Il trattamento di dati biometrici in ambito lavorativo è consentito solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).
Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento.
Il datore di lavoro, titolare del trattamento, è tenuto a rispettare, in ogni caso, i principi di protezione dei dati personali, tra i quali quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).
Questi sono i principi che ha ribadito il Garante privacy nell’ambito del provvedimento (qui il testo) mediante il quale ha sanzionato un istituto di istruzione per aver impiegato un sistema di riconoscimento biometrico che richiedeva l’uso delle impronte digitali del personale amministrativo al fine di rilevarne la presenza e prevenire danneggiamenti ed atti vandalici.
Secondo il Garante, il trattamento dei dati personali biometrici dei dipendenti effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio era stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.
Nel richiamare alcuni precedenti provvedimenti, il Garante ha avuto modo di chiarire che il difetto di base giuridica, in merito al trattamento dei dati biometrici, non può essere colmato neppure dal consenso dei dipendenti, che l’Istituto aveva dichiarato di aver acquisito, assicurando altresì ai dipendenti che non lo avessero rilasciato la possibilità di attestare la propria presenza in servizio senza conferire a tal fine dati biometrici. Ciò in quanto – secondo il Garante - alla luce della asimmetria tra le parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, “il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro”.
Si precisa che, nel definire la sanzione (quantificata in € 4.000,00), il Garante ha tenuto conto sia della collaborazione offerta dall’Istituto nell’ambito dell’istruttoria sia l’assenza di precedenti violazioni analoghe commesse dal medesimo istituto.
In argomento si veda anche Riconoscimento facciale dei lavoratori: no del Garante Privacy.