In cinque recenti decisioni, il Garante per la protezione dei dati personali ha affrontato la complessa questione del trattamento dei dati biometrici in ambito lavorativo.
In particolare, il caso riguardava cinque aziende impegnate nello stesso sito di smaltimento rifiuti che avevano implementato un sistema di riconoscimento facciale per monitorare le presenze dei dipendenti. Queste decisioni evidenziano l’attenzione del Garante nel garantire che i dati personali, in particolare quelli particolarmente sensibili come i dati biometrici, siano trattati in conformità al GDPR; nelle sue decisioni, il Garante esamina la legittimità e le implicazioni etiche dell’utilizzo della tecnologia di riconoscimento facciale per la rilevazione delle presenze dei dipendenti.
Le decisioni del Garante sul trattamento dei dati biometrici
Le indagini condotte dal Garante hanno rivelato che le società avevano utilizzato un sistema di riconoscimento facciale, il quale era stato implementato al fine di contrastare l’assenteismo e le pratiche fraudolente di rilevazione delle presenze. Tuttavia, i dipendenti hanno sollevato dubbi sulla legittimità del trattamento dei loro dati biometrici, sostenendo che con metodi meno invasivi si sarebbero potuti raggiungere gli stessi obiettivi.
In particolare, il Garante ha ritenuto che il trattamento dei dati biometrici da parte delle società non avesse una base giuridica adeguata ai sensi del GDPR. A questo proposito, una delle società aveva utilizzato come base giuridica il consenso, il quale non è considerato una base giuridica valida per il trattamento di categorie particolari di dati personali da parte del datore di lavoro.
Il Garante ha inoltre rilevato che alcune aziende non hanno fornito ai dipendenti un’informativa privacy relativa a tale trattamento, violando gli obblighi di trasparenza. In particolare, secondo quanto riportato dalle aziende, l’informativa sulla privacy era stata fornita oralmente, ma, secondo il Garante, ciò non può dimostrare che i dipendenti siano stati adeguatamente informati come richiesto dal GDPR. Inoltre, le società non hanno nominato alcun DPO né condotto alcuna valutazione d’impatto sulla protezione dei dati (DPIA), fasi fondamentali per garantire la conformità alla protezione dei dati, soprattutto quando si tratta di dati sensibili come quelli biometrici.
Infine, il Garante ha sottolineato i principi di minimizzazione e proporzionalità dei dati, affermando che le aziende avrebbero dovuto utilizzare sistemi meno invasivi per verificare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come, ad esempio, i badge).
Implicazioni delle decisioni del Garante per i datori di lavoro
Le decisioni del Garante sottolineano l’importanza del rispetto dei principi in materia di privacy nell’ambiente di lavoro, soprattutto quando si tratta di dati particolarmente sensibili quali quelli biometrici. In particolare, l’autorità ha sottolineato che qualsiasi trattamento di dati biometrici deve essere necessario, proporzionato e accompagnato da adeguate garanzie per proteggere i diritti e gli interessi fondamentali dei dipendenti.
In base a queste decisioni, i datori di lavoro devono sempre tenere a mente la necessità di considerare attentamente le implicazioni che l’utilizzo di sistemi biometrici potrebbe avere sul posto di lavoro. I datori di lavoro, inoltre, devono assicurarsi di avere una base giuridica adeguata per il trattamento di tali dati e di fornire informazioni chiare ai dipendenti sulle modalità di trattamento dei loro dati. Inoltre, alla luce del principio di minimizzazione dei dati, nel trattamento dei dati dei dipendenti, si dovrebbe sempre valutare se esistono metodi alternativi e meno invasivi.
Su un argomento simile può essere d’interesse l’articolo “L’autorità privacy olandese emette una sanzione per uso di dati biometrici”
