Sanzionata dall’autorità privacy olandese una società per uso illecito dei dati biometrici dei propri dipendenti

L’autorità privacy olandese ha emesso una sanzione per l’utilizzo illecito di dati biometrici per eseguire controlli sui dipendenti.

L’Autoriteit Persoonsgegevens, l’autorità per la protezione dei dati personali olandese (l’“AP”), ha comunicato sulla propria pagina istituzionale di aver comminato una sanzione di € 725.000 ad una società per aver utilizzato le impronte digitali dei propri dipendenti ai fini di rilevazione delle presenze e del tempo di permanenza degli stessi sul luogo di lavoro in violazione della disciplina sul trattamento dei dati biometrici disposta ai sensi del Regolamento UE 2016/679 (il “GDPR”).

I dati biometrici costituiscono una categoria particolare di dati personali disciplinata dall’articolo 9 del GDPR e, pertanto, il trattamento degli stessi è di regola vietato, fatta salva l’applicabilità di una delle eccezioni previste nel paragrafo 2 del medesimo articolo. In particolare, l’AP considera che, in linee generali, un datore di lavoro può raccogliere, conservare e utilizzare le impronte digitali dei propri dipendenti, ma soltanto qualora (a) questi ultimi manifestino il proprio consenso, nonostante le difficoltà connesse alla possibilità di poter giustificare il trattamento basato su un consenso effettivamente ed inequivocabilmente libero del dipendente, dato il rapporto di ineliminabile disparità intercorrente con la società datrice di lavoro, ovvero (b) nel caso in cui il datore-titolare del trattamento sia in grado di dimostrare che le attività di trattamento siano necessarie per il controllo degli accessi o per motivi di sicurezza sul luogo di lavoro.

Diversamente, a seguito delle indagini condotte, l’AP ha concluso che nel caso di specie nessuna delle due eccezioni poteva trovare applicazione. Infatti, l’Autorità ha rilevato anzitutto l’assenza di un consenso da parte dei dipendenti, i quali, al contrario, avevano vissuto la registrazione delle loro impronte digitali come “un obbligo imposto dall’alto” e, rilevava altresì che l’esigenza di sicurezza delle sedi e dei sistemi informativi aziendali potesse essere soddisfatta anche attraverso metodi meno invasivi sui diritti e sulle libertà fondamentali dei dipendenti, non ricorrendo una situazione tale da poter giustificare l’utilizzo dei dati biometrici di questi ultimi.

Pertanto, alla luce di tutto quanto precede, è stata dichiarata l’illegittimità del trattamento effettuato dalla società ed è stato disposto in capo alla stessa la sanzione pecuniaria più alta finora comminata dall’Autorità olandese. A tale ultimo riguardo, la vicepresidentessa dell’AP ha chiarito che l’importo della sanzione è giustificato alla luce dell’estrema importanza dei trattamenti effettuati sulle impronte digitali degli interessati: “un’impronta digitale non è sostituibile, come ad esempio una password” e, “se questi dati finiscono nelle mani sbagliate, possono portare a danni irreparabili, come il ricatto o la frode d’identità”.