Biometria in azienda? Con cautela! - (parte I e II)

I fatti:
un'azienda richiede al Garante una pronuncia ex art. 17 Codice privacy. L’articolo in questione contempla la possibilità di richiedere  una verifica preliminare al  Garante in caso di trattamento che presenti rischi specifici per i diritti e le libertà fondamentali o per la dignità dell’interessato;  nel caso concreto,  la richiesta dell’azienda interessata è quella di verificare il rispetto della privacy in ipotesi di trattamento di dati biometrici dei dipendenti al fine di accertarne la presenza sul luogo di lavoro ed al fine di commisurarne conseguentemente, la retribuzione ordinaria e straordinaria da dover corrispondere.
Tale sistema definito “enrollment” ha quale presupposto una prima fase di raccolta di dati biometrici durante la quale l’azienda utilizzerà apparecchiature per rilevare impronte digitali che elaborate da uno specifico software trasformeranno l’impronta digitale in un codice numerico memorizzabile elettronicamente, andando ad associare tale lettura ad ogni entrata o uscita del lavoratore dipendente.
L’azienda con tale meccanismo intenderebbe eliminare condotte poco trasparenti di alcuni dipendenti, essendosi verificati scambi di badge o addirittura episodi di smarrimento al fine di evitare la ricostruzione degli orari di lavoro effettivi.
Non solo: cosciente dell’eventuale rifiuto da parte di alcuni lavoratori, l’azienda rappresenta comunque al Garante la possibilità per gli stessi di non sottoporsi a questa modalità di riconoscimento, offrendo come alternativa la annotazione in apposito registro mediante firma autografa del dipendente.  

Le osservazioni del Garante

Innanzi tutto il trattamento di dati personali che l’azienda richiedente intende porre in essere, appare non assodato in relazione alla correttezza del funzionamento dei sistema di rilevamento delle impronte e della relativa associazione ai codici numerici.
In particolare, il Garante prende atto della fase di testabilità ancora in corso presso l’azienda che evidentemente non è in grado di conferire certezza alla modalità elettronica di elaborazione dei dati.
Secondariamente il vaglio di correttezza ricade anche sull’informativa.
L’informativa, secondo quanto previsto dall’articolo 13 del Codice privacy, è obbligatoria in quanto, dispone il legislatore: “L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.
Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.” 
Dall’informativa presentata dall’azienda emerge l’assenza di indicazione di possibilità di scelta tra il trattamento dei dati di tipo biometrico rispetto a quelli raccolti mediante apposizione di firma: in realtà nell’informativa è indicata una natura obbligatoria di conferimento dei dati biometrici, il che esula totalmente dalla realtà prospettata al Garante.

Continua >>>