Impronte digitali per i dipendenti: cosa ha deciso il Garante della Privacy

È legittima la rilevazione delle presenze dei dipendenti tramite le impronte digitali? Il Garante della Privacy, con l’ordinanza n. 369 del 10 novembre 2022, ha fornito una risposta a questa domanda, dopo la segnalazione di un sindacato che lamentava l’introduzione, da parte di una società sportiva, di un sistema di rilevazione delle presenze dei propri dipendenti e collaboratori con un terminale biometrico.

In sede di istruttoria, l’Autorità ha rilevato che il datore di lavoro aveva effettuato, per quasi quattro anni, la rilevazione delle impronte digitali dei dipendenti senza un’adeguata base normativa.

Il trattamento dei dati personali, in modo particolare quelli biometrici, può ritenersi lecito nel caso in cui ci sia una disposizione normativa ad hoc, che ne definisca perimetro, legittimità e proporzionalità rispetto alle finalità che si intendono perseguire.

Il quadro normativo attualmente in vigore prevede infatti che il trattamento dei dati biometrici rispetti determinate condizioni e limitazioni richieste dall’art. 9, par. 4, del Regolamento Europeo sulla protezione dei dati personali, che ha trovato attuazione nell’ordinamento nazionale con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice della Privacy.

Nel contesto lavorativo, ad esempio, l’utilizzo di dati biometrici è consentito per i processi produttivi pericolosi, sottoposti a segreti di varia natura, o per la tutela di locali destinati alla custodia di beni, documenti segreti o riservati oppure oggetti di valore (ad esempio, banche o aeroporti), nonché per le occasioni in cui sia necessario il controllo della presenza sul luogo di lavoro e l’osservanza degli orari da parte di dipendenti in regime diverso dalla detenzione. 

Il datore di lavoro, titolare del trattamento, è anche in tali casi tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” secondo quanto previsto dall’art. 5 del Regolamento.

Inoltre, i dati dovrebbero essere “trattati in maniera da garantire un’adeguata sicurezza” degli stessi, “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”, ai sensi di quanto disposto dall’art. 5, par. 1, lett. f), e dall’art. 32 del Regolamento sulla protezione dei dati personali.

Sul punto il Garante, dal momento che la fattispecie in questione non rientrava in nessuna delle ipotesi eccezionali indicate, ha ritenuto non conforme al GDPR l’utilizzo di dati biometrici finalizzato unicamente alla rilevazione delle presenze, con il solo obiettivo di garantire maggiore velocità e snellezza delle relative operazioni in caso di ripetute dimenticanze nella timbratura tramite badge.

L’Autorità, nel prendere atto che la società datrice di lavoro aveva chiesto e ottenuto il consenso dei lavoratori al trattamento dei dati personali, ha rilevato che neppure tale elemento è sufficiente per ritenere lecita la condotta datoriale. Il motivo è dato dalla asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente eventuale necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente.

Avendo certificato tale violazione, il Garante della Privacy ha comminato alla società datrice di lavoro la sanzione di 20.000 euro, tenendo conto della natura, della gravità e della durata degli illeciti, prendendo in considerazione che la società datrice di lavoro ha interrotto la rilevazione delle presenze con tale modalità subito dopo la segnalazione da parte dell’organizzazione sindacale.

Questo provvedimento si pone in continuità con le precedenti decisioni del Garante della Privacy.

Infatti, con ordinanza del 14 gennaio 2021, l’Autorità aveva già sanzionato una Azienda sanitaria pubblica che aveva adottato un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti poiché, anche in quel caso, mancava una base normativa proporzionata all’obiettivo perseguito.