No secco dall’Autorità Garante per la Protezione dei Dati – GPDP all’utilizzo del riconoscimento facciale per il controllo presenze al lavoro. Così sono scattate le sanzioni, cinque in uno stesso giorno, lo scorso 22 febbraio 2024, nei riguardi di altrettante società tutte connesse a questa vicenda.
I rispettivi provvedimenti ripercorrono sostanzialmente le stesse argomentazioni. Ciò che ne deriva, al netto, è semplice: “il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti”.
Vediamo meglio.
Partiamo dal presupposto che i dati biometrici non possono essere trattati se non con le dovute cautele, misure e tutele.
Aggiungiamo, poi, che essi rientrano, come noto, tra le categorie particolari dati (art. 9, par. 2 GDPR) e rappresentano tutti quei dati che analizzano caratteristiche di tipo fisico, fisiologico o comportamentale legati a una persona, individuata e individuabile attraverso questo trattamento.
I dati biometrici servono, quindi, a “consentire e confermare l’identificazione univoca di una persona, come avviene, ad esempio, attraverso l’analisi dattiloscopica”. Ne discendono quindi rischi particolarmente elevati (perdita, trafugamento o utilizzo in modo non appropriato e corretto).
L’utilizzo del riconoscimento facciale per il rilevamento/controllo presenze al lavoro presenta diverse criticità in termini di protezione dati e in particolare:
In estrema sintesi, dunque, l’utilizzo del riconoscimento facciale per il rilevamento delle presenze al lavoro è altamente sconsigliato se non anche del tutto vietato.
Al riguardo le organizzazioni sono tenute a utilizzare sistemi meno invasivi per il controllo delle presenze dei propri dipendenti, come ad esempio il classico badge.
Nei provvedimenti in disamina, l’Autorità garante nell’argomentare i singoli provvedimenti, ritiene che “il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti”.
I trattamenti di dati personali biometrici sono “illegittimi”, tenuto anche conto che la finalità degli stessi “potrebbe essere egualmente raggiunta con mezzi meno invasivi della sfera personale del lavoratore”.
I dati biometrici sono definiti dall’art. 4, par. 1, n. 14 del GDPR come quei: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Sono dati appartenenti a questa categoria anche altri ovvero tutti quelli che possono identificare univocamente una persona fisica.
A tal proposito, l’AI Act di recente approvazione contiene ulteriori specifiche in merito, fornendo una definizione di “identificazione biometrica”, ovvero quel “riconoscimento automatico di caratteristiche fisiche, fisiologiche e comportamentali di una persona, quali il volto, il movimento degli occhi, la forma del corpo, la voce, la prosodia, l’andatura, la postura, la frequenza cardiaca, la pressione sanguigna, l’odore, la pressione esercitata sui tasti, allo scopo di determinare l’identità di una persona confrontando i suoi dati biometrici con quelli di altri individui memorizzati in una banca dati di riferimento, indipendentemente dal fatto che la persona abbia fornito il proprio consenso”.
La vicenda nasce da talune segnalazioni/reclami che, in data 24 ottobre 2022, da alcuni dipendenti di una società consortile, i quali per accedere al cantiere/luogo di lavoro stesso (sito di smaltimento rifiuti), dovevano fare uso di “un rilevatore biometrico”, basato sul riconoscimento facciale tramite un tal dispositivo (Face Deep 3– Smart Face Recognition System).
La scelta di tale evoluto strumento pare che si fosse reso necessario per contrastare il cd fenomeno di assenteismo che si era più volte già verificato.
A prescindere dalla motivazione e senza entrarvi nel merito della legittimità o meno pensando ai profilo giuslavoristici, un dato è pacifico: il riconoscimento facciale rientra tra quei mezzi particolarmente invasivi della sfera personale del lavoratore, con tutto ciò che ne consegue.
I provvedimenti
Nella tabella che segue, per brevità ma non a discapito della completezza, ecco che possiamo apprezzare come i cinque provvedimenti sanzionatori e rispettivamente (doc. web. 9995680, 9995701, 9995741, 9995762, 9995785), siano così articolati:
DOC WEB | RUOLO ASSUNTO | VIOLAZIONI RISCONTRATE | IMPORTO |
9995680 | Titolare – datore di lavoro | principi (art. 5)nomina a responsabile (art. 28)mancato censimento dell’attività di trattamento nel registro (art. 30)misure di sicurezza deboli (art. 32)mancata DPIA (art. 35) | 70.000,00€ |
9995701 | Responsabile del trattamento – Società consortile | 5.000,00€ | |
9995741 | Responsabile del trattamento | 6.000,00€ | |
9995762 | Responsabile de trattamento – Partner tecnologico | 20.000,00€ | |
9995785 | Responsabile del trattamento – Consulenti del lavoro | 2.000,00€ |
Vediamo ora alcuni dei passaggi, già dal primo citato provvedimento quello che di fatto origina gli altri in qualità di titolare con la sanzione più alta e che si porta dietro anche la logica della cd “pesca a strascico”.
Anzitutto, il GPDP osserva che “vi è trattamento di dati biometrici sia nella fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie) sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze”.
Anche la semplice estrazione del template implica un trattamento di dati biometrici.
Il datore di lavoro, in qualità di titolare del trattamento, è tenuto ad applicare i principi generali in materia di protezione dati, e in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) – GDPR.
Nel contesto lavorativo, poi, come si legge pedestremente in tutti i provvedimenti “le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento”. In pratica, sono dati (ex) sensibili.
Ancora. Tenuto conto del combinato disposto con l’art. 2-septies del rinformato Cod. Privacy (“Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”), tali “…trattamenti possono essere effettuati conformemente alle misure di garanzia disposte dal Garante (ai sensi dell’art. 9, par. 4, del Regolamento)”.
Non solo, altro passaggio interessante si ravvisa allorché il GPDP afferma che “…l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al dichiarato fine di far fronte ad illeciti disciplinari”.In pratica, non risponde ai principi di minimizzazione e proporzionalità del trattamento.
Ma v’è di più. Prosegue il GPDP: “La valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto, inoltre, dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo”, cui si rinvia.
Da ultimo, degna di nota appare ancora la circostanza per la quale il produttore e il fornitore di dispositivi di riconoscimento facciale (soggetti che in ogni caso devono tener conto del diritto alla protezione dei dati: v. cons. 78 del Regolamento) si difendono dicendo di aver ottenuto una “dichiarazione e certificazione di conformità dell’apparato biometrico […], in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR”.
A parte la dubbia veridicità in termini non tanto formali quanto sostanziali di potersi dichiarare “GDPR compliant”, che tanto in astratto quando in concreto è difficilmente praticabile, come è possibile definirsi tali? E quel costante monitoraggio e presidio (PDCA) come si concilia?
Iniziamo con il dire che non esiste, allo stato attuale, una norma che legittimi l’utilizzo dei dati biometrici i quali, in quanto tali, ricadono sotto la scure dell’art. 9, par. 2, GDPR. Di qui, l’esigenza di ricorrere a “mezzi meno invasivi della sfera personale del lavoratore”.
Ciononostante, vista la porzione di accountability che ciascuno è tenuto a (dover) dimostrare, ecco che l’Autorità ha evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’Ordinamento nazionale che in quello europeo.
A tal proposito, il Garante ha più volte stabilito che “la violazione dell’art. 28 […] deve essere imputata anche al responsabile, in quanto, in assenza del contratto o di altro atto giuridico; in difetto le attività di trattamento di dati da avverrebbero in assenza di idonea base giuridica.
Ecco che le Organizzazioni, ad avviso del Garante, “…avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come ad es. il badge).
Da ultimo, notiamo che le violazioni riscontrate sono accomunate dai medesimi perché, e nella fattispecie per non aver:
Tanto basta per concludere con un assioma: in base all’art. 35 “l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, presenta un rischio elevato per i diritti e le libertà delle persone fisiche” che necessita di una robusta tutela in termini di protezione dati.