Non è ammissibile l’uso di un sistema di rilevazione delle presenze basato sul trattamento dei dati biometrici dei dipendenti da parte del datore di lavoro, anche se pubblico, in assenza di una base giuridica che – per i trattamenti svolti nel contesto del rapporto di lavoro – non può essere rappresentata dal consenso dell’interessato.  È quanto stabilito dal Garante Privacy che di recente, ha sanzionato un’Azienda Sanitaria per aver utilizzato un sistema di “verifica biometrica dell’identità” al fine di rilevare le presenze dei propri dipendenti. (cfr. ordinanza ingiunzione emessa in data 14 gennaio 2020). Detto sistema, disattivato dall’Azienda dopo l’avvio del procedimento da parte dell’Autorità, comportava l’acquisizione delle impronte digitali di oltre 2.000 dipendenti le quali venivano memorizzate in forma crittografata sui badge di ciascuno di essi. Il software utilizzato, in particolare, consentiva di verificare l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento memorizzato all’interno del tesserino e l’impronta digitale presentata all’atto del rilevamento della presenza; dopo di che, cancellato il dato biometrico, trasmetteva il numero di matricola dell’interessato, nonché la data e l’ora della timbratura al sistema centralizzato di gestione delle presenze. Dunque, il punto cruciale della decisione in commento riguarda la base giuridica ex artt. 6 e 9 GDPR che deve immancabilmente sussistere per legittimare, così come ogni trattamento, anche quello relativo ai dati biometrici e che – a parere dell’Autorità – nel caso di specie risulterebbe mancante. Precisa il Garante che affinché uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente iniziato è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire. Ciò in quanto, la base giuridica del trattamento, per poter essere considerata una valida condizione di liceità del trattamento, deve, tra l’altro, “perseguire un obiettivo di interesse pubblico ed essere proporzionato all’obiettivo legittimo perseguito” (art. 6, par. 3, lett. b), del Regolamento).  Appartenendo alla categoria dei “dati particolari” i dati biometrici godono di una specifica protezione: non a caso il legislatore ne consente il trattamento, in via eccezionale, solo nelle ipotesi tassativamente indicate all’art. 9 del GDPR. Ed è proprio a quest’ultima disposizione che occorre guardare per individuare il fondamento di liceità del loro trattamento. Tale circostanza è peraltro confermata dal legislatore nazionale il quale, nel recepire le indicazioni fornite dal GDPR ha stabilito che i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzia disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure. (cfr. art. 2- septies del Codice Privacy aggiornato al D.lgs. 101/2018). Vediamo cosa è accaduto nel caso di specie. La finalità per cui il sistema di rilevazione delle presenze mediante impiego delle impronte digitali dei dipendenti era stato implementato dall’Azienda sanzionata era quella di consentire all’Ente di prevenire il fenomeno dell’assenteismo. Ciò in aderenza a quanto previsto dall’art. 2 della legge 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” il quale ha previsto che “ai fini della verifica dell’osservanza dell’orario di lavoro” le pubbliche amministrazioni “introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso”. Sembrerebbe, quindi, che in tal caso il trattamento trovasse la propria legittimazione nella previsione di cui all’art. 9, paragrafo 2 lettera b) il quale consente il trattamento di dati particolari se si profila come “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”. A condizione, però, che esso “sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. Condizione, tuttavia, che non si sarebbe concretizzata nella fattispecie oggetto della pronuncia del Garante. La disposizione dell’art. 2 L. 56/2019 cit. invocata dall’ente, infatti, stabilisce che la propria operatività sia subordinata all’individuazione di misure attuative da parte di un D.P.C.M., ad oggi non ancora emanato, adottato su proposta del Ministro della funzione pubblica, previa intesa con la conferenza Stato-Regioni e con il parere del Garante Privacy. Il mancato perfezionamento dell’iter normativo, dunque, avrebbe determinato a parere dell’Autorità, l’assenza di una valida base giuridica del trattamento eseguito dall’Azienda sanzionata. Mancando, infatti, il regolamento attuativo della L. 56/2019 “che avrebbe dovuto contenere specifiche garanzie per circoscrivere e specificare la portata della norma nonché regolare le principali caratteristiche e modalità del trattamento” non si sarebbe configurata la condizione prevista dal più volte citato art. 9, par. 2, lett. b).  Nessun valore, peraltro, ha avuto agli occhi del Garante la tesi prospettata dall’ente a sua difesa secondo cui nel caso in esame il fondamento di liceità dei trattamenti si sarebbe potuto ascrivere al consenso prestato dai dipendenti avevano prestato dopo aver ricevuto l’informativa ex art.13 del GDPR. Innanzi tutto, perché – come più volte sostenuto dal Garante – il consenso in ambito lavorativo non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali, tenuto conto della condizione di subordinazione in cui il lavoratore si trova rispetto al titolare, la quale mina la libertà richiesta dall’art. 7 par. 4 GDPR rispetto alla manifestazione di volontà dell’interessato in relazione ai trattamenti che richiedono, appunto, il suo consenso. Ed in secondo luogo perché l’informativa fornita agli interessati nel caso di specie non riportava in modo puntale e completo le informazioni richieste dal Regolamento per assicurare un corretto e trasparente trattamento dei dati. Infine, a parere del Garante Privacy, i gap rilevati nel corso dell’istruttoria non possono essere colmati dalla considerazione, pure prospettata dall’Azienda, per cui il sistema di rilevazione delle presenze adottato dalla stessa, nella sua finalità di disincentivare l’assenteismo, avesse quale obiettivo quello di rafforzare l’efficienza dell’amministrazione ai sensi dell’art. 97 Cost. determinando così la ricorrenza dei motivi di interesse pubblico che ai sensi dell’art. 9, par. 2, lett. g) GDPR legittimerebbe il trattamento dei dati biometrici in simili circostanze. Invero, sul punto è intervenuto l’art. 2-sexies del D.Lgs. 196/2003 introdotto dal D.Lgs. 101/2018 il quale, nel definire il perimetro dell’interesse pubblico quale condizione legittimante i trattamenti dei dati particolari, ne ha ricondotto l’operatività ad una previsione normativa specifica che precisi – oltre all’interesse in concreto – i tipi di dati, le operazioni eseguibili e le misure appropriate per tutelare i diritti degli interessati. Tutte circostanze, queste, che non ricorrono nel caso di specie. In conclusione, sembrerebbe allo stato mancare una base giuridica che possa legittimare il trattamento di dati biometrici nell’ambito del rapporto di lavoro, non potendo in tal caso soccorrere neppure il legittimo interesse, quale requisito di legittimazione previsto dall’art. 6, par. 1 lett. f) GDPR. Al riguardo, infatti, il Garante Privacy, nel Provvedimento del 22 febbraio 2018 – Indicazioni preliminari di cui in motivazione volte a favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679 ha sottolineato che “nel trattare dati personali sulla base del legittimo interesse proprio o di terzi, è necessario tenere in debita considerazione” che “il trattamento non riguardi le categorie particolari di dati personali enumerate all´art. 9, par. 1, del Regolamento (tra i quali sono inclusi i dati biometrici che, rispetto al regime previgente stabilito dal Codice, vengono, così, sottratti alla possibilità di essere trattati in base al presupposto del legittimo interesse)”. Avv. Adamo Brunetti – CEO