Illegittimo il trattamento dei dati biometrici per il rilevamento delle presenze ed il controllo dell’attività dei dipendenti
Nel caso del provvedimento n. 338 del 6 giugno 2024 dell’Autorità Garante per la protezione dei dati personali, un datore di lavoro richiedeva ai propri dipendenti di registrare le prestazioni lavorative e le manutenzioni da svolgere, ovvero i tempi e le modalità di intervento sui veicoli in riparazione assegnati e i tempi di inattività tramite l’utilizzo di un software gestionale con sistema biometrico, finalizzato alla rilevazione delle presenze in servizio dei dipendenti in ragione dell’esigenza di migliorare la qualità e l’efficienza del servizio.
Il Garante per la protezione dei dati personali ha già in passato chiarito che con riferimento ai dati particolari e riguardo ai trattamenti effettuati in ambito lavorativo, la normativa dispone che tale trattamento sia consentito solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Ciò significa che, affinché un trattamento avente a oggetto dati biometrici possa essere lecitamente realizzato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.
Con riferimento al trattamento dei dati biometrici, il Garante ha ribadito nuovamente che l’utilizzo di tali dati non è consentito perché non esiste nessuna norma di legge che al momento attuale preveda l’utilizzo del dato biometrico per la rilevazione delle presenze.
Pertanto, l’Autorità garante ha rilevato che l’utilizzo del dato biometrico per la rilevazione delle presenze in servizio, senza tra l’altro che fosse stato previsto un sistema alternativo, risulta contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5, par. 1, lett. c) del Regolamento.
Infine l’Autorità, oltre a sanzionare la società datrice di lavoro per euro 120.000,00, ha ordinato di conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni della normativa privacy.