Impronte digitali per timbrare il cartellino? Arriva il divieto del Garante Privacy
lentepubblica.it
Negli ambienti di lavoro italiani torna al centro dell’attenzione il delicato equilibrio tra esigenze organizzative e tutela della riservatezza dei dipendenti.
Con un recente provvedimento, il Garante per la protezione dei dati personali ha confermato un principio già più volte affermato negli ultimi anni: le impronte digitali non possono essere utilizzate per registrare l’orario di ingresso e uscita dei lavoratori, salvo specifiche eccezioni previste dalla legge.
L’Autorità è intervenuta a seguito di un’istruttoria che ha riguardato una società cooperativa che aveva installato dispositivi biometrici destinati alla rilevazione delle presenze del personale. L’esito del procedimento ha portato al divieto di proseguire il trattamento dei dati raccolti, all’ordine di cancellazione delle informazioni conservate e all’applicazione di una sanzione amministrativa di 15.000 euro.
Perché le impronte digitali non possono essere usate per il controllo delle presenze
L’elemento centrale della decisione riguarda la natura stessa delle impronte digitali. Si tratta infatti di dati biometrici, una categoria particolarmente sensibile di informazioni personali che consente l’identificazione univoca di una persona.
Secondo il quadro normativo europeo e nazionale, questi dati godono di una tutela rafforzata e il loro utilizzo è consentito soltanto in presenza di specifiche condizioni previste dalla legge. Il semplice obiettivo di verificare gli orari di lavoro non costituisce, di per sé, una ragione sufficiente per giustificare il ricorso a strumenti così invasivi.
Nel caso esaminato dal Garante, la società aveva introdotto il sistema biometrico con l’intento di ottenere una registrazione più precisa delle entrate e delle uscite dei dipendenti. Tuttavia, durante gli accertamenti è emerso che la stessa finalità poteva essere raggiunta attraverso modalità meno intrusive, come i tradizionali sistemi di timbratura già presenti nelle sedi interessate.
Proprio questo aspetto è stato considerato decisivo dall’Autorità, che ha richiamato il principio di minimizzazione dei dati: il titolare del trattamento deve sempre scegliere lo strumento meno impattante possibile rispetto all’obiettivo perseguito.
L’intervento del Garante e le irregolarità riscontrate
L’attività ispettiva è stata avviata dopo una segnalazione relativa alla presenza di dispositivi per il riconoscimento delle impronte digitali installati presso alcune sedi operative.
Le verifiche successive hanno confermato che i lavoratori erano tenuti a utilizzare tali apparecchi per registrare la propria presenza in servizio. Dall’istruttoria sono emerse numerose criticità.
Oltre all’assenza di una base giuridica che consentisse il trattamento dei dati biometrici, il Garante ha rilevato ulteriori violazioni della normativa privacy. In particolare, la società non aveva predisposto una corretta informativa destinata ai dipendenti, non aveva effettuato una valutazione d’impatto preventiva sui rischi derivanti dal trattamento dei dati biometrici e non disponeva del registro delle attività di trattamento richiesto dal Regolamento europeo sulla protezione dei dati personali (GDPR).
Un ulteriore elemento aggravante è stato il mancato riscontro a una precedente richiesta di informazioni formulata dall’Autorità, circostanza che ha reso necessario l’intervento del Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza.
I dati biometrici richiedono garanzie particolari
La decisione rappresenta un ulteriore richiamo per datori di lavoro pubblici e privati. Le impronte digitali, così come altri sistemi di identificazione biometrica basati su caratteristiche fisiche o comportamentali delle persone, non possono essere considerate strumenti ordinari per la gestione del personale.
Il GDPR attribuisce a queste informazioni una protezione speciale proprio perché, una volta compromesse, non possono essere sostituite come avviene per una password o un badge aziendale.
Per questo motivo il legislatore europeo impone requisiti particolarmente rigorosi e limita fortemente le circostanze in cui tali dati possono essere raccolti e utilizzati.
Nel contesto lavorativo, il ricorso alla biometria può essere ammesso solo in situazioni eccezionali, generalmente collegate a esigenze di sicurezza particolarmente elevate, accessi ad aree sensibili o tutela di beni di particolare valore. Non rientra invece tra queste ipotesi la semplice registrazione delle presenze quotidiane.
Cosa devono fare le aziende
Il provvedimento costituisce un importante monito per tutte le organizzazioni che stanno valutando l’introduzione di sistemi biometrici.
Prima di adottare tecnologie che trattano dati appartenenti a categorie particolari è necessario verificare attentamente la presenza di una base normativa che ne consenta l’utilizzo, effettuare le necessarie valutazioni di impatto e garantire la piena trasparenza nei confronti degli interessati.
L’orientamento dell’Autorità appare ormai consolidato: per monitorare gli orari di lavoro devono essere privilegiati strumenti meno invasivi, capaci di raggiungere lo stesso risultato senza incidere in modo eccessivo sui diritti e sulle libertà dei lavoratori.
La decisione conferma dunque che l’innovazione tecnologica non può prescindere dal rispetto delle regole in materia di protezione dei dati personali. Anche quando l’obiettivo perseguito è legittimo, come la corretta rilevazione delle presenze, la scelta degli strumenti deve sempre rispettare i principi di necessità, proporzionalità e minimizzazione previsti dalla normativa europea.
Il testo del provvedimento
The post Impronte digitali per timbrare il cartellino? Arriva il divieto del Garante Privacy appeared first on lentepubblica.it.
Qual è la tua reazione?
Mi piace
0
Antipatico
0
Lo amo
0
Comico
0
Wow
0
Triste
0
Furioso
0
Redazione Eventi e News
Commenti (0)