In data 23 Novembre 2023, il Garante spagnolo per la protezione dei dati personali ha pubblicato un documento di “Linee Guide” per il trattamento dei dati biometrici durante il controllo delle presenze e l’accesso ai locali, sia durante l’ambito lavorativo che non lavorativo.
Il controllo degli orari e delle presenze è un trattamento che può essere utilizzato per il raggiungimento di diverse finalità ed è soggetto al rispetto della normativa in materia di protezione dei dati personali, fatte salve le specificità della normativa da applicare in ciascun caso. Da un lato, la registrazione delle ore di lavoro è un trattamento che può essere inquadrato all’interno di un rapporto di lavoro, con lo scopo di controllarne l’esecuzione. Dall’altro lato, il controllo delle presenze sarebbe legato allo scopo di sorvegliare l’ingresso e/o l’uscita da determinati locali. Quest’ultimo può essere effettuato o meno nell’ambito del lavoro.
I sistemi di trattamento dei dati biometrici si basano sulla raccolta e sul trattamento di dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali delle persone fisiche (comprese le loro caratteristiche neurali), mediante dispositivi o sensori, creando “modelli biometrici” che consentono l’identificazione, il tracciamento o la profilazione di tali persone. Identificare una persona significa determinarne l’identità, direttamente o indirettamente, quindi l’assegnazione di un identificatore è un processo che permette di individuare un individuo e le azioni a lui destinate. Il Garante spagnolo considera il trattamento dei dati biometrici di rischio elevato, sia per le finalità di identificazione che di accesso, in quanto sono inclusi dati particolari, quindi si rende necessario rispettare i requisiti dell’art. 35 GDPR.
L’art. 9, par. 1 GDPR stabilisce una regola generale che vieta il trattamento dei dati personali che rivelano quelle che definisce “categorie particolari di dati personali”, tuttavia disciplina che debba sussistere una condizione di legittimità per effettuare il trattamento dei dati particolari. Affinché la deroga dell’art. 9, par. 2, lett. b) GDPR (diritti specifici del Titolare del trattamento in materia di diritto del lavoro) possa trovare applicazione, il Garante spagnolo rileva che debba sussistere una legge che autorizzi specificatamente l’uso dei dati biometrici per la registrazione degli orari e il controllo degli accessi durante l’ambito lavorativo.
Relativamente alla deroga dell’art. 9, par. 2, lett. a) GDPR (consenso dell’interessato), il Garante spagnolo rileva che il consenso non si applica al trattamento della registrazione dell’orario di lavoro in sé, dove non è possibile opporsi, ma ai dati biometrici aggiuntivi, ma potrebbe non rappresentare una valida e lecita circostanza se si considera l’effettiva libertà del consenso. Il Considerando 43 del GDPR stabilisce che per “assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali [..], qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento”.
Anche le Linee Guida 5/2020 dell’EDPB (sul consenso ai sensi del GDPR) rilevano che nel contesto dei rapporti di lavoro esiste uno squilibrio di potere tra dipendente e datore di lavoro, con l’implicazione che tale consenso non potrebbe essere fornito liberamente. L’EDPB, comunque, non esclude che i datori di lavoro possano fare affidamento al consenso come base legittima per il trattamento, in quanto ci possono essere situazioni in cui è possibile per il datore di lavoro dimostrare che il consenso è stato effettivamente dato liberamente, e che la negazione del consenso non comporti delle conseguenze negative.
Ad esempio, nel caso della registrazione dell’orario di lavoro, poiché l’interessato ha l’obbligo di registrare la propria giornata lavorativa, l’esistenza di un libero consenso al trattamento aggiuntivo dei dati biometrici potrebbe essere considerata solo se l’interessato ha una reale alternativa per adempiere a tale obbligo. Tuttavia, per quanto riguarda il requisito delle possibili “opzioni equivalenti”, occorre tenere presente che, se esistono alternative al trattamento dei dati biometrici che comportano un rischio minore per i diritti e le libertà delle persone, che consentono a tutti i lavoratori di optare per altre alternative in qualsiasi momento, significa che il trattamento dei dati biometrici non è più necessario per l’attuazione del trattamento, facendo venir meno il requisito di necessità, necessario per i trattamenti con rischio elevato (art. 35, par. 7, lett. b) GDPR).
Considerando, invece, le situazioni in cui il controllo degli accessi è effettuato per finalità diverse dall’ambito lavorativo, l’unica base giuridica giustificabile sarebbe il consenso libero, specifico, informato e inequivocabile (art. 9, par. 2, lett. a) GDPR. Anche in questo caso, il Titolare del trattamento dovrebbe stabilire una modalità alternativa per poter effettuare il trattamento di dati per quella medesima finalità, senza che vi siano conseguenze negative per la persona che non desidera il trattamento dei dati biometrici.
Anche in questo caso, occorre dimostrare la necessità e proporzionalità oggettiva (requisito per il trattamento a rischio elevato) e le possibili alternative, in modo tale che per poter trattare tali dati biometrici non vi siano altre alternative che servano a soddisfare l’esigenza individuata e che comportino un rischio minore per i diritti e le libertà delle persone fisiche.
Bisogna anche considerare i vincoli al trattamento dei dati biometrici, quando gli interessati sono sottoposti a decisioni basate unicamente sul trattamento automatizzato che produca effetti giuridici oppure incidano in modo analogo significatamene sulla propria persona (con riferimento all’art. 22, par. 1 GDPR).
In ogni caso vi sia un trattamento di dati biometrici, il Garante spagnolo ritiene che la redazione di una valutazione d’impatto sulla protezione dei dati (art. 35 GDPR) sia un elemento essenziale, da redigere prima che venga svolta l’attività, fornendo le evidenze necessarie per dimostrare che sussistano i requisiti di idoneità, necessità e proporzionalità per effettuare il trattamento.
Infine, il Garante spagnolo fornisce una serie di misure necessarie affinché vi sia una totale conformità ai principi normativi del GDPR:
- Implementazione della protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 GDPR);
- Minimizzazione della raccolta di informazioni biometriche tecniche, con una valutazione oggettiva per stabilire se vengono raccolti dati eccessivi ai fini del trattamento;
- Informazione agli interessati delle caratteristiche del trattamento biometrico, in particolare dell’elevato rischio intrinseco (art. 13 GDPR);
- Implementazione della funzione di mantenere scollegati il modello biometrico e l’identità della persona fisica, per il controllo degli accessi;
- Adozione di adeguate misure di sicurezza per garantire che i modelli biometrici non possano essere utilizzati per altre finalità;
- Ricorso a soluzioni di crittografia dei dati, per proteggere la riservatezza, la disponibilità e l’integrità del modello biometrico;
- Adozione di tecnologie o formattazioni di dati mirate ad impedire l’interconnessione delle banche dati biometriche e la divulgazione non verificata dei dati;
- Cancellazione dei dati biometrici quando non sono correlati alla finalità per cui sono trattati.
Fonti