Lavoro e privacy: riconoscimento facciale dei dipendenti e controllo dell’attività lavorativa

Il Garante per la protezione dei dati personali ha precisato che il riconoscimento facciale dei lavoratori per il rilevamento delle presenze è illecito, in quanto non autorizzato dalla legge.

Con provvedimento n. 338 del 6 giugno 2024 il Garante Privacy ha sanzionato una Società per aver trattato illecitamente i dati personali dei dipendenti, mediante l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro, nonché tramite un software gestionale con cui ogni dipendente era tenuto a registrare i tempi e le modalità di esecuzione dei lavori e i tempi di inattività.

Il reclamo presentato al Garante

All’esito dell’attività ispettiva del Garante, generata dal reclamo di un privato, è emerso che la Società aveva richiesto ai propri dipendenti di registrare l’orario di entrata e uscita dal lavoro, i tempi e le modalità delle prestazioni lavorative, nonché di specificare le ore dedicate a ogni intervento e le eventuali pause. In particolare, allo scopo di rilevare e registrare tutte le informazioni richieste, la Società utilizzava:

• un software gestionale mediante il quale i dipendenti dovevano registrare le ore di lavoro, le pause e le tempistiche dedicate ad ogni intervento;
• un hardware consistente in un sistema biometrico di controllo accessi e rilevamento presenze, con cui venivano registrate le presenze e gli orari di entrata e uscita dal lavoro, mediante il riconoscimento facciale dei dipendenti.

Con riferimento al caso in oggetto, il Garante ha accertato molteplici condotte contrarie al GDPR, sia sotto il profilo del trattamento dei dati personali realizzato con l’ausilio del software, sia per quanto concerne il trattamento effettuato tramite l’utilizzo dell’hardware.

Il sistema biometrico di rilevamento delle presenze

La Società sosteneva che l’utilizzo del sistema biometrico sarebbe stato diretto alla rilevazione delle presenze in servizio dei dipendenti e reso necessario dall’esigenza di migliorare la qualità e l’efficienza del servizio.

Tuttavia, il Garante ha precisato che, già con il provvedimento n. 513 del 12.11.2014, aveva chiarito che il trattamento dei dati biometrici si realizza sia nella fase di registrazione (cosiddetto enrolment), vale a dire nella fase di acquisizione delle caratteristiche biometriche dell’interessato (come, nel caso di specie, le caratteristiche del volto), sia nella fase di riconoscimento biometrico (facciale), da effettuarsi al momento della rilevazione delle presenze.

Dunque, si è ribadito che, anche in caso di estrazione del cosiddetto template, ad avviso del Garante, tramite il riconoscimento facciale dei lavoratori, si sarebbe realizzato un effettivo trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dal GDPR.

A tal proposito, si evidenzia che i dati biometrici rientrano nel novero delle cosiddette categorie particolari di dati e il relativo trattamento è, di regola, vietato ai sensi dell’art. 9, par. 1, GDPR, essendo consentito esclusivamente al ricorrere di una delle condizioni indicate al paragrafo 2: nello specifico, con riguardo ai trattamenti effettuati in ambito lavorativo, tale trattamento è consentito solamente quando è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale; inoltre, è ammesso solamente a condizione che sia autorizzato dal diritto UE o degli Stati membri, oppure da un CCNL e in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. b, GDPR).

Di conseguenza, affinché tale trattamento possa essere lecitamente realizzato, è essenziale che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia i requisiti richiesti dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire: l’art. 2-septies del Codice della Privacy stabilisce che il trattamento dei dati biometrici può essere effettuato conformemente alle misure di garanzia disposte dal Garante in relazione a ciascuna categoria di dati, oltre che nel rispetto delle condizioni previste dal citato art. 9, par. 2, del Regolamento.

Attualmente, tuttavia, il vigente ordinamento non consente il trattamento dei dati biometrici dei dipendenti (come il riconoscimento facciale nel caso di specie) per finalità di rilevazione della presenza in servizio, e ciò è stato ribadito dal Garante con molteplici provvedimenti (cfr. nn. 105, 106, 107 e 109 del 22 febbraio 2024), mediante i quali la richiamata Autorità ha dichiarato l’illiceità dei trattamenti effettuati.

Si ricorda, inoltre, che il datore di lavoro, in qualità di titolare del trattamento, è tenuto in ogni caso a osservare i principi generali in materia di trattamento dei dati personali, tra cui i principi di liceità, correttezza e trasparenza, il principio di minimizzazione e quello di limitazione delle finalità (art. 5, par. 1, lett. a, b, c del Regolamento).

Pertanto, il Garante ha rilevato che, nel caso di specie, l’utilizzo del dato biometrico (ovvero il riconoscimento facciale) per la rilevazione delle presenze dei dipendenti in servizio, senza peraltro che fosse stato previsto un sistema alternativo per la verifica dell’orario di lavoro, risulta contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5, par. 1, lett. c del Regolamento.

Nello specifico, la valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto, inoltre, dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo: cfr. D.L. 10/5/2023, n. 51, conv. in L. 3/7/2023, n. 87, che con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all’impiego di sistemi di riconoscimento facciale nel rispetto del principio di proporzionalità previsto dall’articolo 52 della Carta dei diritti fondamentali dell’Unione europea”.

Inoltre, con riguardo alla conservazione del dato raccolto, è risultato che il dato biometrico riferito al dipendente venisse cancellato dalla Società solo a seguito della cessazione del rapporto lavorativo e ciò in evidente contrasto con quanto disposto dal Garante nel richiamato provvedimento del 12.11.2014, in base al quale tali campioni biometrici possono essere trattati solamente nel corso delle fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non devono essere memorizzati, se non per il tempo strettamente necessario alla generazione del modello stesso.

Di conseguenza, tale trattamento non è conforme neppure al principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e, GDPR il quale, diversamente, impone che i dati siano conservati per un tempo non superiore al conseguimento delle finalità per le quali sono raccolti.

Inoltre, evidenzia il Garante, nell’ambito del rapporto di lavoro, il consenso manifestato dai dipendenti rispetto all’utilizzo di sistemi di riconoscimento facciale non può essere ritenuto idoneo presupposto di liceità e ciò alla luce dell’asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso.

Infine, anche l’informativa predisposta dall’azienda era risultata carente e inidonea a rappresentare, in maniera completa, le caratteristiche principali del trattamento, nonché le cautele adottate, la natura obbligatoria o facoltativa del conferimento del dato rispetto alla finalità perseguita e la possibilità di utilizzare, in alternativa al sistema biometrico, il sistema tradizionale basato sul badge.

In conclusione, il Garante ha accertato che la Società ha effettuato un trattamento di dati biometrici in violazione degli artt. 5, par. 1, lett. a, c, e, 9, par. 2, lett. b e 13 GDPR.

L’utilizzo del software gestionale

L’Autorità ha, altresì, accertato che, mediante un software gestionale, la Società, da più di sei anni, raccoglieva dati personali riguardanti le attività dei dipendenti per redigere report mensili da trasmettere alla casa madre, riportanti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate.

In particolare, dagli accertamenti svolti, era emerso come i dipendenti fossero tenuti a registrare nel gestionale le diverse fasi dell’attività lavorativa, comprese le pause, con l’indicazione della specifica causale (ad esempio riposo, attesa ricambi, ecc.).

Sul punto, il Garante ha rilevato che l’azienda non ha consentito all’Autorità di avere piena contezza del trattamento effettuato, di conoscere la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati e di valutarne l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire.

Peraltro, tali informazioni non erano state portate neppure a conoscenza dei dipendenti, ai quali era stata fornita un’informativa incompleta e del tutto inidonea a rappresentare compiutamente il trattamento effettuato.

A tal proposito, il Garante ricorda che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è espressione del dovere di correttezza (art. 5, par. 1, lett. a GDPR).

Del pari, non era rinvenibile nei documenti prodotti in atti, tra cui l’informativa, un’idonea base giuridica tra quelle elencate all’art. 6 del GDPR.

In conclusione, anche in questo ulteriore ambito, è emerso che il trattamento dei dati è stato effettuato dall’azienda in violazione dei principi di liceità, correttezza e trasparenza, di cui agli artt. 5, par. 1, lett. a, 6 e 13 GDPR.

Le sanzioni previste dal Garante Privacy

Alla luce delle valutazioni effettuate, è stata irrogata la sanzione amministrativa pari ad euro 120.000,00.

Inoltre, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, è stata richiesta la pubblicazione in chiaro del provvedimento sul sito Internet del Garante.

Infine, il Garante ha richiesto alla Società di comunicare le iniziative intraprese per:

• conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento;
• cessare il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale e di fornire comunque riscontro adeguatamente documentato entro il termine di 90 giorni dalla data di notifica del provvedimento;

L’eventuale mancato riscontro può comportare l’applicazione dell’ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e del Regolamento.