Il riconoscimento facciale viola la privacy dei lavoratori. Il Garante per la Protezione dei Dati Personali ha multato cinque datori di lavoro che avevano utilizzato il riconoscimento facciale per accertare la presenza dei lavoratori sul posto di lavoro, trattando in maniera illecita i dati biometrici.
Si tratta dei provvedimenti nn. 9995680, 9995701, 9995741, 9995762, 9995785 del 22 febbraio 2024, che, seppur distinti, hanno un contenuto sovrapponibile.
Alcuni dipendenti avevano presentato reclamo all’Autorità lamentando che, per accedere al posto di lavoro, dovevano utilizzare un rilevatore biometrico, basato sul riconoscimento facciale.
Il Garante ha ricordato che, in base alla normativa posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento).
Il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) del Regolamento).
Pertanto, l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al dichiarato fine di far fronte ad illeciti disciplinari, contenziosi legati alla corresponsione del compenso per il lavoro straordinario nonché a causa della presenza di personale presso il luogo di lavoro, non sarebbe conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).
Secondo il Garante, le Società, al fine di poter contabilizzare le effettive ore di lavoro prestate e di accertare la presenza dei lavoratori sul luogo di lavoro, avrebbe potuto adottate misure utili allo scopo, ma meno invasive per i diritti degli interessati (ad esempio, controlli automatici mediante badge o verifiche dirette).
Inoltre, la valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come riconosciuti sia dall’ordinamento nazionale che in ambito europeo.
Da qui la conclusione secondo la quale il trattamento di dati biometrici dei dipendenti sarebbe stato effettuato in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.
Oltre ad ingiungere il pagamento delle sanzioni amministrative pecuniarie – per importi da 70 mila a 2 mila euro -, il Garante ha chiesto alle Società di comunicare quali iniziative siano state intraprese al fine di cancellare i dati biometrici oggetto di conservazione sui dispositivi, e di fornire comunque riscontro adeguatamente documentato entro il termine di 90 giorni dalla data di notifica del provvedimento, pena l’applicazione di un’ulteriore sanzione amministrativa.
Si segnala che anche il Regolamento in materia di Intelligenza Artificiale. approvato dal Parlamento europeo lo scorso 13 marzo 2024, si è occupato del trattamento dei dati biometrici (avevamo parlato dell’approvazione della bozza della normativa in Intelligenza artificiale: il Parlamento Europeo ha approvato la bozza dell’AI ACT). Il nuovo Regolamento vieta, ad esempio, i sistemi di categorizzazione biometrica delle persone fisiche sulla base di dati biometrici per dedurne o desumerne la razza, le opinioni politiche, l’appartenenza sindacale, le convinzioni religiose o filosofiche, la vita sessuale o l’orientamento sessuale, così come i sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e negli istituti scolastici, eccetto per motivi medici o di sicurezza (ad esempio il monitoraggio dei livelli di stanchezza di un pilota). È del pari vietato, salve alcune eccezioni, l’uso di sistemi per l’identificazione biometrica remota “in tempo reale” di persone fisiche in spazi accessibili al pubblichi (cioè, il riconoscimento facciale mediante telecamere a circuito chiuso) ai fini di attività di contrasto. Le forze dell’ordine potranno utilizzare l’identificazione in tempo reale, ma con il rispetto di garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa.