divieto dei controlli lesivi dei diritti inviolabili ed il ruolo del Garante Privacy gioca un ruolo fondamentale.
Proprio recentemente, il Garante ha sanzionato – con ordinanza di ingiunzione n. 369 del 10.11.2022 – una Società che aveva utilizzato il controllo biometrico degli accessi dei lavoratori, ossia un sistema informatico che identifica una persona sulla base di una o più caratteristiche fisiologiche e/o comportamentali, confrontandole con i dati precedentemente acquisiti e conservati nel database del sistema, tramite degli algoritmi e dei sensori di acquisizione dei dati in input (un esempio di riconoscimento biometrico è, molto semplicemente, quello utilizzato da iPhone per lo sblocco del telefono cellulare
Riconoscimento biometrico – Un caso concreto
La Società sanzionata, nell’anno 2018, aveva adottato un sistema di controllo degli accessi dei dipendenti e dei collaboratori attraverso la rilevazione della loro impronta digitale. Questa procedura era stata segnalata al Garante per la protezione dei dati personali da un’associazione sindacale che, invero, aveva invitato l’Azienda ad utilizzare sistemi meno invasivi per il controllo delle presenze dei lavoratori.
La Società, dal canto suo, si era difesa sostenendo di aver ottenuto il consenso dei lavoratori al trattamento dei loro dati biometrici e che gli stessi erano stati informati della possibilità di non prestare il proprio consenso, aggiungendo che questo era revocabile in qualsiasi momento.
Il Garante della privacy ed il sistema di controllo degli accessi
Eppure, il Garante ha evidenziato come le operazioni di trattamento effettuate dalla Società presentassero vari profili di illegittimità alla luce della normativa GDPR ed ha comminato una sanzione di Euro 20.000,00.
Secondo il Garante, infatti, il comportamento dell’Azienda che ha utilizzato il riconoscimento biometrico come sistema di controllo degli accessi ha violato il diritto alla privacy del lavoratore: le impronte digitali costituiscono veri e propri dati biometrici, ossia dati che – ai sensi dell’art. 4 del Reg. 2016/679 (GDPR) – sono dati personali ottenuti da un trattamento tecnico-scientifico relativi a caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Queste informazioni rientrano nella categoria dei c.d. “dati particolari”, il cui trattamento è disciplinato dall’art. 9 GDPR che prevede un vero e proprio divieto generale di trattarli (salvo alcune rare e tassative eccezioni).
E ciò, indipendentemente dal consenso fornito dai dipendenti ed invocato dalla Società quale causa giustificatrice del trattamento: quest’ultimo, infatti, è sottoposto a stringenti requisiti di validità, uno dei quali è il requisito di libertà. Per questo motivo, il consenso prestato dal lavoratore al riconoscimento biometrico come sistema di controllo degli accessi non può, se non in casi eccezionali, ritenersi valido, in quanto sarebbe quasi sempre condizionato dallo squilibrio di potere sussistente tra datore di lavoro (che chiede il consenso) e dipendente (che, nei fatti, difficilmente si trova in condizione di poterlo negare).
Videosorveglianza sui luoghi di lavoro tramite riconoscimento biometrico.
Tale principio è stato più volte sostenuto non solo dal Garante Privacy in diversi suoi provvedimenti ma anche dalla Corte di cassazione in materia di videosorveglianza sui luoghi di lavoro (tra le altre, Cass. n. 50919/2019).
Non solo. Nel caso di specie – precisa il Garante nella sua ordinanza – il trattamento riguardava il riconoscimento biometrico, ossia dati soggetti a tutela rafforzata e, dunque, è consentito solo se ricorre una delle condizioni richiamate dall’art. 9 par. 2 del GDPR. Più precisamente, nel contesto lavorativo, il trattamento è consentito solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9 par. 2 lett. b) GDPR).
Controllo biometrico, conclusioni
Alla luce di questa ordinanza – che si affianca alla giurisprudenza di legittimità e ad altri provvedimenti assunti dal Garante – sembra ormai pacifico che il trattamento del dato biometrico difficilmente potrà essere la soluzione alla problematica dell’assenteismo sui luoghi di lavoro in quanto, nella maggior parte dei casi, per rispettare la normativa a tutela dei dati personali sarebbe necessario adottare dei sistemi meno invasivi della privacy degli individui.