Garante per la protezione dei dati personali, ordinanza ingiunzione contro Sportitalia ssd
L’introduzione di un sistema di timbratura per rilevare le presenze con terminale biometrico (rilevamento delle impronte digitali), per dipendenti e collaboratori, con lo scopo di registrare l’accesso e la presenza in azienda, è un trattamento illegittimo di dati, perché privo di valida base giuridica, oltre che contrario ai principi di liceità, necessità e proporzionalità.
L’ordinanza ingiunzione del 10 novembre 2022, pronunciata a conclusione di un procedimento sanzionatorio contro una società titolare di numerose palestre a Milano a partire da una segnalazione presentata dalla Slc CGIL, ha offerto al Garante lo spunto per un’accurata analisi sull’uso di dati biometrici nell’ambito del rapporto di lavoro.
L’articolo 4 del Gdpr (il regolamento europeo 2016/679) definisce biometrici i «dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici».
Il trattamento di dati biometrici, di regola vietato, è consentito solo se ricorre una delle condizioni indicate dall’articolo 9, paragrafo 2 del Gdpr e, riguardo ai trattamenti effettuati in ambito lavorativo, solo quando questo sia «necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale», nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato. Per poter intraprendere lecitamente un trattamento di dati biometrici, questo deve trovare dunque il proprio fondamento in una disposizione normativa, che deve avere le caratteristiche richieste dalla disciplina sulla protezione dei dati personali, anche dal punto di vista della proporzionalità rispetto alle finalità da perseguire.
Quindi, in assenza di una normativa ad hoc, il Garante della Privacy dichiara illegittimo l’uso di dati biometrici per rilevare la presenza di dipendenti. Il trattamento non può trovare un valido presupposto nemmeno nel consenso del lavoratore, data la asimmetria tra le parti.