Telecamera utilizzata per il riconoscimento facciale: immagine relazionata all'articolo sulla rilevazione delle presenze al lavoro tramite riconoscimento facciale
 |  |  |  |  | 

Divieto d’uso del riconoscimento facciale per la rilevazione delle presenze al lavoro

DiStudio Associato Pagani

Il caso: rilevazione delle presenze al lavoro tramite il riconoscimento facciale

Con recenti provvedimenti pubblicati nella newsletter del 28 Marzo 2024, il Garante per la protezione dei dati personali ha sanzionato alcuni datori di lavoro che, a seguito di reclami presentati dai lavoratori, avevano utilizzato sistemi di rilevazione dei dati biometrici — nello specifico il riconoscimento facciale — per la rilevazione delle presenze dei dipendenti sul luogo di lavoro.

Tale utilizzo è stato ritenuto un trattamento illegittimo di dati, privo di valida base giuridica, oltreché contrario ai principi di liceità, necessità e proporzionalità.

Normativa sui dati biometrici

I dati biometrici sono definiti dall’art. 4, n. 14, del Regolamento UE 2016/679 (GDPR) quali

dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici.

Articolo 4, n. 14, del Regolamento UE 2016/679 (GDPR)

Il loro trattamento è di norma vietato dall’art. 9, par. 1 del GDPR, ma consentito solo in presenza di una delle condizioni indicate dal par. 2 dello stesso articolo e, con specifico riferimento ai trattamenti in ambito lavorativo, solo quando questo sia

necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Articolo 4, n. 14, del Regolamento UE 2016/679 (GDPR)

Inoltre, l’art. 2-septies del D. Lgs. 196/2003 (provvedimento che, peraltro, è ancora oggi in fase di approvazione) prevede e conferma che

i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’articolo 9 GDPR e in conformità alle misure di garanzia disposte dal Garante con apposito provvedimento adottato con cadenza biennale. 

Articolo 2-septies del Decreto Legislativo 196/2003

Ne consegue, quindi, che neppure il consenso del lavoratore potrebbe essere ritenuto una base giuridica valida per il trattamento dei dati biometrici nell’ambito del rapporto di lavoro.

La decisione del Garante per la protezione dei dati personali

Tenuto conto dell’assenza di una normativa ad hoc, il Garante – in continuità con decisioni in precedenza assunte – ha confermato che:

  • il vigente ordinamento non consente il trattamento di dati biometrici per finalità di rilevamento della presenza presso il luogo di lavoro;
  • l’uso di dati biometrici per fronteggiare illeciti disciplinari, o contenziosi legati alla corresponsione di compensi per lavoro straordinario, non è conforme ai principi di minimizzazione e proporzionalità del trattamento. Questo vale anche per l’utilizzo di altri strumenti utili a garantire la rilevazione delle presenze nel luogo di lavoro (ad esempio i badge).

Ulteriori violazioni e sanzioni

In tale contesto l’Autorità ha rilevato ulteriori violazioni commesse da parte dei datori di lavoro, in qualità di titolari del trattamento.

  • Omessa informativa secondo l’art. 13 GDPR: obbligo di indicare a dipendenti e collaboratori le caratteristiche essenziali dei trattamenti di dati effettuati
  • Omessa designazione della Società terza che gestiva l’applicativo di riconoscimento facciale quale Responsabile del trattamento (ai sensi dell’art. 28 GDPR)
  • Omessa effettuazione della valutazione di impatto (DPIA) prima dell’inizio del trattamento, cui il titolare del trattamento è tenuto in caso di uso di nuove tecnologie (art. 35 GDPR)
  • Omessa indicazione dei dati biometrici tra i tipi di dati dallo stesso trattati nel registro dei trattamenti tenuto dal titolare
  • Omessa predisposizione da parte del datore di lavoro di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, assicurando su base permanente la riservatezza dei dati.

Alla luce di questi ultimi elementi, sono state emesse ordinanze d’ingiunzione a carico di ciascuna delle Società interessate, con pagamento di sanzione amministrativa pecuniaria di importo variabile tra i 2.000,00 ed i 70.000,00 euro. Tali ingiunzioni sono proporzionate alle dimensioni delle Società, oltre che alla loro condotta tenuta nel corso del procedimento. Inoltre, i provvedimenti sono stati pubblicati sul sito istituzionale.

Articoli simili

Donna davanti al computer che legge i requisiti di accesso alla pensione opzione donna
 |  |  |  |  | 

Pensione Opzione donna: la stretta dell’INPS

DiStudio Associato Pagani

Come noto, la Legge di Bilancio per il 2023 ha introdotto il nuovo comma 1 bis all’art. 16 del D.L. 4/2019. Questo – oltre che per le lavoratrici che al 31/12/2021 avevano maturato i requisiti previsti dal comma 1 del medesimo articolo – prevede la possibilità di accedere alla pensione cd. Opzione donna anche per…

Dipendenti in riunione a proposito del trasferimento del personale
 |  |  | 

Irregolare trasferimento di Personale tra aziende: le conseguenze retributive nella giurisprudenza della Corte di Cassazione

DiStudio Associato Pagani

Il trasferimento di Personale da un’azienda all’altra, senza soluzione di continuità e con prosecuzione del medesimo contratto di lavoro, può avvenire in due casi: Per quanto riguarda quest’ultimo punto, diversa è l’ipotesi in cui il passaggio avviene mediante cessazione del rapporto di lavoro e nuova assunzione, anche se a parità di condizioni. La Corte di…

Telecamere e videosorveglianza sul lavoro per monitoraggio e sicurezza
 |  |  | 

L’utilizzabilità delle immagini delle telecamere nell’ambito di un procedimento disciplinare e i controlli preterintenzionali da parte del datore di lavoro

DiStudio Associato Pagani

La sentenza N. 8375 della Cassazione 8375/2023 legittima l’utilizzo della videosorveglianza sul lavoro nei procedimenti disciplinari.

Due mani si stringono in un accordo, con due contratti sotto a dimostrare che è stata compiuta una dichiarazione di equivalenza
 |  |  | 

Dichiarazioni di equivalenza nei contratti d’appalto: principi, novità 2025 e implicazioni pratiche

DiStudio Associato Pagani

L’Allegato I.01 del Codice dei Contratti Pubblici ha introdotto alcune novità circa la dichiarazione di equivalenza nell’ambito dei contratti di appalto.