Trattamento di dati biometrici per finalità di rilevazione delle presenze

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – Le Pubbliche Amministrazioni non sono legittimate al trattamento dei dati biometrici dei dipendenti per finalità di rilevazione delle presenze, non sussistendo, allo stato, alcuna base giuridica idonea a soddisfare i requisiti di legge.

Massima (2) – Il datore di lavoro non può utilizzare il consenso dei dipendenti come base giuridica per il trattamento dei dati biometrici degli stessi, ancorché per finalità di rilevazione delle presenze.

Provvedimento: GPDP, Docweb n. 9542071 del 14 gennaio 2021

Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9542071

Keywords: dati biometrici, rilevazione presenze, trattamento dei dati, categorie particolari di dati, ordinanza ingiunzione, p.a.

Riferimenti normativi: GDPR, art. 5, par. 1, lett. a), art. 6 e art. 9

Data del commento: 21 settembre 2021

Massima e Commento di Marco Zanon

1. Il caso

Nel caso in esame, il Garante per la Protezione dei Dati Personali ha avviato un’istruttoria, conclusasi con adozione di ordinanza-ingiunzione, nei confronti dell’Azienda Sanitaria Provinciale di Enna; quest’ultima aveva adottato nelle proprie sedi un sistema che consentiva il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze (impronta biometrica). Nonostante tale sistema fosse stato adottato onde avere maggiore certezza nella rilevazione delle presenze e scoraggiare fenomeni di assenteismo, il Garante ha ritenuto che, così agendo, l’Azienda Sanitaria svolgesse un trattamento di dati personali non coperto da base giuridica (a maggior ragione concernendo “categorie particolari di dati personali” ex art. 9, comma 1, del GDPR) e, pertanto, illecito; da qui la sanzione irrogata.

Da segnalare, stante la delibera n. 352 del 25 febbraio 2021 della ASP di Enna, che il provvedimento qui analizzato è verosimilmente sub iudice, essendo stato conferito mandato legale per la sua impugnazione in giudizio.

2. Le questioni

La questione principale riguarda il trattamento di dati personali afferente a “dati biometrici intesi a identificare in modo univoco una persona fisica”, quale l’impronta biometrica. Ci si chiede: (i) se la finalità di rilevazione delle presenze e scoraggiare l’assenteismo sia una giustificazione sufficiente ad escludere il divieto ex art. 9, comma 1, del GDPR (rectius: se si rientri in uno dei casi espressamente disciplinati nel comma 2 dell’art. 9 cit.); (ii) se sia lecito un tale trattamento di dati effettuato da un datore di lavoro (e di natura pubblica) nei confronti dei propri dipendenti, pur in presenza di molteplici sedi e di un numero rilevante di dipendenti (ancorché dichiaratamente informati della cosa, cui avrebbero prestato esplicito consenso); (iii) se tale trattamento sia lecito, considerando la temporaneità dello stesso e la non memorizzazione di tali dati.

Il Garante, con il provvedimento in esame, ritiene che a tali quesiti si debba dare risposta negativa e si condividono le argomentazioni spese dallo stesso.

2.1. Finalità di raccolta dei dati e base giuridica.

I dati personali devono essere raccolti per finalità «legittime e successivamente trattati in modo che non sia incompatibile con tali finalità» nonché «limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”)» (art. 5 del GDPR). Qui non vi è un’esplicita previsione normativa che consenta al datore di lavoro la raccolta di dati biometrici per la rilevazione delle presenze. L’Azienda Sanitaria ha sostenuto che vi sia obbligo di contrastare l’assenteismo ex legge n. 56 del 2019 (peraltro ora abrogata in alcuni punti dalla legge n. 178 del 2020, legge di bilancio del 2021), ma nei predetti testi normativi non sono contenute espresse autorizzazioni in tal senso. Ancora, la “scriminante” invocata prevista dall’art. 9, comma 2, lettera b) del GDPR («assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale») risulta inconferente al caso in esame, poiché qui non trattasi di prevenzione e protezione dagli infortuni, né un obbligo generico quale quello posto dalla legge 56/2019 (in contrasto all’assenteismo) può fondare un’eccezione in tal senso (rectius: la ricorrenza della citata “scriminante”); il tutto senza considerare che l’eventuale eccezione, in ogni caso, deve essere disposta «in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato» [art. 9, co. 2, lett. b), cit.], non ricorrente qui.

Mancando la base giuridica come sopra evidenziato, consegue la risposta negativa anche al potere (insussistente) del datore di lavoro di rilevare le presenze dei propri dipendenti mediante riconoscimento dell’impronta biometrica. Per quanto concerne il pubblico impiego, il d.lgs. n. 165 del 2001 non prevede deroghe alla vigente normativa in materia di protezione dei dati personali; la già cit. l. n. 59 del 2019, invece, rimanda a decreti attuativi previo parere del Garante, mancanti nel caso di specie.

2.2. La (non) rilevanza del consenso degli interessati.

Sul punto del consenso, premesso che l’istruttoria ha fatto emergere come l’Azienda Sanitaria abbia diffuso le informative e raccolto il consenso solo in seguito all’apertura del procedimento del Garante, il provvedimento qui analizzato ricorda come «Né il difetto di base giuridica, in merito al trattamento dei dati biometrici, può essere superato dal consenso dei dipendenti posto che, come peraltro ribadito di recente dal Garante (da ultimo, provv. n. 35 del 13 febbraio 2020, doc. web n. 9285411) non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro». Alla medesiam conclusione in Garante perviene sul punto del “legittimo interesse”, non previsto dall’art. 9, comma 2, del GDPR e, peraltro, non costituente «idonea deroga al generale divieto di trattare categorie particolari di dati personali».

Quanto sin qui enucleato rivela anche come non sia consentito porre in essere il predetto trattamento, da ritenersi illecito, pur se questo sia temporaneo e non vi sia alcuna memorizzazione di dati (nel caso di specie il sistema di riconoscimento associava l’impronta biometrica ai dati di matricola del lavoratore, cancellandoli subito): l’assenza di una condizione di liceità travolge anche ogni eventuale questione di durata e di memorizzazione dei dati trattati.

3. Precedenti

Il Garante si è già occupato della materia con il “Provvedimento generale prescrittivo in tema di biometria, 12 novembre 2014, n. 513”, Docweb n. 3556992. Come indicato nel provvedimento qui in esame, in molti casi il Garante ha valutato non proporzionato il relativo trattamento dei dati (Provv.ti 30 maggio 2013 nn. 261 e 262 e 1° agosto 2013, n. 384, Docweb nn. 2502 951, 2503101 e 2578547 nei confronti di alcuni istituti scolastici; ma anche 31 gennaio 2013, n. 38, Docweb n. 2304669 nei confronti di un Comune; v. anche il provv. n. 249 del 24 maggio 2017, Docweb n. 6531525, avente ad oggetto la carta multiservizi del Ministero della difesa), mentre in alcuni casi limitati lo ha ammesso (provv. 15 settembre 2016 n. 357, Docweb n. 5505689).

In materia si segnala Cass., sez. II, ord. n. 25686 del 2018, con la quale la Suprema Corte, accogliendo il ricorso del Garante avverso una sentenza che aveva annullato un’ordinanza di ingiunzione, ha rigettato senza rinvio il ricorso introduttivo della società ingiunta, che aveva adottato misure di rilevazione delle presenze tramite verifica delle impronte biometriche. Pur in vigenza della precedente normativa in materia di dati personali (d.lgs. n. 196 del 2003, nel testo anteriore alla riforma del 2018), la Cassazione, nell’ord. cit., precisa come a nulla rilevi la mancata registrazione in banca dati dei dati biometrici raccolti, in quanto «ciò che rileva al predetto fine è che il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica, in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza. Il sistema adottato dalla società resistente comporta un trattamento di dati biometrici, come tale assoggettato [nella previgente normativa, n.d.r.]innanzitutto e in via assorbente alla preventiva notificazione al Garante, ai sensi dell’art. 37 d.lgs. n. 196 del 2003, nella specie non avvenuta». Pur se l’accoglimento deriva da un adempimento di legge non effettuato, la pronuncia è interessante per la precisazione sostanziale sul trattamento di dati biometrici.

4. Bibliografia

Per approfondimenti sulla tematica della rilevazione delle presenze si può vedere inter alios in ambito generale L. Cairo, Controlli a distanza: passato e presente di un tema ancora controverso (Nota a Cass., sez. lav., 14 luglio 2017, n. 17531; Cass., sez. lav., 18 luglio 2017, n. 17723), in Il Lavoro nella giurisprudenza, 2018, 2, pp. 150-160 e, con specifico riferimento alla tematica del lavoro “agile” (c.d. “smart working”), E. Raimondi, Potere di controllo, tutela della riservatezza e “lavoro agile”, in Rivista giuridica del lavoro e della previdenza sociale, 2019, 1, pt. 1, pp. 69-92, pt. 1. Nello specifico ambito sanitario e dei dati biometrici si segnalano M. Panebianco, Il trattamento dei dati nel Sistema Sanitario Nazionale italiano alla luce del Provvedimento del Garante del 7 marzo 2019, in Ciberspazio e Diritto, 2019, 1-2, pp. 241-269 e F. Fontanarosa, Dati biometrici e tutela della “privacy” tra divergenze giuridiche ed esigenze di unificazione, in Annuario di diritto comparato e di studi legislativi, 2019, pp. 807-844, pt. 3.