Per controllare le presenze sul posto di lavoro non è lecito utilizzare il riconoscimento facciale, raccogliendo i dati relativi al viso dei lavoratori, in quanto tale tecnica di intelligenza artificiale, da un lato, viola la riservatezza dei dipendenti e, dall’altro lato, è da considerarsi sproporzionata rispetto alla finalità da perseguire, tenuto conto che lo scopo di controllare la presenza dei lavoratori può essere ugualmente raggiunto con mezzi meno invasivi della sfera personale del lavoratore.

Lo ha stabilito il Garante adottando ben cinque provvedimenti sanzionatori, pubblicati lo scorso 23 marzo, con cui i trattamenti illeciti dei dati biometrici effettuati nei confronti di un largo numero di lavoratori sono stati sanzionati con Ordinanze-ingiunzioni di pagamento rispettivamente di 70mila, 20mila, 6mila, 5mila e 2mila euro.

In particolare, con i provvedimenti n. 9995680, 9995701, 9995741, 9995762, 9995785, il Garante ha sanzionato le cinque società che si sono raggruppate in ATI per gestire il servizio di smaltimento dei rifiuti di un Comune.

Secondo il Garante, le società che hanno fatto ricorso ad un sistema particolarmente “invasivo”, qual è il riconoscimento facciale, per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro avevano a disposizione e potevano scegliere sistemi rispettosi della privacy dei dipendenti, come il badge.

Il trattamento illecito, attraverso la raccolta e l‘elaborazione di dati biometrici, è stato censurato non solo con le sanzioni pecuniarie amministrative in precedenza citate, ma anche con l’ordine di cancellazione dei dati raccolti in modalità illecita.

• ART. 9 GDPR E RICONOSCIMENTO FACCIALE QUALE TRATTAMENTO DI DATI BIOMETRICI INTESI A IDENTIFICARE IN MODO UNIVOCO UNA PERSONA FISICA

Le recenti tecniche di elaborazione digitale delle immagini consentono di riconoscere il viso della persona a partire dalle immagini che lo ritraggono.

Si tratta di una tecnica di elaborazione che, tralasciando tutto quello che non rappresenta un viso (come, ad esempio, i vegetali, gli alberi, le case, le strade, etc.), rileva l’immagine della faccia, consentendo di accertare l’identità della persona fisica .

Il riconoscimento facciale o face detection è una tecnica di intelligenza artificiale utilizzata per la misurazione delle grandezze biofisiche del viso. Nella biometria (vocabolo che origina da bìos/vita e da métron/conteggio-misura), la tecnica di misurazione si basa sul riconoscimento di un pattern, intendendosi per pattern il modello da riconoscere costituito, nel presente caso, dal viso umano.

In particolare, i dati biometrici, idonei a consentire o a confermare, in maniera univoca, l’identità o identificazione dell’immagine facciale, sono i dati personali ottenuti da una elaborazione tecnica specialistica riferita alle caratteristiche biologiche e fisiologiche della persona fisica a cui i dati si riferiscono.

Tenuto conto che la raccolta delle immagini del viso costituisce trattamento biometrico di dati personali, va ricordato al riguardo che, secondo l’art. 9.1 del GDPR:

- “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”

Il divieto di trattamento non si applica se si verifica uno dei seguenti casi, previsti dal paragrafo 2 dell’art. 9:

a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri disponga che l'interessato non possa revocare il divieto;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3 dell’art. 9;

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

Non basta il consenso esplicito e l’attuazione delle misure di garanzie previste dal nostro ordinamento e in precedenza citate, dovendosi effettuare, prima di procedere al trattamento del dato biometrico facciale, anche una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

Al riguardo, va tenuto presente che, nel caso del dato facciale, si tratta di un tipo di trattamento che prevede l’uso di nuove tecnologie e che, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Ne consegue che la doverosa valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale deve tener conto dei rischi per i diritti e le libertà degli interessati connessi all’uso della tecnologia biometrica, tenendo conto del:

• d.l. 10/5/2023, n. 51, conv. nella l. 3/7/2023, n. 87 che, con l’art. 8-ter, ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all'impiego di sistemi di riconoscimento facciale nel rispetto del principio di proporzionalità previsto dall'articolo 52 della Carta dei diritti fondamentali dell'Unione europea”.

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

● ART. 9 GDPR, LA TRASPARENZA DEL TRATTAMENTO E L’INFORMATIVA

Il Garante ha più volte ribadito che il titolare, in veste di datore di lavoro e in applicazione del principio di trasparenza, ha l’obbligo di indicare in ogni caso ai dipendenti e collaboratori, conformemente a quanto specificamente indicato dall’art. 13 del Regolamento:

- quali sono le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro;

- quali sono gli strumenti attraverso i quali i trattamenti sono effettuati.

Tale obbligo va osservato anche considerando che, nell’ambito del rapporto di lavoro, informare il dipendente è altresì espressione del dovere di correttezza (art. 5, par. 1, lett. a) del Regolamento).

Nel caso delle cinque società raggruppate in ATI e sanzionate dal Garante, è invece emerso che è stata omessa la fornitura dell’informativa sulle caratteristiche del trattamento di dati biometrici mediante riconoscimento facciale.

In particolare non è stata fornita alcuna evidenza del rilascio dell’informativa agli interessati, tenuto conto che in base all’art. 12, par. 1, del Regolamento:

Per i trattamenti sanzionati dal Garante con i provvedimenti in precedenza indicati, non risultano attuate le misure necessarie per la liceità del trattamento dei dati biometrici ai fini del riconoscimento facciale utilizzato per controllare le presenze, sul posto di lavoro, dei lavoratori impiegati per la gestione dei rifiuti del Comune, all’interno del sito industriale di rimessaggio dove gli stessi operavano.

Tre delle società, che avevano ottenuto l’affidamento come ATI e che operano presso il cantiere del Comune, condividevano un elenco unico dei dipendenti da sottoporre a verifica della presenza, tramite il sistema di rilevazione biometrica, mentre le altre due società fornivano un proprio elenco dei rispettivi dipendenti, da sottoporre a verifica.

All’interno di un locale limitrofo al parco automezzi era presente un dispositivo di riconoscimento dei dipendenti basato sulla biometria del volto.

Il sistema veniva utilizzato per la rilevazione delle presenze dei dipendenti delle società che operano nel cantiere, più eventuali stagionali o sostituti temporanei.

Attraverso il suddetto dispositivo, come rilevato dal Garante, si è verificato, in concreto, un trattamento di dati biometrici:

- sia nella fase di registrazione (c.d. enrolment), attuato attraverso l’acquisizione delle caratteristiche biometriche del volto,

- sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze.

Il Garante è intervenuto a seguito dei reclami di diversi dipendenti e, a seguito e dell’attività ispettiva svolta con ricorso all’ausilio del Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, e ha evidenziato che:

• non esiste, attualmente, alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento, per svolgere una tale attività di rilevazione delle presenze;
• vi sono particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo;
• non è stata fornita una informativa chiara e dettagliata ai lavoratori né è stata effettuata la valutazione d’impatto prevista dall’art. 35 GDPR;
• la circostanza che il produttore e il fornitore dei dispositivi di riconoscimento facciale (soggetti che in ogni caso devono tener conto del diritto alla protezione dei dati) avessero prodotto una “dichiarazione e certificazione di conformità dell’apparato biometrico […], in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR”,

In definitiva, nel caso esaminato dal Garante, i trattamenti dei dati biometrici relativi alla presenza in servizio dei dipendenti, tratti dal sistema di rilevazione delle presenze a decorrere dal 2021 e proseguiti fino al 2023 (data di disattivazione del sistema in conseguenza degli accertamenti del Garante), effettuati in assenza di alcuna base giuridica applicabile tra quelle previste dall’art. 9, paragrafo 2 GDPR:

• sono avvenuti in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento;
• sono da considerarsi illeciti in relazione agli artt. 5, par. 1, lett. a), 9, 13, 28, 30, 32 e 35 GDPR.

Inoltre, in base alla normativa posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento).

Il titolare, in qualità di datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) del Regolamento).

Ciò premesso e fermo restando quanto sopra, le società in ATI, ad avviso del Garante, avrebbero potuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro come, ad esempio, il badge.