Il trattamento di dati biometrici per la verifica delle presenze sul posto di lavoro.

Per il Garante non sussiste al momento un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Reg. UE 679/2016 e dal Codice Privacy per legittimare le PA a porre in essere tale trattamento dati.

A cura dell'Avv. Andrea D'Amico

Con provvedimento n. 16 del 14 gennaio 2021 il Garante per la protezione dei dati personali ha sanzionato un’Azienda Sanitaria Provinciale in relazione al trattamento, per l’accertamento della presenza dei dipendenti sul posto di lavoro, di dati biometrici (intesi ex art. 4 del Reg. UE 679/2016 come dati “ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”).

La verifica della presenza del lavoratore in azienda mediante un modello di raccolta dati biometrici

Il provvedimento è particolarmente interessante in quanto sotto la lente del Garante finisce un sistema di verifica delle presenze sul posto di lavoro che si incontra non di rado nella prassi, di cui di seguito si indicano le caratteristiche essenziali: (i) un software elabora un modello biometrico a partire dalla lettura dell’impronta di un polpastrello dell’interessato, memorizzandolo poi, in forma di stringa crittografata, su un badge conferito in uso allo stesso interessato; (ii) al momento di passare i varchi di ingresso l’interessato deve avvicinare il badge ad un apposito lettore, ivi poggiando, contestualmente, il proprio polpastrello; (iii) il dispositivo “legge” l’impronta biometrica del dito dell’interessato e la associa ad un modello biometrico che, se coincidente con quello memorizzato sul badge, permette la registrazione della presenza e l’accesso al posto di lavoro; (iv) il dato biometrico dell’interessato viene registrato solo per il tempo intercorrente tra la “lettura” e la sua conversione in stringa crittografata e successivamente cancellato; (v) il normale uso del sistema in descrizione non prevede che il titolare del trattamento (generalmente il datore di lavoro) acceda al contenuto informativo del dato biometrico, il cui trattamento è effettuato in parte attraverso sistemi automatizzati, in parte ad opera dello stesso interessato; al titolare viene unicamente riferito l’accesso al posto di lavoro da parte dell’interessato ai fini della rilevazione delle presenze.

L’istruttoria veniva avviata d’ufficio a seguito di taluni articoli di stampa. Il titolare depositava ampia ed articolata memoria difensiva.

Nel corso dell’istruttoria veniva evidenziato, tra le altre cose, quanto segue:

(a) il sistema sarebbe stato adottato per ragioni «legate alla “notevole complessità nella gestione del personale dipendente” in ragione del numero di dipendenti (“oltre 2000”) e della vastità dell’ambito territoriale in cui sono ubicati i presidi ospedalieri e ambulatoriali in cui prestano servizio (“allocati in 22 Comuni”); la scelta sarebbe inoltre avvenuta “alla luce di quanto previsto dalla legge n. 56/2019» (il cui art. 2 detta misure per il contrasto all’assenteismo sui posti di lavoro pubblici prevedendo, per quel che qui interessa, l’introduzione di sistemi di identificazione biometrica dell’identità e di videosorveglianza degli accessi da adottarsi conformemente ad un decreto attuativo emanando);

(b) il titolare si sarebbe dotato, unitamente al sistema sopra descritto, di un apposito documento denominato “valutazione di impatto”;

(c) sarebbe stato omesso il previo rilascio di una completa informativa privacy agli interessati (i quali hanno avuto contezza di tutte le informazioni correlate al trattamento dei propri dati solo a seguito dell’apertura dell’istruttori), pur avendo l’Azienda avvertito le rappresentanze sindacali in ordine all’introduzione del nuovo sistema di rilevazione delle presenze.

Un primo elemento di interesse deriva dal fatto che, a parere del Garante, pur non accedendo materialmente al contenuto informativo del dato, il titolare, in un caso come quello descritto, assoggetta comunque a trattamento dati biometrici [«Nel caso in esame infatti l’Azienda – ancorché non conservi su una banca dati centralizzata i dati biometrici degli interessati, ma solo su dispositivi portatili dotati di adeguate capacità crittografiche (badge con funzionalità di smart card), affidati alla diretta ed esclusiva disponibilità di ciascun interessato – effettua comunque trattamenti di dati biometrici che, come confermato dall’Azienda, “si trovano (sebbene per pochissimi istanti) all’interno” di sistemi impiegati dal datore di lavoro per la rilevazione delle presenze e per le connesse finalità di gestione del rapporto contrattuale con i propri dipendenti»].

Spunti offerti dal provvedimento del Garante

Se ne traggono almeno due conclusioni:

(a) che una operazione di “trattamento” ai sensi dell’art. 4 del Reg. UE 679/2016 (“GDPR”) ricorre anche nell’ipotesi in cui il titolare (o altro membro della filiera privacy) non acceda al contenuto informativo del dato personale;

(b) che la “conversione”, per effetto di sistemi automatizzati, di un dato personale di particolari categorie in dato personale comune è essa stessa una operazione di trattamento che, come tale, necessita di appropriate basi giuridiche (come meglio osservato sopra, nel caso di specie il dato biometrico dell’interessato veniva prima convertito in un modello biometrico crittografato, inserito in un badge in possesso dell’interessato, indi “restituito” al titolare sotto forma di presenza sul posto di lavoro).

Altro elemento di interesse è la ricostruzione delle basi giuridiche per il trattamento di dati biometrici operata dal Garante, il quale ha osservato che «Nel contesto lavorativo, le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possono rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento in quanto implicanti un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro [e della sicurezza sociale e protezione sociale]” (v. pure art. 88, par. 1, Regolamento), ovvero nell’ambito di applicazione dell’art. 9, par. 2, lett. g) del Regolamento, relativo al trattamento “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”».

A parere del Garante, tuttavia, l’art. 2 della l. 56/2019 non fornisce un adeguato sostrato normativo alle basi sopraindicate e ciò in quanto, alla data del provvedimento, non risulta adottato il “regolamento attuativo” ivi previsto. Conclude il Garante osservando che “Allo stato non sussiste pertanto un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Regolamento e dal Codice per legittimare le amministrazioni pubbliche a porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle presenze dei dipendenti ai sensi dell’art. 9, par. 2, lett. b) del Regolamento”; né è possibile rinvenire una adeguato sostrato normativo all’applicazione della base di cui all’art. 9 (2) (g) del GDPR; né, per altro verso, il difetto di base giuridica può essere superato dal consenso dei dipendenti [“posto che (il consenso dell’interessato, ndr) non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo” (enfasi aggiunta)] o dal legittimo interesse del titolare (che non si estende sino a permettere il trattamento di dati di particolari categorie, non essendo richiamato all’art. 9, comma 2, GDPR).

È stata, per l’effetto, contestata la “violazione dei principi generali del trattamento”, nonché la “assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento”.

La sanzione pecuniaria è stata quantificata in complessivi euro 30.000,00 (trentamila/00) in virtù, da un lato, della delicatezza dei dati personali in essere, e, dall’altro lato, dell’immediata sospensione del trattamento da parte dell’Azienda unita all’assenza di “precedenti”.

E' stata altresì imposta ai sensi dell’art. 58 (2) GDPR una misura correttiva consistente nell’ordine di cancellazione dei modelli biometrici memorizzati sui badge entro 60 (sessanta) giorni dalla notifica del provvedimento.