Legittimo controllare le presenze con l'impronta digitale.
Il GDPR consente in taluni casi il ricorso dei dati biometrici.
L’ordinanza 15 ottobre 2018 n. 25686 della Corte di Cassazione, ha confermato la legittimità della ingiunzione con la quale in data 11 novembre 2012 il Garante della Privacy aveva irrogato la sanzione pecuniaria ad una ditta che aveva adottato un badge basato su dati biometrici (impronta digitale trasformata in algoritmo), che permetteva di risalire al lavoratore che aveva avuto accesso ad un locale aziendale. La Suprema Corte non ha affatto contestato la legittimità in sé del trattamento del dato biometrico del dipendente, riconoscendolo effettuato “in attuazione dello scopo dichiarato e in sé legittimo di controllarne la presenza”, ma ha stimmatizzato come il datore di lavoro non avesse effettuato la preventiva notificazione al Garante, ai sensi dell'art. 37 D. Lgs. n. 196 del 2003.
Si rileva però che il predetto articolo 37 è stato abrogato dall’ art. 27, comma 1, lett. a), n. 2), D. Lgs. 10 agosto 2018, n. 101, cioè dal decreto legislativo di attuazione del Regolamento UE 679/2016: il cosiddetto General Data Protection Regulation, in sigla GDPR.
La decisione della Suprema Corte è stata quindi sfavorevole all’azienda solo perché relativa ad una sanzione di sei anni fa (11-11-2012).
La vigente normativa sulla privacy (cfr. al riguardo l’art. 9 del GDPR), pur vedendo con disfavore il trattamento di “dati biometrici intesi ad identificare in modo univoco una persona fisica”, lo consente in alcuni casi particolari: a) presenza di un accordo tra le parti con consenso dell’interessato al detto trattamento; b) necessità di proteggere un interesse vitale dell’interessato o di un’altra persona fisica che si trovi in una situazione di incapacità, fisica o giuridica, a prestare esplicitamente il proprio consenso al trattamento in questione; c) per accertare o far valere un diritto, in sede giudiziale o stragiudiziale; d) per motivi di particolare interesse pubblico e per finalità di tutela della salute; e) nell’ambito dei rapporti di lavoro e previdenziali.
Il GDPR, nell’ambito dei rapporti di lavoro, non vieta dunque il ricorso ai dati biometrici, purché il trattamento in questione sia lecito anche ai sensi del primo comma lett. f dell’art. 6 del GDPR che lo riconnette al perseguimento di un legittimo interesse.
Nel caso di specie, il legittimo interesse sussiste ed è correlato alla registrazione degli accessi e delle presenze dei lavoratori.
Ad essa, ai sensi del secondo comma dell’art. 4 della legge 300/70, come novellato dal d.lgs. 151/2015, non si applica di per sé neppure la previsione del primo comma del predetto articolo, che presuppone la sussistenza di un accordo sindacale o di una autorizzazione amministrativa dell’Ispettorato del Lavoro.
Peraltro, si osserva per completezza, che qualora il badge in uso, per le sue caratteristiche tecniche, fosse idoneo a rilevare non solo l’entrata ed uscita dall'azienda, ma anche le sospensioni, i permessi e le pause (magari comparando nell'immediatezza i dati di tutti i dipendenti), sarebbe rinvenibile una funzione di controllo a distanza del rispetto dell'orario di lavoro e della correttezza dell'esecuzione della prestazione. In tal caso, tornerebbe di conseguenza necessario il previo accordo sindacale o in alternativa l’autorizzazione amministrativa prevista dall’art. 4 cit. (cfr. Cass. 17531/2017; Cass. 9904/2016; Cass. 2531/2016).
Nell’ambito dei rapporti di lavoro il ricorso al trattamento dei dati biometrici è quindi di regola possibile, con o senza l’accordo sindacale o l’alternativa autorizzazione amministrativa.Ma è consigliabile l’effettuazione della valutazione di impatto prevista dal primo comma del settimo comma dell’art. 35 GDPR quando un certo trattamento, che comporta l’uso di nuove tecnologie, possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Detta valutazione di impatto consiste in una descrizione del trattamento effettuato, delle sue finalità, dei rischi per la privacy e delle misure poste in essere per affrontare detti rischi. (LC)
