lavoro e ricoscimento facciale

Il lavoro e il controllo con dati biometrici con telecamere a riconoscimento facciale

I sistemi che consentono l’identificazione automatica delle persone sulla base del volto si stanno diffondendo, allo stesso modo con lo sviluppo di sistemi basati sull’intelligenza artificiale, in vari e molteplici ambiti, offrono numerosi vantaggi sia in termini di sicurezza che di accuratezza e dell’identificazione.
Tuttavia implicano il trattamento di dati fisici che, essendo tali appartengono a categorie la cui legislazione è stringente cioè all’art. 9 del GDPR.
Il Garante per la Protezione dei Dati Personali è adesso è intervenuto ribadendo l’illiceità del sotteso trattamento di detti dati nel contesto lavorativo e per la verifica delle presenze dei dipendenti sul luogo di lavoro.
Come anticipato, i sistemi di riconoscimento facciale implicano il trattamento di dati biometrici. Il Garante ha chiarito – in linea con precedenti provvedimenti in materia – che detto trattamento sussiste sia nella fase di registrazione, sia nella fase del riconoscimento biometrico vero e proprio, all’atto della rilevazione delle presenze.

Il Garante ha affermato che, generalmente vietato ai sensi dell’art. 9, par. 1, GDPR, può effettivamente essere svolto in forza di quanto previsto dall’art. 9, par. 2, GDPR. A titolo di esempio, dunque, e in termini generali, il consenso esplicito dell’interessato può consentire il trattamento dei dati biometrici, in ossequio al disposto di cui all’art. 9, par. 2, lett. a), GDPR.

Comunque il Garante ha affrontato il tema del trattamento dei dati biometrici nell’ambito lavorativo e ha rilevato, in astratto, che “nel contesto lavorativo le finalità di rilevazione delle presenze e di verifica dell’orario di lavoro” possono”rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b)”GDPR, relativo ai casi in cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”.

Ha evidenziato che tale trattamento è consentito, ai sensi della previsione appena richiamata, “solo nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […], in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato’”. Quindi il Garante ha sancito l’inapplicabilità, nella specie, di detta base giuridica, in quanto, allo stato, non sussistono né appropriate misure di garanzia per l’interessato né una fonte normativa nazionale o europea che autorizzi un tale trattamento.

Il Garante ha così concluso che “allo stato l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione delle presenze in servizio”.

E’ stato ha osservato, altresì, che, nel contesto individuato, l’utilizzo di sistemi di riconoscimento facciale risulta in contrasto con i principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c), GDPR), poiché la medesima finalità di controllo degli accessi ai locali aziendali può essere perseguita con modalità meno invasive per la privacy dei lavoratori (quale, a titolo di esempio, l’utilizzo di un badge). Peraltro, in forza del principio di accountability del titolare del trattamento, di cui all’art. 5, par. 2, GDPR, la responsabilità di quest’ultimo non verrebbe meno nemmeno ove il produttore e il fornitore dei dispositivi di riconoscimento facciale forniscano una dichiarazione e certificazione di conformità dell’apparato biometrico al GDPR.

Si è concluso che in linea con analoghe statuizioni in materia e con quanto sancito dalle linee guida n. 5/2020 sul consenso emanate dall’EDPB – che il consenso possa costituire idonea base giuridica per il trattamento di dati biometrici nel contesto lavorativo, in forza dell’asimmetria di poteri tra datore di lavoro e lavoratore e che fa presumere, in via generale, che il consenso prestato da quest’ultimo non possa essere considerato libero e, dunque, valido.

I rilievi che precedono, inoltre, secondo quanto indicato dal Garante, non muterebbero nemmeno laddove “un sistema di rilevazione non biometrico fosse stato messo a disposizione dei lavoratori in alternativa a quello biometrico”.

Cosa possiamo desumere:
La posizione di particolare chiusura del Garante rispetto ai sistemi in esame rischia di pregiudicare il diffondersi di tecnologie per il riconoscimento facciale, quantomeno in ambito lavorativo, e, in ogni caso, in relazione al controllo di accessi e presenze dei dipendenti sul luogo di lavoro.

Al contempo, tuttavia, i recenti provvedimenti esaminati offrono validi spunti per agevolare una valutazione, da svolgersi caso per caso, delle singole aziende o situazioni, al fine di determinare in quali casi le limitazioni passate in rassegna e dove, invece, la tecnologia per il riconoscimento facciale possa essere applicata in conformità al GDPR (per esempio, nei casi in cui il consenso è prestato o nei casi in cui sia individuabile una diversa finalità del trattamento e un’idonea base giuridica).

SCM SERVIZI SRL

NewsLetter

Rimani aggiornato con i corsi di Formazione Professionale Ricevi aggiornamenti dalla SCM SERVIZI SRL