Trattamento di dati biometrici dei dipendenti: limiti e obblighi per il datore di lavoro
23 Maggio 2023
Massima Specie nell’ambito del rapporto di lavoro, secondo la vigenza del precedente Codice Privacy, il trattamento di dati biometrici è legittimo solo ove il titolare del trattamento abbia preventivamente richiesto una verifica preliminare al Garante ai sensi del previgente art. 17 Codice Privacy. La circostanza secondo la quale il fornitore del sistema di rilevamento del dato biometrico non ha fornito istruzioni al titolare del trattamento non può costituire un’esimente dagli obblighi che incombono sul titolare stesso ai sensi del Codice Privacy. Il caso Il Garante sanzionava con provvedimento 22 febbraio 2018, n. 106 una società dopo aver accertato che quest'ultima utilizzava un sistema di rilevamento biometrico dell'impronta digitale per accertare le presenze giornaliere dei propri dipendenti senza aver presentato istanza di verifica preliminare ai sensi dell'art. 17 d.lgs. 196/2003 (Codice Privacy) e in assenza di notifica al Garante ai sensi degli artt. 37 e 38 del medesimo decreto. Avverso tale provvedimento, la società proponeva reclamo dinanzi al Tribunale di Biella, eccependo che la sanzione amministrativa non avrebbe dovuto essere irrogata per mancanza dell'elemento soggettivo richiesto dall'art. 3 l. 689/1981. Secondo la società, l'errore era stato determinato dalla società fornitrice dei dispositivi in oggetto, la quale non aveva fornito informazioni tecniche sulle modalità di utilizzo e sugli adempimenti necessari e preventivi per attivare l'apparecchio e raccogliere così l'impronta digitale dei dipendenti. Il Tribunale respingeva la richiesta della società dopo aver giudicato irrilevante il rapporto negoziale tra quest'ultima e il fornitore dei dispositivi in oggetto; l'irrilevanza del rapporto determinava che la responsabilità della violazione fosse totalmente in capo alla società opponente. Quest'ultima ricorreva per cassazione lamentando, da un lato, violazione di legge ex art. 360, n. 3 c.p.c. e, dall'altro lato, l'omissione dell'esame di un fatto decisivo ex art. 360, n. 5 c.p.c., facendo riferimento all'assenza di informazioni tecniche fornite dal venditore sugli adempimenti necessari e preventivi per attivare l'apparecchio. Secondo la ricorrente, infatti, si tratta di un fatto decisivo non esaminato che avrebbe comportato l'applicazione dell'esimente di cui all'art. 3 l. 689/1981. La questione La questione in esame era se, in tema di trattamento di dati biometrici dei propri dipendenti, il datore di lavoro andasse sanzionato per non aver presentato l’istanza di verifica preliminare al Garante anche se il software utilizzato era stato messo a disposizione dal fornitore in assenza di informazioni tecniche sugli adempimenti necessari per il suo uso. Le soluzioni giuridiche Innanzitutto, la Cassazione, confermando il suo orientamento sul punto, richiama diverse pronunce (Cass. civ., sez. VI, 8 aprile 2014, n. 8184; Cass. civ., sez. II, 3 settembre 2020, n. 18292) relative ai concetti di responsabilità e organizzazione e ribadisce che in tema di protezione dei dati personali, il titolare del trattamento è la persona giuridica e non il suo legale rappresentante o l'amministratore, venendo in rilievo un'autonoma responsabilità in deroga al principio dell'imputabilità personale della sanzione di cui alla l. n. 689/1981. Tale responsabilità è fondata sul concetto di “colpa in organizzazione”. Da questo principio discendono alcune conseguenze. Non è rilevante il rapporto interno tra la società opponente e il proprio fornitore delle apparecchiature in quanto il datore di lavoro/società opponente, quale titolare del trattamento dei dati personali dei propri dipendenti, ricopre una posizione di garanzia. Solo sul titolare del trattamento gravano i vari adempimenti quali, verifiche e notifiche. Quanto all'elemento soggettivo della società ed all'applicabilità dell'esimente di cui all'art. 3, comma 2 l. 689/1981, è irrilevante la circostanza per cui il sistema di rilevamento a mezzo impronte digitali sia stato offerto come aggiornamento gratuito, in quanto la società opponente ne ha comunque fatto uso, senza procedere alla richiesta di verifica preliminare ed alle necessarie notifiche al Garante, sebbene l'informativa commerciale, messa a disposizione dal fornitore, facesse esplicito riferimento all'uso di dati biometrici. Osservazioni I fatti oggetto dell'ordinanza in esame sono avvenuti prima dell'entrata in vigore del GDPR: ai sensi della previgente normativa, per poter trattare legittimamente i dati biometrici i titolari del trattamento dovevano, preliminarmente, proporre un'istanza di verifica preliminare innanzi al Garante e, solo in caso di esito positivo, potevano procedere con il suddetto trattamento. Il GDPR ha rovesciato questo approccio imponendo al titolare del trattamento di responsabilizzarsi e procedere autonomamente alla valutazione del trattamento che intende istaurare e di rivolgersi successivamente al Garante solo in talune circostanze. Tuttavia, l'ordinanza in esame è comunque di interesse anche sotto l'ombrello del GDPR. Essa comunica principi affini a quanto prevede oggi il GDPR in materia di trattamento di dati biometrici, dopo aver evidenziato la necessità di verifica preliminare del trattamento, l'obbligo di predisporre adeguate tutele e la centralità del titolare del trattamento anche nei casi di utilizzo di tecnologie interamente sviluppate da terze parti. È utile ricordare che l'art. 4.14 GDPR definisce i dati biometrici come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”. Qualora i dati biometrici siano intesi a identificare in modo univoco una persona fisica, si applica la disciplina prevista dall'art. 9 GDPR: vige un generale divieto di trattamento salvo le eccezioni tassativamente elencate nel medesimo articolo affinché il trattamento possa dirsi legittimo. Quando un trattamento prevede in particolare l'uso di nuove tecnologie e presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il GDPR impone di effettuare, prima di procedere al trattamento, una valutazione d'impatto per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli, ai sensi dell'art. 35 GDPR, come peraltro previsto nell'Allegato 1 al provvedimento del Garante 11 ottobre 2018, n. 467 . Al netto degli obblighi di verifica preliminare ed eventuale valutazione d'impatto, resta il nodo della base legale da individuare per trattare i dati biometrici senza incorrere nel divieto di cui al citato art. 9 GDPR, su cui è intervenuto il Garante con provvedimento 10 novembre 2022[doc. web n. 9832838] nei confronti di una società che utilizzava le impronte digitali per la rilevazione delle timbrature dei dipendenti, escludendo il consenso dal novero delle basi legali utilizzabili in ambito lavorativo. Il Garante ha affermato che il consenso del dipendente all'utilizzo dei suoi dati (biometrici) non può costituire, come regola generale, una valida base giuridica in ambito lavorativo alla luce dello sbilanciamento tra le parti nel rapporto di lavoro, che pregiudicherebbe l'effettiva libertà nella manifestazione di volontà del dipendente e la conseguente possibilità di revocare liberamente il proprio consenso, in qualsiasi momento (come più volte ribadito, peraltro dell'EDPB e dal Gruppo di Lavoro Art. 29). Secondo il Garante, l'utilizzo del dato biometrico nel contesto dell'ordinaria gestione del rapporto di lavoro (quale è l'attività di rilevazione delle presenze), al fine di garantire maggiore celerità nelle relative operazioni, non appare conforme ai principi di minimizzazione e proporzionalità del trattamento previsti dall'art. 5 GDPR. |
