Il Garante privacy ha emesso una sanzione tramite un’ordinanza ingiunzione nei confronti di una società per trattamento di dati biometrici dei suoi dipendenti e collaboratori in assenza di una legittima base giuridica e in violazione dei principi di proporzionalità e minimizzazione dei dati personali.
Il 10 novembre 2022 tramite ordinanza di ingiunzione il Garante privacy ha emesso una sanzione del valore di euro 20.000 ai danni della società sportiva dilettantistica Sportitalia rilevando l’esistenza di illecite attività di trattamento di dati biometrici ai danni degli oltre 130 dipendenti e collaboratori.
L’ordinanza è stata emessa a seguito di una segnalazione della CGIL che ha lamentato il fatto che a partire da ottobre 2018 presso i club milanesi della società erano stati attivati sistemi di “timbratura per rilevazione delle presenze con terminale biometrico” basati sul rilevamento delle impronte digitali.
In base all’art. 9, par. 2, lett. b) GDPR, il trattamento di dati biometrici in ambito lavorativo è possibile solamente quando “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale” tuttavia, tale trattamento è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. A questo principio è stata, inoltre, data attuazione nell’ordinamento italiano tramite l’art. 2-septies del Codice Privacy (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute).
Come evidenziato dal Garante nella sua ordinanza, tuttavia, non è sufficiente che il trattamento trovi fondamento in una disposizione normativa, ma tale deve anche essere conforme agli altri principi fondamentali del GDPR, in particolare a quelli di proporzionalità e di minimizzazione.
Nel caso oggetto di analisi, il Garante privacy ha riscontrato che l’utilizzo del dato biometrico nella gestione ordinaria del rapporto di lavoro allo scopo dichiarato di “agevolare i dipendenti nella registrazione dell’orario di entrata e di uscita adottando un sistema “più snello e veloce” a fronte delle continue dimenticanze del badge, non è conforme ai principi di minimizzazione e proporzionalità del trattamento. Lo stesso trattamento viene, pertanto, considerato privo di un’idonea base giuridica.
Nemmeno la raccolta del consenso dell’interessato può essere ritenuta a priori idonea a consentire tale attività, infatti, il consenso del lavoratore non è di regola considerato un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, ciò “alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà della manifestazione di volontà del dipendente”.
In conclusione, se è vero che il datore di lavoro deve sempre prestare molta attenzione nell’effettuare attività di trattamento dei dati personali dei propri dipendenti, particolare cautela deve essere prestata ai dati biometrici che data la loro natura comportano maggiori rischi di vulnus per l’interessato.
Sul tema può essere di interesse il seguente articolo “L’autorità privacy olandese emette una sanzione per uso di dati biometrici (dirittoaldigitale.com)”.