Impronte digitali e badge per rilevare le presenze dei dipendenti: adempimenti per installare un sistema biometrico post GDPR

 

Alla luce dell’ordinanza della Corte di Cassazione n. 25686/2018, un’azienda che utilizza impronte digitali e badge per rilevare le presenze dei dipendenti dovrà ottenere un’autorizzazione preventiva da parte del Garante o sarà sufficiente, a seguito di DPIA, modificare l’informativa e ottenere il consenso dei dipendenti?

Nel caso in cui un titolare del trattamento voglia procedere all’utilizzo di impronte digitali e/o badge per rilevare le presenze dei dipendenti , occorre riconoscere che quello che si vuole utilizzare è un vero e proprio sistema biometrico,  e come tale, è tenuto a rispondere agli adempimenti indicati di seguito:

  • effettuare una DPIA prima di procedere al trattamento;
  • valutare l’applicabilità e rispettare la normativa del trattamento che si vuole eseguire,  in particolare gli adempimenti previsti in materia di “impianti audiovisivi e altri strumenti di controllo” dall’art. 4 L.300/70 (qui di seguito “Statuto dei Lavoratori”);
  • fornire agli interessati apposita informativa, prima di procedere al trattamento di dati biometrici;
  • ottenere il consenso esplicito degli interessati, prima di procedere al trattamento di dati biometrici.

 

L’art. 35.1 del GDPR prevede, infatti, che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali […]”.

 

In applicazione di quanto previsto dall’art.35 comma 4 del GDPR, il Garante per la Protezione dei dati personali ha pubblicato l’elenco dei trattamenti che devono essere soggetti ad una valutazione di impatto (DPIA):

  • i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”;
  • i trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento”.

 

Dunque, il primo step sarà quindi quello di valutare preventivamente l’impatto che il trattamento potrebbe avere sui diritti e le libertà degli interessati.

Occorre TUTELARE la PRIVACY dei tuoi dipendenti sempre, soprattutto le informazioni relative a dati strettamente legati alla persona.

In relazione alla valutazione della proporzionalità del trattamento rispetto alla finalità perseguita pare utile specificare che il Garante, in diversi provvedimenti, ha dichiarato sproporzionato il trattamento di dati biometrici per finalità di rilevamento delle presenze dei lavoratori, la quale può essere raggiunta con mezzi meno invasivi della sfera privata del lavoratore. Tuttavia in un caso, invece, il Garante ha ammesso il trattamento per finalità di accertamento della presenza in servizio dei dipendenti in ragione delle peculiarità del trattamento strettamente connesso a quel particolare contesto lavorativo Andrà valutato, in particolare, se il sistema che si intende implementare si limiti a raccogliere e trattare il dato di accesso/presenza del dipendente oppure permetta, per esempio, di tracciare gli spostamenti del dipendente all’interno dei locali aziendali durante la giornata lavorativa.

Nel caso in cui, a seguito dell’esito delle suddette valutazioni, il titolare decida di procedere con il trattamento sarà necessario:

  • predisporre apposita informativa;
  • raccogliere il consenso dell’interessato rispettando tutti i requisiti di legittimità del consenso.

Fonte: CyberSecurity360

 

LINEA COMPUTERS 

Contattaci

 

consenso gdpr privacy privacy gdpr