No all’uso delle impronte digitali per rilevare le presenza dei propri dipendenti.

Con una pronuncia emessa in data 10 novembre 2022 che si pone nel solco di precedenti già resi prima d’ora, il Garante per la protezione dei dati personali ritiene sproporzionato ed invasivo il sistema di timbratura per rilevazione delle presenze, con terminale biometrico che ha utilizzato la società sportiva dilettantistica Sportitalia, tanto da irrogarle una pesante sanzione da 20.000 € per violazione della normativa privacy.

Riportiamo brevemente la vicenda, per poter comprendere la portata del parere del Garante.

La CGIL con segnalazione del 15 maggio 2019 lamentava che a partire dal mese di ottobre 2018, presso taluni club sportivi gestiti dalla Sportitalia, sarebbe stato introdotto un sistema di timbratura per rilevazione delle presenze senza badge, ma con terminale biometrico che rilevava le impronte digitali di tutti i dipendenti e collaboratori dei centri sportivi, al fine di registrare il loro accesso e la loro presenza presso i Club.

La raccolta di dati riguardava ben 132 dipendenti, tutti interessati al trattamento e previo rilascio da parte di tutti – a detta della Sportitalia – di consenso libero e specifico espresso per iscritto.

Ai dati contenuti nel lettore biometrico avrebbero potuto accedere solo i dipendenti con mansione di Club manager e presso la sede amministrativa l’addetto ai sistemi IT.

Ebbene, pur senza addentrarsi sull’andamento processuale della vicenda che ha dato occasione al Garante di esprimersi sulla questione, sembra invece particolarmente importante considerare la disciplina vigente in materia di trattamento di dati biometrici.

Detto trattamento, di solito vietato dall’art. 9 par. 1 del GDPR, è viceversa consentito esclusivamente allorché ricorrano le condizioni indicate all’art. 9 par. 2 del GDPR con riguardo ai trattamenti effettuati in ambito lavorativo, ovvero allorché detto trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).

Ciò significa che, sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro ben potrebbero rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento in quanto implicano un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro [e della sicurezza sociale e protezione sociale]” (v. pure art. 88, par. 1, Regolamento), tuttavia il trattamento dei dati biometrici sarà consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali”.

Può concludersi dunque, affermando ancora una volta e con maggior vigore che nel quadro normativo delineato dal GDPR il trattamento dei dati biometrici, per poter essere lecitamente posto in essere in ambito lavorativo deve essere espressamente autorizzato da una disposizione normativa sovranazionale o del singolo stato membro, mentre non basta che avvenga nel rispetto delle garanzie appropriate per i diritti fondamentali, e quindi di quei principi di minimizzazione dei dati da assumere e di liceità, correttezza e trasparenza del trattamento e della raccolta dei dati stessi.

Ne consegue che tutte le società che utilizzano dati biometrici al fine di rilevare le presenze dei propri dipendenti e/o collaboratori sono passibili di segnalazione al Garante e potranno essere idonee a subire severe sanzioni.