Il ricorso ad un sistema di rilevamento della presenza dei lavoratori in azienda tramite tecniche biometriche (es. l’impronta digitale) rende necessaria l’adozione di adempimenti legati tanto all’ambito giuslavoristico tanto a quello in materia di protezione dei dati personali.
A differenza del badge “tradizionale” il presupposto di questo tipo di sistemi è quello di trattare ‘dati biometrici’, ossia rientranti nelle categorie particolari di dati di cui all’art. 9 GDPR. Proprio il carattere sensibile dei dati che entrano in gioco, collegati all’individuo “direttamente, univocamente e in modo tendenzialmente stabile nel tempo” e che “denotano la profonda relazione tra corpo, comportamento e identità della persona” (cfr. Provvedimento dell’Autorità Garante n. 513 del 12 novembre 2014; cfr., inoltre, Provvedimento n. 129 dell’1 marzo 2018), impongono un’attenta ponderazione dei rischi nell’ottica della salvaguardia dei diritti e delle libertà dei lavoratori e richiedono al datore di lavoro di conformare i trattamenti ai principi generali di liceità, finalità, necessità e proporzionalità (cfr. Provvedimento dell’Autorità Garante n. 438 del 27 ottobre 2016).
Dal punto di vista giuslavoristico, nel provvedimento generale in tema di biometria (pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014 e richiamato, peraltro, dalla circolare n. 5 del 19 febbraio 2018 dell’Ispettorato Nazionale del Lavoro) l’Autorità Garante ha evidenziato, al punto 4.2, come l’accesso mediante rilevazione biometrica potrà essere implementato solo per particolari locali o aree aziendali “sensibili”, oppure per particolari esigenze di sicurezza non soddisfatte da metodi alternativi. Ne consegue che l’utilizzo della rilevazione biometrica al fine della rilevazione degli accessi e delle presenze dei lavoratori non rientrerà nell’eccezione prevista ex art. 4, secondo comma, L. 300/1970, ma, viceversa, dovrà avvenire “nel rispetto delle procedure di autorizzazione previste dalla legge n. 300 del 1970” (cfr. Provvedimento n. 198 del 20 aprile 2017); dunque mediante accordo sindacale o autorizzazione da parte della DTL.
Sotto il profilo della protezione dei dati personali, il lavoratore non solo dovrà essere informato del trattamento del dato biometrico per il rilevamento delle presenze, ma occorrerà rinvenire la base giuridica nel consenso (art. 6, comma, 1, lett. a GDPR) dell’interessato. Infatti, nonostante questa base giuridica appaia sempre come “delicata” se utilizzata nell’ambito del rapporto di lavoro (stante la disparità tra le due parti contrattuali, datore e dipendente), in questo caso risulta l’unica via percorribile tra quelle presenti al primo comma dell’art. 6 GDPR. Come ribadito al paragrafo 4.3 del Provvedimento generale prescrittivo in tema di biometria dell’Autorità Garante (n. 513 del 12 novembre 2014), “il presupposto di legittimità del trattamento dei dati biometrici è dato dal consenso effettivamente libero degli interessati e dall´utilizzo di sistemi alternativi di accesso non basati su dati biometrici”. In base a quest’ultimo assunto, il datore dovrà così prevedere una modalità di accesso alternativa (ad es. la “classica” chiave o un accesso secondario) per il dipendente che non intenda prestare il proprio consenso al rilevamento biometrico.
Prima ancora del requisito generale previsto ex art. 35, comma 1, GDPR, alla luce della tipologia di trattamento n. 11 dell’Allegato 1 al Provvedimento n. 467 dell’Autorità Garante dell’11 ottobre 2018, risulterà certamente necessaria la redazione della valutazione d’impatto (DPIA), richiesta nel caso di “trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento”. Ipotesi pertanto pienamente integrata dall’azienda che si sia dotata di badge con rilevazione biometrica degli accessi.
Per quanto attiene alla conservazione delle registrazioni degli accessi mediante impronta digitale, occorrerà certamente prevedere delle misure di sicurezza adeguate secondo quanto richiesto ex art. 32 GDPR (evitando di conservare un database centralizzato contenente le impronte registrate di tutti i dipendenti), così come dovrà esser prevista una procedura per dar seguito, nei termini temporali espressi ex art. 12 GDPR, ad eventuali richieste di esercizio diritti da parte degli interessati. Inoltre, una procedura per fronteggiare tempestivamente ipotesi di violazioni dei dati (c.d. data breach), nonché la registrazione dell’attività di trattamento dei dati biometrici per l’accesso all’interno del registro del trattamento dell’azienda ex art. 30, comma 1, GDPR.
Infine, soprattutto nelle realtà più strutturate, è fortemente consigliabile inserire il tema del rilevamento del biometrico per l’accesso ai locali all’interno di una policy aziendale o del regolamento interno, ove presenti.