Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN
Access denied. You must log in to view this page.

Controllo presenze lavoratori con trattamento di dati biometrici

Altri articoli dell'autore

Diritto /

Ecommerce B2C- Report del Politecnico di Milano: i settori di punta delle vendite online nel 2018

Diritto /

Omicidio stradale: non sussiste concorso di reati con la fattispecie contravvenzionale di guida in stato d’ebbrezza

Diritto /

Lotta alla corruzione: intervista al Professor Ranieri Razzante

Un’azienda con circa trecento dipendenti ha chiesto al Garante di effettuare una verifica preliminare in merito al trattamento di dati biometrici dei propri dipendenti finalizzato ad accertarne la presenza sul luogo di lavoro e commisurare di conseguenza la retribuzione ordinaria e straordinaria da corrispondere.

In sostanza, il sistema proposto dall’azienda presuppone una fase di raccolta di dati biometrici nella quale la società, avvalendosi di apparecchiature elettroniche dotate di lettore di impronte digitali e di apposito software, trasformerebbe l’immagine di una porzione dell’impronta digitale dei lavoratori in un codice numerico, associandolo a ciascun lavoratore con la sua memorizzazione nel sistema informativo aziendale (senza sottoporlo a cifratura o ad altre tecniche equivalenti).

Tale codice verrebbe utilizzato quale termine di paragone dei codici numerici ricavati dalla lettura delle (parti di) impronte digitali dei lavoratori, rilevate, in occasione di ciascun ingresso e uscita dal luogo di lavoro, attraverso lettori dislocati in diverse aree dell’azienda e connessi al relativo sistema informativo.

Il trattamento di dati biometrici è giustificato dall’esigenza di prevenire alcune condotte, anche abusive, da parte di alcuni dipendenti (consistenti nello scambio dei badge) e lo smarrimento delle tessere magnetiche attualmente in uso; viene quindi ritenuto che il trattamento dei dati biometrici consentirebbe di ovviare a tali inconvenienti, assicurando un grado elevato di certezza nell’identificazione dei lavoratori.

In ogni caso l’azienda ha comunicato al Garante di assicurare ai lavoratori che siano impossibilitati a partecipare al riconoscimento o che non intendano acconsentire al trattamento, di attestare la propria presenza sul luogo di lavoro mediante l’apposizione della propria sottoscrizione in un registro delle presenze ubicato presso l’ufficio del personale con riconoscimento "a vista" o, ancora, ricorrendo ad altri "sistemi convenzionali".

Il Garante, con un provvedimento del 21 luglio 2005, ha contestato in generale la completezza della documentazione prodotta dall’azienda, eccependo l’impossibilità di determinare il grado di affidabilità del sistema.

Due sono in particolare gli appunti del Garante:

dagli elementi forniti non è possibile ricavare con certezza se siano adeguate le misure di sicurezza predisposte a protezione della rete di comunicazione elettronica sulla quale i dati biometrici sono trasmessi dai singoli lettori al sistema centralizzato di acquisizione dati. A tale proposito, una misura opportuna da parte del titolare del trattamento consisterebbe ad esempio nell’utilizzo di chiavi di cifratura dei dati biometrici, indicato anche a livello europeo;

l’informativa predisposta non risulta adeguata rispetto al trattamento che si intende porre in essere. Ai lavoratori non è chiaramente espressa la possibilità di scegliere se aderire o meno al sistema di riconoscimento dei dati.

Con il citato provvedimento il Garante per la protezione dei dati personali ha posto le regole per l’ammissibilità dell’utilizzo del trattamento di dati biometrici per il controllo delle presenze dei lavoratori.

Il Garante ha ribadito che è vietato l’uso generalizzato delle impronte digitali dei dipendenti per controllare le presenze sul luogo di lavoro. Tale sistema è troppo invasivo della sfera personale e della libertà individuale.

Per raggiungere lo stesso scopo si possono adottare altre tecniche più proporzionate ed ugualmente efficaci.

In sostanza, la violazione dei principi di proporzionalità non eccedenza e necessità del trattamento dei dati discende dal fatto che il titolare del trattamento dei dati (in questo caso l’azienda interessata), per verificare la puntuale osservanza dell’orario di lavoro da parte dei lavoratori, impedendo in pari tempo condotte abusive dei medesimi, può disporre di altri sistemi meno invasivi della sfera personale, della libertà individuale e che non coinvolgano il corpo del lavoratore, aspetti entrambi costitutivi della dignità personale, a presidio della quale sono dettate le discipline di protezione dei dati personali.

L’utilizzo di dati biometrici nei luoghi di lavoro secondo il Garante - può essere giustificato in casi particolari, in relazione alle finalità e al contesto in cui essi sono trattati (ad esempio, accessi a particolari aree dell’azienda per le quali debbano essere adottati livelli di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività ivi svolte), oppure per finalità di sicurezza del trattamento di dati personali.

In ogni caso, secondo il Garante, è da ritenere preferibile, laddove sia ammesso il ricorso a dati biometrici, la memorizzazione del codice identificativo su un supporto che resti nell’esclusiva disponibilità dell’interessato (una volta completato il c.d. enrollment), piuttosto che la registrazione dello stesso a livello centralizzato nel sistema informativo aziendale (con conseguenti più gravi ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accessi di persone non autorizzate o, comunque, di abuso delle informazioni memorizzate, anche ad opera di terzi).

(Garante per la protezione dei dati personali, Provvedimento 21 luglio 2005: Uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro)

Un’azienda con circa trecento dipendenti ha chiesto al Garante di effettuare una verifica preliminare in merito al trattamento di dati biometrici dei propri dipendenti finalizzato ad accertarne la presenza sul luogo di lavoro e commisurare di conseguenza la retribuzione ordinaria e straordinaria da corrispondere.

In sostanza, il sistema proposto dall’azienda presuppone una fase di raccolta di dati biometrici nella quale la società, avvalendosi di apparecchiature elettroniche dotate di lettore di impronte digitali e di apposito software, trasformerebbe l’immagine di una porzione dell’impronta digitale dei lavoratori in un codice numerico, associandolo a ciascun lavoratore con la sua memorizzazione nel sistema informativo aziendale (senza sottoporlo a cifratura o ad altre tecniche equivalenti).

Tale codice verrebbe utilizzato quale termine di paragone dei codici numerici ricavati dalla lettura delle (parti di) impronte digitali dei lavoratori, rilevate, in occasione di ciascun ingresso e uscita dal luogo di lavoro, attraverso lettori dislocati in diverse aree dell’azienda e connessi al relativo sistema informativo.

Il trattamento di dati biometrici è giustificato dall’esigenza di prevenire alcune condotte, anche abusive, da parte di alcuni dipendenti (consistenti nello scambio dei badge) e lo smarrimento delle tessere magnetiche attualmente in uso; viene quindi ritenuto che il trattamento dei dati biometrici consentirebbe di ovviare a tali inconvenienti, assicurando un grado elevato di certezza nell’identificazione dei lavoratori.

In ogni caso l’azienda ha comunicato al Garante di assicurare ai lavoratori che siano impossibilitati a partecipare al riconoscimento o che non intendano acconsentire al trattamento, di attestare la propria presenza sul luogo di lavoro mediante l’apposizione della propria sottoscrizione in un registro delle presenze ubicato presso l’ufficio del personale con riconoscimento "a vista" o, ancora, ricorrendo ad altri "sistemi convenzionali".

Il Garante, con un provvedimento del 21 luglio 2005, ha contestato in generale la completezza della documentazione prodotta dall’azienda, eccependo l’impossibilità di determinare il grado di affidabilità del sistema.

Due sono in particolare gli appunti del Garante:

dagli elementi forniti non è possibile ricavare con certezza se siano adeguate le misure di sicurezza predisposte a protezione della rete di comunicazione elettronica sulla quale i dati biometrici sono trasmessi dai singoli lettori al sistema centralizzato di acquisizione dati. A tale proposito, una misura opportuna da parte del titolare del trattamento consisterebbe ad esempio nell’utilizzo di chiavi di cifratura dei dati biometrici, indicato anche a livello europeo;

l’informativa predisposta non risulta adeguata rispetto al trattamento che si intende porre in essere. Ai lavoratori non è chiaramente espressa la possibilità di scegliere se aderire o meno al sistema di riconoscimento dei dati.

Con il citato provvedimento il Garante per la protezione dei dati personali ha posto le regole per l’ammissibilità dell’utilizzo del trattamento di dati biometrici per il controllo delle presenze dei lavoratori.

Il Garante ha ribadito che è vietato l’uso generalizzato delle impronte digitali dei dipendenti per controllare le presenze sul luogo di lavoro. Tale sistema è troppo invasivo della sfera personale e della libertà individuale.

Per raggiungere lo stesso scopo si possono adottare altre tecniche più proporzionate ed ugualmente efficaci.

In sostanza, la violazione dei principi di proporzionalità non eccedenza e necessità del trattamento dei dati discende dal fatto che il titolare del trattamento dei dati (in questo caso l’azienda interessata), per verificare la puntuale osservanza dell’orario di lavoro da parte dei lavoratori, impedendo in pari tempo condotte abusive dei medesimi, può disporre di altri sistemi meno invasivi della sfera personale, della libertà individuale e che non coinvolgano il corpo del lavoratore, aspetti entrambi costitutivi della dignità personale, a presidio della quale sono dettate le discipline di protezione dei dati personali.

L’utilizzo di dati biometrici nei luoghi di lavoro secondo il Garante - può essere giustificato in casi particolari, in relazione alle finalità e al contesto in cui essi sono trattati (ad esempio, accessi a particolari aree dell’azienda per le quali debbano essere adottati livelli di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività ivi svolte), oppure per finalità di sicurezza del trattamento di dati personali.

In ogni caso, secondo il Garante, è da ritenere preferibile, laddove sia ammesso il ricorso a dati biometrici, la memorizzazione del codice identificativo su un supporto che resti nell’esclusiva disponibilità dell’interessato (una volta completato il c.d. enrollment), piuttosto che la registrazione dello stesso a livello centralizzato nel sistema informativo aziendale (con conseguenti più gravi ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accessi di persone non autorizzate o, comunque, di abuso delle informazioni memorizzate, anche ad opera di terzi).

(Garante per la protezione dei dati personali, Provvedimento 21 luglio 2005: Uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro)

Articoli più letti su questo argomento

Diritto /

Il contratto di lavoro e il reato di falsità ideologica ex articolo 483 Codice Penale

Diritto /

Il D. LGS. 209/2024 e le modifiche introdotte al nuovo Codice degli appalti pubblici: novità e tutele giuslavoristiche

Diritto /

Trattamento dei dati personali su Facebook: chi è titolare?

Newsletter Abbonamenti