No ai lettori di badge che scattano la foto al dipendente

Non rispettano la privacy

Quello dei “furbetti del cartellino” è da tempo un problema spinoso che datori di lavoro pubblici e privati cercano di risolvere, escogitando spesso soluzioni tecnologiche che non sempre però sono rispettose della normativa sulla protezione dei dati personali.

Nel corso degli anni vi sono stati vari tentativi di arginare il fenomeno attraverso sistemi di rilevazione delle presenze del personale che verificassero l’impronta digitale del lavoratore, ma anche di recente il Garante per la privacy non ha accolto troppo bene le misure approntate dal Ministero della Pubblica Amministrazione per contrastare il fenomeno dell’assenteismo raccogliendo rilevando dati biometrici come le impronte digitali, e nel parere del 19 settembre 2019 ha sollevato forti perplessità su “profili di dubbia compatibilità con la disciplina europea e nazionale in materia di protezione dei dati personali”.

Non solo il Garante italiano ha di regola ritenuto sproporzionato l’impiego generalizzato di dati biometrici per finalità di rilevazione delle presenze dei lavoratori, ma anche i tribunali hanno confermato i provvedimenti adottati dall’Autorità nei confronti delle imprese che non avevano tenuto conto della normativa sulla privacy, come nel caso della sentenza della Cassazione n.25686/2018, in cui la Suprema Corte aveva convalidato una sanzione di 66mila euro ad un’azienda siciliana che senza farsi troppi scrupoli aveva implementato un sistema di rilevazione accessi imperniato sulla lettura di smart badge contenenti modelli biometrici della mano dei lavoratori.

Anche se non è generalmente ritenuto ammissibile rilevare le presenze dei dipendenti utilizzando impronte digitali, l’immagine del palmo della mano, o altri dati biometrici dell’interessato, d’altra parte i datori di lavoro non si rassegnano e continuano a cercare rimedi efficaci, che in genere prevedono però l’uso di dati personali, e che per questo richiedono attente valutazioni sulla compatibilità con il Gdpr ed il resto della disciplina applicabile.

Una delle ultime proposte del mercato che cerca di prendere una scorciatoia per evitare le criticità tipiche dei dati biometrici, è quella dei lettori di badge con foto automatica che viene scattata al dipendente tramite una webcam ad ogni suo ingresso al lavoro per verificare l’identità della persona che passa il cartellino.

Se è pur vero che, in linea di principio, l’immagine di un individuo non è di per sé un’informazione sensibile che rientra nelle categorie particolari di dati personali ai sensi dell’art.9 del Regolamento UE 2016/679, d’altra parte anche questo tipo di soluzione non ha incontrato il favore delle autorità di controllo.

Stavolta a pronunciarsi è la Cnil, (Commission nationale de l’informatique et des libertés), che ha ritenuto troppo invasivo uno strumento che per rilevare le presenze dei lavoratori debba raccogliere obbligatoriamente e sistematicamente la fotografia del dipendente da due a quattro volte al giorno.

Secondo Marie-Laure Denis, presidente dell’autorità di controllo francese, l’utilizzo di tali strumenti da parte di aziende ed enti pubblici per il controllo dell’orario di lavoro viola il principio di “minimizzazione” prescritto dall’art. 5 del Gdpr, il quale richiede che i dati personali vengano trattati nel rispetto dei principi di liceità, necessità, proporzionalità e finalità, e che perciò “nessuno può porre restrizioni ai diritti delle persone e alle libertà individuali e collettive che non siano giustificate dalla natura del compito da svolgere o proporzionate allo scopo perseguito“.

Allo stato attuale, salvo circostanze particolari e debitamente motivate, gli strumenti più efficaci per registrare e verificare le presenze dei dipendenti che siano anche compatibili con la privacy degli interessati, rimangono quindi i classici orologi marcatempo con i cartellini o badge da strisciare all’ingresso e all’uscita dal lavoro, i quali “sono sufficienti a garantire il controllo degli orari del personale”, come ha sottolineato la Cnil in un comunicato pubblicato a seguito di alcune denunce ricevute da dipendenti di organizzazioni pubbliche e private che hanno installato gli apparecchi che scattano la foto automatica, e che adesso dovranno quindi correre ai ripari entro tre mesi, termine concesso dall’autorità francese prima di intervenire con le sanzioni.

FONTE UFFICIALE: FederPrivacy