La cronaca italiana è piena di notizie sui cosiddetti “furbetti del cartellino”: dipendenti pubblici e privati che timbrano il proprio cartellino per poi immediatamente uscire dal posto di lavoro per dedicarsi ad attività personali oppure timbrano per colleghi assenti. Ultima notizia della serie: il 7 luglio scorso – come riportato da Il Piccolo – sei dipendenti della Regione Friuli Venezia Giulia sono accusati di truffa ai danni della Regione e falsa attestazione sulla presenza al lavoro.
Per prevenire questi fenomeni, diverse realtà pubbliche e private hanno pensato, in questi anni, di adottare sistemi biometrici per la rilevazione delle presenze dei dipendenti: tali strumentazioni utilizzano, più frequentemente, l’impronta digitale per il controllo delle presenze del personale sul luogo di lavoro al fine di evitare il ripetersi di atti di abusi derivanti da un uso improprio del tesserino magnetico.
Davanti a questo sviluppo tecnologico come ha risposto la normativa privacy italiana?
Nel Provvedimento Generale prescrittivo in tema di Biometria del 12 novembre 2014, il Garante precisa che “i dati biometrici denotano la profonda relazione tra corpo, comportamento e identità della persona e quindi richiedono particolari cautele in caso di loro trattamento”.
Pertanto, perché si possa svolgere un trattamento di dati biometrici in modo lecito è necessario adempiere ad una serie di obblighi che partendo dal conferimento di una dettagliata informativa agli interessati, passa dalla richiesta di una verifica preliminare al Garante ai sensi dell’art 17 del Codice, per finire con l’effettuazione della notificazione sempre al Garante ai sensi dell’art 37 comma 1 lett.a) dello stesso Codice.
In riferimento alla verifica preliminare, a parte rari casi dove la presenza di condizioni particolari ha indotto il Garante ad accogliere la richiesta del titolare e, quindi, a permettere un trattamento di dati biometrici (si veda la risposta del settembre 2016 alla richiesta di verifica preliminare presentata da un’Azienda ospedaliera ) nella maggioranza dei casi il Garante ha ritenuto illecito l’utilizzo di strumentazioni biometriche per il rilevamento delle presenze dipendenti.
L’Autorità considera generalmente sproporzionato l’impiego di dati biometrici per finalità di rilevazione delle presenze dei dipendenti e consiglia di adottare strumenti e modalità alternative meno problematiche per la libertà e dignità stessa dei lavoratori. Il titolare, infatti, per verificare il rispetto degli orari di lavoro, impedendo condotte abusive degli interessati può disporre di sistemi meno invasivi della sfera personale del lavoratore come misure fisiche quali tornelli o barriere e/o controlli a campione da parte del personale direttivo.
Accertato l’approccio cautelativo e favorevole alla tutela dei diritti del lavoratore da parte della normativa privacy nazionale, come risponde il Regolamento Europeo 2016/679 (GDPR) che ne prenderà il posto dal maggio 2018?
Sicuramente non viene abbassata l’attenzione sui dati biometrici che nel GDPR rientrano nella categoria di dati particolari ex art. 9 e quindi richiedono una tutela maggiore rispetto ai dati “comuni” in quanto maggiormente rischiosi per i diritti e le libertà dell’individuo.
Se da un lato viene abolito l’istituto della notificazione all’autorità Garante, dall’altro lato però vige il principio di responsabilizzazione (art. 24) in capo al titolare nel valutare tutti i rischi che il trattamento potrà portare per i diritti e le libertà delle persone fisiche e adottare tutte le misure adeguate per garantire un trattamento lecito. Utile sarà, allora, svolgere una valutazione d’impatto sulla protezione dei dati in quanto – sebbene, per la maggioranza dei casi non si è di fronte ad un trattamento di dati particolari su larga scala di cui all’art. 35 comma 3 lett.b) – l’uso di dati biometrici può presentare rischi elevati per i diritti e le libertà delle persone fisiche (art. 35 comma 1) che necessitano di essere identificati e gestiti. Infine, se, a seguito della valutazione d’impatto, il titolare ritenesse di non disporre di misure adeguate ad attenuare il rischio, egli potrà rivolgersi all’autorità Garante attraverso lo strumento della consultazione preventiva (art. 36). Questi saranno tutti accorgimenti che uno scrupoloso titolare, insieme al Responsabile della protezione dei dati, se nominato, dovrà tenere in conto per valutare la “fattibilità” e la “sostenibilità” di un sistema di rilevazione accessi basato sul riconoscimento biometrico dei dipendenti.
