Torniamo su un tema già affrontato ma su cui è necessario uno specifico approfondimento in relazione al consenso che possa essere richiesto ai dipendenti per l’installazione dei rilevatori di presenza con raccolta di dati biometrici.

Gli enti locali, come altri datori di lavoro, potrebbero valutare di utilizzare il sistema di rilevazione delle presenze dei dipendenti, utilizzando sistemi che rilevano le impronte digitali.

Il passaggio a tale sistema, tuttavia, deve essere valutato anche con riferimento al trattamento dei dati personali dei dipendenti, secondo il principio, già illustrato in precedenti news, del “privacy by design”.

La timbratura del personale dipendente con sistemi di lettura di impronte digitali, infatti, comporta il trattamento di dati biometrici.

Questo tipo di dati per la loro particolare natura viene fatto rientrare nella categoria particolari di dati personali il cui trattamento è di norma vietato, a meno che non si rientri in uno dei casi specifici elencati all’art. 9.2 GDPR.

Nell’ambito lavorativo la norma prevede che il trattamento di dati particolari può essere effettuato solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; (si vedano anche i considerando. 51–53 del Regolamento).

Sul punto il Garante della Privacy con provvedimento 14 settembre 2023 n. 9940565 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9940565) ha evidenziato che sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento (in quanto implicano un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro [e della sicurezza sociale e protezione sociale]”), tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento) ( si veda anche provvedimento dell’Autorità n. 369 del 10/11/2022, doc web n. 9832838).

Pertanto, affinché un trattamento avente a oggetto dati biometrici possa essere lecitamente realizzato è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

Allo stato, ha ribadito il Garante nel provvedimento sopra richiamato, non sussiste un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Regolamento e dal Codice per legittimare i titolari del trattamento a porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle presenze dei dipendenti ai sensi dell’art. 9, par. 2, lett. b) del Regolamento.

Alla luce delle considerazioni del Garante, alcune amministrazioni hanno valutato di ricorrere al consenso del lavoratore quale base giuridica per tale tipo di rilevazione delle presenze.

L'utilizzo di tale strumento di rilevazione della presenza dei dipendenti a fronte del consenso prestato dagli stessi ai sensi dell'art. 6 par. 1 lett. a) del GDPR, infatti, può essere astrattamente lecito ma a fronte dell'esame, caso per caso, dell'effettiva libertà ed autonomia del lavoratore che si trova inevitabilmente in una situazione di svantaggio rispetto al datore di lavoro.

L’art. 6 del Regolamento ammette infatti la prestazione del consenso da parte del soggetto interessato tra le “condizioni di liceità” del trattamento.

Il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare i termini proposti o rifiutarli senza subire un eventuale pregiudizio.

Inoltre, il titolare che decide di basare un trattamento di dati sul consenso deve assicurarsi che esso sia: inequivocabile, liberamente fornito, specifico, informato, verificabile e revocabile.

Come spesso ribadito dal Garante all’interno dei propri provvedimenti, il consenso del lavoratore non costituisce un valido presupposto di liceità per il trattamento di dati personali.

Questo giustificato dall’evidente posizione di “squilibrio contrattuale” nella quale si trovano coinvolte le parti.

Infatti, se il trattamento di dati personali, in ambito lavorativo, trovasse la propria condizione di liceità nella manifestazione del consenso da parte del lavoratore, sarebbe necessario verificare caso per caso se effettivamente il consenso sia stato liberamente prestato.

il Comitato Europeo sulla Protezione dei dati (EDPB) nelle sue “Guidelines 05/2020 on consent under Regulation 2016/679” ha affermato che vi è uno squilibrio di potere nel contesto occupazionale data la dipendenza che ne risulta dal rapporto datore di lavoro / dipendente ed è improbabile che l’interessato sia in grado di negare il suo consenso al datore di lavoro. Il dipendente proverà paura o percepirà un rischio reale di effetti dannosi a seguito di un rifiuto. È improbabile pertanto che possa rispondere liberamente a una richiesta di consenso del suo datore di lavoro. L’esempio fornito dell’EDPB è relativo all’attivazione dei sistemi di monitoraggio come l’installazione di telecamere sul luogo di lavoro o la compilazione di moduli di valutazione; è ovviamente improbabile che il consenso venga fornito liberamente.

Anche il Comitato pertanto afferma che nella maggior parte dei casi “la base lecita non può e non deve essere il consenso dei dipendenti a causa della natura del rapporto”.

In sostanza, quindi, è estremamente complesso, per il Comune datore di lavoro, riuscire a dimostrare che i dipendenti del Comune siano stati liberi di esprimere il loro diniego alla richiesta di consenso a tale trattamento dei dati. Pertanto tale soluzione, pur se astrattamente percorribile, diviene difficilmente percorribile anche in considerazione del principio di responsabilizzazione dell’Ente titolare del trattamento e della necessità, per quest’ultimo, di dover dimostrare la sussistenza del legittimo presupposto del trattamento tramite il consenso del lavoratore interessato.