Come indica la Newsletter del Garante della Privacy del 26 giugno scorso, una sanzione pari a 120mila euro è stata inflitta ad una concessionaria per aver violato i dati personali dei propri lavoratori subordinati, con l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze.
Attualmente le regole in materia non consentono grossi margini d’azione ai datori di lavoro e, conseguentemente, l’Authority ha optato per la scelta consequenziale della sanzione pecuniaria. Ma in concreto qual è la situazione in Italia per ciò che riguarda il riconoscimento facciale dei dipendenti? Quali limiti sono oggi operativi?
Ne parleremo di seguito, esponendo i contorni della vicenda che ha portato alla decisione del Garante della Privacy e coglieremo altresì l’occasione per ricordare quali sistemi di rilevazione presenze dei lavoratori, sono legalmente applicati nel nostro paese.
Indice
Riconoscimento facciale, divieto di controllo delle presenze: la vicenda all’attenzione del Garante
Datori di lavoro e aziende hanno ovviamente l’interesse a controllare che i propri dipendenti effettivamente svolgano le mansioni specificate nel contratto, assicurando la loro presenza in ufficio durante l’orario di lavoro. Altrimenti si profilano gli estremi per infliggere una sanzione disciplinare, ed anche il licenziamento per assenteismo.
Tuttavia, come ribadito dalla Newsletter del Garante Privacy, vi sono dei limiti da rispettare – in un delicato equilibrio tra poteri datoriali di controllo e protezione della sfera di riservatezza dei dipendenti. La vicenda a cui abbiamo accennato in apertura attiene ad un reclamo fatto da un lavoratore, che lamentava il trattamento illecito di informazioni e dati personali, tramite un sistema biometrico installato presso le due unità produttive della società in cui era impiegato.
Con il reclamo, l’uomo lamentava altresì l’uso di un software attraverso il quale ogni dipendente era obbligato a registrare gli interventi di riparazione effettuati sui veicoli assegnati, i tempi e le modalità di svolgimento dei lavori, ma anche i tempi di inattività con le specifiche motivazioni. Tale strumento informatico evidentemente mirava a valutare le performance di ogni dipendente, per misurare l’effettivo impegno mostrato sul posto di lavoro.
Ebbene, come segnalato nella Newsletter, grazie all’attività ispettiva del Garante effettuata in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della GdF, sono emerse numerose violazioni del Regolamento europeo sulla protezione dei dati personali (Gdpr), ascrivibili al comportamento della società datrice di lavoro.
Nella vicenda che stiamo qui considerando il Garante Privacy aveva altresì accertato che la società concessionaria da più di sei anni, ancora con l’utilizzo di un software, era solita raccogliere – in maniera giudicata illecita – informazioni e dati legati alle attività del personale per realizzare report mensili da inviare alla casa madre. Tali documenti includevano riferimenti ‘aggregati’ sui tempi di lavorazione presso le officine.
La decisione del Garante della Privacy
La vicenda è particolarmente interessante perché, al di là della rilevanza ‘interna’ e riguardante espressamente datore di lavoro e dati personali dei dipendenti ‘controllati’, ha permesso al Garante di ribadire nuovamente che:
l’utilizzo di tali dati non è consentito perché non esiste nessuna norma di legge che al momento attuale preveda l’utilizzo del dato biometrico per la rilevazione delle presenze. Pertanto, l’Autorità ha ricordato che neanche il consenso manifestato dai dipendenti può essere considerato idoneo presupposto di liceità, per l’asimmetria tra le rispettive parti del rapporto di lavoro.
D’altronde la linea dominante in Ue è quella della forte limitazione a questo genere di controlli tecnologici. Come segnalato da Euronews alcuni mesi fa l’Ai Act, il regolamento comunitario sull’intelligenza artificiale concordato a Bruxelles, ha circoscritto l’utilizzo del riconoscimento facciale a contesti molto specifici e, in particolare, alla repressione dei reati.
Per quanto qui interessa, le violazioni da parte della società concessionaria attenevano sia all’utilizzo dei dati biometrici di rilevazione delle presenze, sia alla raccolta di dati poi inviati alla casa madre e – in specifico riferimento a questi ultimi – il Garante aveva altresì rimarcato che la relativa attività si era svolta in totale assenza di:
- un’idonea base giuridica di legittimazione;
- un’adeguata informativa la quale, nel quadro del rapporto di lavoro, è espressione di quel principio di correttezza e trasparenza che contribuisce a mantenere un clima di fiducia tra azienda e lavoratore.
In ragione di ciò l’Autorità ha imposto:
- il pagamento di una sanzione pecuniaria pari a 120mila euro;
- di conformare il trattamento dei dati effettuato, mediante il software gestionale, alle attuali disposizioni della normativa privacy, di rilievo sia interno che comunitario (regolamento Gdpr).
Rilevazione presenze dipendenti, qual è la situazione in Italia
Contabilizzare le effettive ore di lavoro prestate e verificare la presenza dei lavoratori sul luogo di lavoro, è certamente un diritto delle aziende e dei datori di lavoro, che a seguito delle prestazioni dei propri dipendenti, sono tenuti al versamento dello stipendio e al pagamento dei contributi.
Tuttavia come già ricordato nel recente passato dallo stesso Garante Privacy nel proprio sito web ufficiale, il ricorso al riconoscimento facciale non è soltanto vietato, ma altresì facilmente sostituibile da altri strumenti – egualmente utili allo scopo – ma molto meno invasivi per i diritti degli interessati e delle interessate.
Ci si riferisce sostanzialmente:
- alla verifica diretta mediante un addetto supervisore;
- all’utilizzo di classici fogli firma o fogli presenze;
- ai controlli mediante timbratrici o badge magnetici e con tecnologia Rfid (con tornelli);
- ai software di gestione o rilevazione delle presenze;
- ai rilevatori gps tramite dispositivi e app ad hoc (per i lavoratori che operano fuori sede)
Da notare che il Jobs Act ha dato un sostanziale via libera agli strumenti di registrazione degli accessi e delle presenze, denominati badge. L’utilizzo però è pienamente legale soltanto se è stata data al dipendente una previa ed adeguata informazione circa le modalità d’uso degli strumenti stessi e l’effettuazione dei controlli, e se è stata rispettata la normativa privacy. In particolare il trattamento dei dati personali dovrà compiersi nei limiti degli scopi perseguiti.
Si possono usare le impronte digitali per il controllo delle presenze?
Infine, vediamo insieme una questione accessoria a quanto abbiamo considerato finora. In base ad un’ordinanza della Cassazione, la n. 13873 pubblicata nel maggio dello scorso anno, l’uso della rilevazione biometrica per verificare le presenze al lavoro è ritenuto illegittimo se non viene ottenuto un consenso specifico da parte dei lavoratori subordinati.
Questi ultimi debbono dunque essere previamente e dettagliatamente informati sull’utilizzo dello strumento di rilevazione presenze tramite impronte digitali. D’altronde è lo stesso Codice Privacy – come pure il Gdpr – ad imporre la necessità di un consenso apposito.
Infine, ricordiamo che l’azienda o datore di lavoro, per non rischiare la sanzione del Garante, dovrà non soltanto ottenere il consenso del personale, ma dovrà trattare informazioni e dati personali per il mero fine del controllo presenze. Solo a ciò l’uso sarà circoscrivibile senza rischi sanzionatori.
