Con la newsletter n. 520 del 28 marzo 2024, il Garante della Privacy ha reso noto che l’utilizzo da parte del datore di lavoro di un sistema biometrico basato sul riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Il Garante fa presente, infatti, che non esiste alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento GDPR n. 2016/679, per svolgere una tale attività e per questo motivo ha sanzionato un gruppo di società – impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti – con varie sanzioni dai 2mila ai 70mila euro per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori. Si ricorda che, ai sensi dell’art. 4, n. 14 del Regolamento GDPR, i dati biometrici sono definiti come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Per restare in tema, anche lo stesso Regolamento in materia di AI approvato il 13 marzo scorso dal Parlamento Europeo (v. News del 15 marzo 2024) ha confermato le criticità dell’utilizzo di sistemi di identificazione biometrica basati sul riconoscimento facciale mediante telecamere a circuito chiuso a fini di attività di contrasto, annoverandolo tra i sistemi vietati (con limitate eccezioni). Il citato Regolamento fornisce, altresì, una definizione di “identificazione biometrica” come “riconoscimento automatico di caratteristiche fisiche, fisiologiche e comportamentali di una persona, quali il volto, il movimento degli occhi, la forma del corpo, la voce, la prosodia, l’andatura, la postura, la frequenza cardiaca, la pressione sanguigna, l’odore, la pressione esercitata sui tasti, allo scopo di determinare l’identità di una persona confrontando i suoi dati biometrici con quelli di altri individui memorizzati in una banca dati di riferimento, indipendentemente dal fatto che la persona abbia fornito il proprio consenso”.
Tornando alla newsletter in esame, dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse una serie di violazioni da parte delle società. In particolare, l’Autorità ha accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, senza aver adottato misure tecniche e di sicurezza adeguate. Peraltro, nella specie, le aziende non avevano fornito una informativa chiara e dettagliata ai lavoratori, né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy. Ad avviso del Garante, al fine di poter contabilizzare le effettive ore di lavoro prestate e di accertare la presenza dei lavoratori sul luogo di lavoro, le aziende avrebbero potuto adottare misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.). In ragione di ciò, pertanto, il Garante, oltre al pagamento delle sanzioni, ha ordinato la cancellazione dei dati biometrici raccolti illecitamente.