Condividi su:

Sempre più spesso in questi ultimi anni si sente parlare dei “furbetti del cartellino”,ormai così denominati dalla stampa per indicare chi elude il sistema di riconoscimento (cosiddetto badge) all’entrata e all’uscita dal posto di lavoro, in modo da risultare presente, mentre in realtà non lo è.

I datori di lavoro, pubblici e privati, hanno sempre cercato di escogitare soluzioni tecnologiche alternative e/o rafforzative dei tradizionali sistemi di controllo, adottando, per esempio, i sistemi di controllo biometrici, mediante acquisizione dell’impronta digitale o mediante l’acquisizione dell’immagine fotografica del volto del dipendente o delle impronte della mano.

Dobbiamo chiederci, però, se tali tecnologie siano consentite nell’ambito del rapporto di lavoro e quali siano i limiti di utilizzo imposti, sia dall’impianto normativo giuslavoristico (Statuto dei Lavoratori), sia dalla normativa sulla protezione dei dati personali.

Un sistema informatico di riconoscimento biometrico è pensato per identificare una persona sulla base di una o più caratteristiche biologiche,  confrontandole, tramite degli algoritmi, con dei dati precedentemente acquisiti e memorizzati nel database del sistema. Il ricorso ad un sistema di rilevamento delle presenze in ambito lavorativo tramite tecniche biometriche rende necessaria un’attenta valutazione dei diritti dei dipendenti coinvolti ed una successiva contemperazione degli stessi con le esigenze di controllo da parte del datore di lavoro.

I dati biometrici rientrano fra le categorie particolari di dati, per i quali il Legislatore comunitario e nazionale in materia di privacy pone una specifica attenzione, vietandone in generale il trattamento, tranne che per alcune particolari situazioni, indicate dall’articolo 9 comma 2 e confermate dal D.Lgs. 196/2003 così come riformato dal D. Lgs. 101/2018. Inoltre, l’Autorità Garante italiana, nel provvedimento  n. 513 del 12.11.2014 (Registro provvedimenti), ha specificato che l’accesso al luogo di lavoro mediante rilevazione biometrica potrà essere utilizzato solo per particolari locali o aree aziendali “sensibili”, oppure per particolari esigenze di sicurezza non soddisfatte da metodi alternativi.

Vi è da considerare, inoltre,lo Statuto dei Lavoratori ed in particolare l’art. 4, il quale dispone che: “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati….” , previo accordo con il Sindacato, o in mancanza di questo, mediante autorizzazione dell’Ispettorato del lavoro.

Potremmo, pertanto, pensare che, una volta fornita al lavoratore l’informativa ex art. 13 GDPR ed ottenuto il suo consenso e successivamente redatta la valutazione d’impatto sulla protezione dei dati personali (ex art. 35 GDPR), ottenuta inoltre l’autorizzazione dei Sindacati o dell’Ispettorato del lavoro, il datore di lavoro potrebbe legittimamente installare i sistemi di rilevazione presenze basati sui dati biometrici.

E’ proprio così? Con la recente ordinanza di ingiunzione del 14.01.2021 (Ord. n.5 del 14/01/2021 Registro Provv.) il Garante ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. In tale occasione, il Garante  riafferma i principi cardine del trattamento dei dati, quali la necessità e la proporzionalità. In pratica, il trattamento dei dati biometrici non è ammissibile per finalità di ordinaria gestione del rapporto di lavoro ed in particolare per controllare la presenza dei dipendenti sul posto di lavoro ed i relativi orari. Tale trattamento risulta infatti sproporzionato, potendo tale finalità essere raggiunta con mezzi meno invasivi della sfera privata del lavoratore. L’uso dei sistemi di rilevazione biometrica deve avere una base normativa che sancisca la “proporzionalità” dell’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Si dovranno inoltre stabilire le garanzie per circoscrivere gli ambiti di applicazione della rilevazione dei dati biometrici, oltre a regolare le principali modalità del trattamento dei dati. Inoltre, dovranno essere adottate le misure di sicurezza adeguate per la conservazione dei dati e per fronteggiare tempestivamente le ipotesi di violazione degli stessi e prevedere una procedura per dare seguito ad eventuali richieste di esercizio dei diritti, oltre alla creazione di una policy aziendale.

Vi è da tener conto, infine, delle Linee guida 3/2019 dell’EDPB (Comitato europeo per la protezione dei dati) sul trattamento dei dati personali attraverso dispositivi video.