“Stat sua cuique dies” disse Giove ad Ercole.
Se è vero che ogni cosa ha il suo tempo ed è destinata a venir meno, il diritto è la dimostrazione di come, talvolta, il nuovo non sostituisca il vecchio.
Mentre infatti nuove tecnologie si susseguono a ritmo sempre maggiore, l’ordinamento fatica a reggere il confronto e a trovare il giusto equilibrio tra diritti ed innovazione.
Se solo il decennio scorso l’utilizzo di sistemi biometrici di riconoscimento potevano costituire la trama di un buon film di fantascienza ora questi strumenti sono acquistabili sul mercato e discretamente diffusi sul territorio nazionale.
Il loro utilizzo però pone un serio interrogativo sulla “legalità” di strumenti che sono in grado di tracciare e utilizzare le caratteristiche che contraddistinguono in maniera pressoché inequivocabile un essere umano: fino a che punto la misurazione e catalogazione delle caratteristiche (fisiche) individuali debbono essere protette?
Senza approfondire l’intero argomento, esauribile probabilmente solo con una monografia dedicata, si tratterà brevemente dell’utilizzo di sistemi biometrici basati sulle impronte digitali finalizzati alla rilevazione delle presenze dei dipendenti nei luoghi di lavoro e le connesse problematiche derivanti dall’applicazione del D.Lgs. n. 196/2003 (Codice della privacy).
E’ lecito pertanto installare ed utilizzare un sistema informatico che utilizzi il rilevamento delle impronte digitali per registrare gli orari in ingresso ed uscita dei dipendenti di un datore di lavoro privato (al di fuori di casi particolari)?
La risposta, rebus sic stantibus, è negativa.
Le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006), all’art. 4, rubricato “Dati biometrici e accesso ad “aree riservate”” non lascia spazio a interpretazioni.
“L’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito” e “L’utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore.”
In un secondo momento, seppur in tema di dipendenti pubblici, il Garante della Privacy ha confermato il suo orientamento pubblicando le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico (Deliberazione n. 23 del 14 giugno 2007) che evidenziano l’approccio nei confronti della materia.
Il capitolo 7, testualmente dedicato alle “Impronte digitali e accesso al luogo di lavoro” ribadisce che “Anche nell’ambito del pubblico impiego, non è consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali, iride) per controllare le presenze o gli accessi sul luogo di lavoro. Il Garante può autorizzare l’attivazione di tali sistemi di rilevazione solo in presenza di particolari esigenze (aree adibite alla sicurezza dello Stato, torri di controllo, conservazione di oggetti di particolare valore) e con precise garanzie (verifica preliminare dell’Autorità, no ad archivi ceqsntralizzati, codice cifrato dell’impronta memorizzato solo nel badge del dipendente).
Lo stesso Garante chiarisce poi che “Resta in particolare privo di giuridico fondamento l’utilizzo di sistemi di rilevazione delle impronte digitali per verificare l’esatto adempimento di prestazioni lavorative, ove siano attivabili misure “convenzionali” non lesive dei diritti della persona quali, ad esempio, apposizioni di firme anche in presenza di eventuale personale incaricato, fogli di presenza o sistemi di timbratura mediante badge magnetico.”
“Di regola, non è pertanto consentito il trattamento di dati relativi alle impronte digitali per accertare le ore di lavoro prestate effettivamente dal personale dislocato anche in sedi distaccate o addetto a servizi esterni, con riferimento, ad esempio, all’esigenza di computare con sistemi oggettivi le turnazioni, l’orario flessibile, il recupero, i permessi, il lavoro straordinario, i buoni pasto, nonché di prevenire eventuali usi abusivi o dimenticanze del badge.
Successivamente poi, nel 2014, l’Autorità ha pubblicato le “ Linee-guida in materia di riconoscimento biometrico e firma grafometrica”.
Il documento presenta un sicuro profilo di interesse, costituito dall’elencazione dei principi in base ai quali si può (deve) stabilire se è un trattamento di dati biometrici sia o meno realizzabile: Liceità, Necessità, Finalità e Proporzionalità.
Anche con questa disciplina la risposta alla domanda in esame è sicuramente negativa.
Il punto più tranciante è sicuramente quello della cd. “Necessità” del trattamento del dato biometrico. L’Ordinamento, in estrema sintesi, vieta l’utilizzo dell’impronta digitale al posto del cd. “cartellino” oppure badge magnetico proprio perché tali metodi esistono e sono, in genere, seppur non ugualmente efficaci e precisi, sostanzialmente equiparabili allo strumento tecnologicamente più avanzato.
L’utilizzo della tecnologia del lettore di impronte digitali impone quindi l’utilizzo di un dato strettamente personale e privato per motivazioni che possono essere ricondotte (nella generalità dei casi) esclusivamente alla maggior comodità e praticità del sistema. Tali esigenze non sono considerate sufficientemente meritevoli.
“I sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi. Prima di procedere all’utilizzo di un sistema biometrico, pertanto, occorre valutare se le stesse finalità possano essere perseguite mediante dati anonimi oppure tramite il sistema biometrico ma con modalità tali da permettere l’individuazione dell’interessato solo in caso di necessità (art. 3 del Codice).”
Accettato che tra il novero dei nuovi diritti v’è anche quello alla riservatezza, la sfida per l’operatore del diritto sarà quella di capire, soprattutto nel periodo in cui le imprese italiane devono fare i conti con la globalizzazione ed una sempre più crescente concorrenza, come far collimare disciplina della privacy con le insopprimibili esigenze di efficienza e produttività delle imprese. Sul punto, visto che le nuove tecnologie consentono di evitare che i sistemi informatici possano ricostruire e schedare l’impronta digitale dei singoli soggetti per il loro corretto funzionamento, probabilmente si può aprire un nuovo orientamento, considerata la rimozione di pericoli riguardanti il profilo della privacy.
Ad ogni modo, per le aziende o imprese che intendono installare sistemi di riconoscimento tramite impronte digitale si consiglia una consulenza preventiva, per comprendere se la propria situazione sia tra quelle autorizzabili dal Garante della Privacy.
E’ doveroso ricordare che, chi utilizza tali sistemi senza il cd. “Prior Checking” da parte del Garante oppure senza la necessaria comunicazione o informativa del trattamento dei dati personali biometrici, rischia sanzioni pecuniarie di importo molto elevato.
Per maggiori informazioni rivolgiti ai nostri avvocati all’indirizzo info@admassociati.it