Impronte digitali dei dipendenti acquisite per rilevare presenza: violazione privacy

Allegati

Il Garante per la protezione dei dati personali ha sancito che è illecito rilevare le presenze dei dipendenti attraverso l’acquisizione delle impronte digitali.

Volume consigliato: Formulario commentato della privacy

Garante per la protezione dei dati personali – Provv. n. 404 del 14 settembre 2023

GarantePrivacy-9940565-1.0.pdf 48 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti

Un signore inviava un reclamo al Garante per la protezione dei dati personali sostenendo di essere stato assunto da una società a tempo determinato e di aver svolto la sua attività lavorativa presso una sede di lavoro in cui era installato un sistema di rilevazione delle presenze basato sulla lettura delle impronte digitali, senza che fosse stata resa una informativa privacy o fosse stato richiesto il consenso degli interessati.
Preso atto del reclamo, il Garante inviava alla società una richiesta di informazioni e quest’ultima dichiarava di aver installato il sistema in questione a partire dal febbraio 2019 e che l’azienda che aveva provveduto all’installazione aveva assicurato che lo stesso fosse conforme alla normativa in materia di protezione dei dati personali, mentre l’ispettorato del lavoro territorialmente competente aveva assicurato che per la sua installazione non fosse necessaria l’autorizzazione di cui all’art. 4 dello Statuo dei lavoratori.
Per quanto riguarda le modalità di funzionamento del sistema, l’azienda evidenziava che il dispositivo in questione è una timbratrice marcatempo rilevatore delle presenze dotata di lettore biometrico (impronte digitali), attraverso cui il personale può certificare i propri ingressi e le uscite dal posto di lavoro attraverso l’impronta digitale ovvero, in alternativa, attraverso un ID univoco (numerico) associato ad ogni lavoratore e la relativa password assegnata. Le impronte digitali personali sono raccolte e memorizzate esclusivamente nella memoria interna del dispositivo stesso e sono rese indecifrabili, grazie al particolare algoritmo con la quale sono criptate. Inoltre le stesse sono non leggibili/esportabili per usi diversi, data la non accessibilità della memoria interna del dispositivo. Infine, le caratteristiche individuali del polpastrello sono vettorializzate in punti univoci e convertite dal terminale in un codice numerico complesso, utilizzando uno speciale algoritmo. Il numero di dipendente corrispondente pertanto è collegato a tale valore.
Per quanto riguarda le finalità dell’installazione, la società rilevava che lo stesso era stato utilizzato per rilevare le presenze dei dipendenti al fine di gestire il rapporto di lavoro.
Per quanto riguarda, invece, l’informativa privacy, l’azienda rilevava che ai dipendenti era stata resa un’informativa, in cui era indicato che non erano trattati dati genetici o biometrici in quanto il dispositivo non memorizza in nessun caso le immagini dell’impronta digitale, elaborando solo un modello di riferimento anonimo e virtuale.
Infine, l’azienda comunicava che in data 30.04.2022 aveva provveduto a rimuovere il dispositivo in questione, sostituendolo con un sistema di controllo mediante badge, e aveva cancellato tutti i dati dei dipendenti.

Potrebbero interessarti:

2. Acquisizione impronte digitali per rilevare presenze: la valutazione del Garante

Nel corso del procedimento, il Garante ha accertato che la società ha effettuato il trattamento dei dati biometrici da parte dei propri 13 dipendenti, attraverso il sistema di rilevamento delle impronte digitali installato presso le due unità lavorative e finalizzato a registrare le presenze dei dipendenti in servizio.
In particolare, per dati biometrici si intendono i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Ebbene, il Garante ha ricordato che già in numerosi propri provvedimenti aveva evidenziato come si configura un trattamento di dati biometrici sia al momento della registrazione delle impronte dell’interessato, sia al momento in cui viene rilevata la sua presenza.
Ai sensi della normativa in materia di protezione dei dati personali, il trattamento dei dati biometrici di regola è vietato e viene consentito soltanto quando sussista una delle condizioni previste dall’art. 9 del Regolamento europeo per la protezione dei dati personali e – nell’ambito lavorativo – soltanto quando il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sul lavoro, ma solo se è autorizzato dal diritto dell’unione o di uno stato membro e via siano delle garanzia appropriate per i diritti fondamentali dell’interessato.
Secondo il Garante, se è vero che, nell’ambito lavorativo, le finalità di rilevazione delle presenze dei dipendenti e di controllo del rispetto dell’orario di lavoro rientrano nei casi previsti dal citato art. 9 del Regolamento europeo, è altrettanto vero che non esiste una disposizione normativa che ne preveda l’utilizzo, che possa ritenersi in linea con le caratteristiche richiesta dalle disposizioni in materia di privacy.
Pertanto, secondo il Garante non vi è allo stato una normativa che possa essere ritenuta un’idonea base giuridica per legittimare i titolari del trattamento a trattare i dati biometrici per finalità di rilevazione delle presenze dei dipendenti.
Per quanto riguarda l’informativa privacy, è stato accertato che nella comunicazione fornita ai dipendenti non vi era alcun riferimento al trattamento dei dati biometrici per rilevare le presenze. Pertanto, l’informativa non rispettava le modalità e le caratteristiche previste dalla normativa in materia di privacy.

3. La decisione del Garante

In considerazione di quanto sopra, secondo il Garante il trattamento dati in questione è stato effettuato in assenza di una idonea base giuridica e in assenza di una idonea informativa; pertanto è illegittimo.
Conseguentemente, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria nei confronti del titolare del trattamento.
Per quanto riguarda la quantificazione della predetta sanzione, il Garante, da un lato, ha valutato la natura, la gravità e la durata, posto che il trattamento ha riguardato particolari categorie di dati e si è protratto per circa tre anni, nonché il fatto che la condotta della società ha comportato l’inosservanza di principi generali del trattamento dati. Dall’altro lato, il Garante ha valutato l’assenza di precedenti specifici a carico del titolare del trattamento nonché la cooperazione fornita da quest’ultimo nel corso del procedimento e il fatto di essersi conformato alle indicazioni del Garante. Infine, il Garante ha tenuto altresì conto dei ricavi conseguiti dalla società con riferimento al bilancio dell’anno 2022. Sulla base di tali presupposti, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 5.000 (cinquemila).

Volume consigliato

L’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento