Il Garante per la privacy ricorda che il Regolamento per la protezione dei dati personali non consente l'utilizzo del riconoscimento facciale per controllare le presenze sul posto di lavoro in quanto viola la privacy dei dipendenti. 

A questo proposito infatti è stato reso noto che sono stati emanati 5 provvedimenti sanzionatori contro altrettante aziende di igiene ambientale  riunite in associazione temporanea impegnate in siti di smaltimento rifiuti,   per trattamento illecito dei dati biometrici dei lavoratori . (Provvedimenti n. 9995680, 9995701, 9995741, 9995762, 9995785)

Vediamo di seguito i dettagli sul provvedimento più severo emanato nei confronti della capogruppo con sanzione di 70mila euro  per diverse violazioni al Regolamento.

Videsorveglianza con riconoscimento biometrico: il caso piu grave

Il Garante privacy era intervenuto a seguito dei reclami di numerosi dipendenti  di aziende attive nel settore dei servizi ambientali che segnalavano l'obbligo per l'accesso al sito di lavoro, di utilizzare un rilevatore biometrico, basato sul riconoscimento facciale.

A seguito di sopralluoghi e indagini del Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza è stato accertato che  per l'attività di un gruppo di imprese in associazione temporanea operanti in vari siti di smaltimento rifiuti  la società capogruppo aveva fatto installare apparecchi biometrici di rilevamento presenze ,operanti per più di un anno.

Con memorie difensive la Società aveva dichiarato che il fenomeno dell’assenteismo, segnatamente accompagnato da timbrature fraudolente  aveva dato origine a  pesanti contenziosi in ambito  lavoristico […] che  hanno avuto esiti negativi proprio perché la società era impossibilitata a verificare con certezza l’effettivo orario di lavoro prestato in quanto venivano utilizzati fogli presenze cartacei.”;

Inoltre “la società,  sulla base della dichiarazione e certificazione di conformità dell’apparato biometrico fornita dal produttore  in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR, riteneva di potere utilizzare lo stesso ai sensi dell’art. 9 c.2, par. b. del Regolamento”  in 9 siti operativi collegati  con  il numero di 13 apparecchi utilizzati per il controllo di un totale di 218 dipendenti

La guardia di finanza segnalava  in particolare  che :

•  “gli apparati sono installati al fine di effettuare la rilevazione delle presenze tramite confronto uno a molti dell’impronta biometrica del volto dei dipendenti . La società fornitrice ha fornito il manuale di utilizzo  e un tecnico  effettuava la formazione sull’utilizzo del dispositivo al capocantiere” 
• “i dati biometrici degli interessati risiedono esclusivamente nel dispositivo e non sono accessibili da remoto, né in locale, se non per la cancellazione, che può essere effettuata solo direttamente sul dispositivo” .
• Veniva anche verbalizzato che  “probabilmente su molti dispositivi installati è stata mantenuta la password di default, presente sul dispositivo della sede principale" 
• “il dispositivo è dotato di uno speciale algoritmo per criptare i dati biometrici in modo non reversibile” (verbale cit., p. 4); 
• i    template biometrici cifrati, acquisti in fase di registrazione dei lavoratori ,   risultavano associati ai suddetti codici numerici, senza alcuna memorizzazione nel dispositivo del nome e cognome degli interessati”.

Dati biometrici : normativa e parere del Garante

Nella propria analisi l'autorità osserva  primariamente che  il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento … in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”

Viene riconosciuto che le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […]

Allo   stato,  l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. In particolare ricorda che il decreto legge  10/5/2023, n. 51,  con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all'impiego di tali  sistemi"  come già ribadito  dal Garante con i provvedimenti n. 369 2022 (doc. web n. 9832838) e n. 16  2021 (doc. web n. 9542071).

L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro  non è dunque conforme ai principi di minimizzazione e proporzionalità del trattamento.

II Garante precisa che  per gli stessi fini  sul luogo di lavoro avrebbero potuto essere adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).

In secondo luogo il Garante ricorda che il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati  . 

La società ha operato invece senza rispettare il principio di trasparenza,  che prevede l’obbligo di indicare ai propri dipendenti  quali siano le caratteristiche essenziali dei trattamenti di dati effettuati  nonché degli strumenti attraverso i quali  sono effettuati.

Ancora,  è stato violato l'obbligo di indicare il responsabile del trattamento dei dati personali , che era affidato alla società fornitrice dei dispositivi

Infine, la circostanza che il produttore e il fornitore dei dispositivi di riconoscimento facciale avessero prodotto una “dichiarazione e certificazione di conformità non può far venir meno la responsabilità della Società, considerato che il titolare del trattamento, alla luce di quanto stabilito dall’art. 5, par. 2, del Regolamento, in base al c.d. principio di responsabilizzazione, “è competente per il rispetto [dei principi generali del trattamento] e in grado di comprovarlo”.

Controllo biometrico lavoratori: le conclusioni del Garante privacy

In conseguenza di queste risultanze la società capogruppo è stata sanzionata con ammenda di 70mila euro  considerando, a sfavore della Società,

1. la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento e il trattamento di dati particolari,
2.   la durata della violazione che si è protratta per più di un anno e il numero significativo degli interessati coinvolti;
3.  con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

Invece, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e della decisione di sospendere le attività di trattamento dopo l’inizio delle attività ispettive.

Nuovo intervento del Garante per la protezione dei dati personali  in tema di tutela della posta elettronica dei dipendenti  mette in stand by le raccomandazioni estremamente restrittive  del documento di indirizzo del 21 dicembre 2023, pubblicato il 6 febbraio 2024,  denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati che prescriveva severi limiti nella conservazione dei dati  ( max 7 giorni di conservazione dei metadati che consentono di archiviare con ordine i documenti elettronici) 

Scarica qui il testo del provvedimento del 6 febbraio .  

Le raccomandazioni del Garante, che come noto sono vincolanti ,  hanno prodotto molta preoccupazione tra gli addetti ai lavori  per l'applicabilità , ancora tutta da definire.

 Sul tema era intervenuta  pochi giorni dopo il ministro del lavoro Calderone assicurando che il Governo e l'ispettorato del lavoro erano al lavoro per mettere a punto  le indicazioni operative . 

Il nuovo provvedimento  annuncia una proroga di almeno 30 giorni  dell'entrata in vigore delle nuove regole e una consultazione pubblica per ridefinire in dettaglio i tempi e le modalità di applicazione.

 Vediamo con ordine nei paragrafi seguenti.

Privacy: nuovi limiti di conservazione dei dati della posta elettronica dei dipendenti

Le linee guida del  6 febbraio  2024 sono indirizzate ai  datori di lavoro pubblici e privati   per prevenire trattamenti di dati in contrasto con le norme sulla protezione della privacy ai fini di tutelare la libertà e la dignità dei lavoratori.

Il provvedimento analizza in particolare  l'utilizzo di programmi forniti  in modalità cloud  che spesso trattano  in modo generalizzato e sistematico i dati  senza possibilità di  disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti e indica nuovi limiti temporali per la conservazione dei dati ( vedi i dettagli sotto)

Il documento  è nato a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti ( si tratta ad esempio di  giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). 

In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Nel provvedimento  il Garante  chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione 

ATTENZIONE Il periodo considerato congruo  sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica  del  lavoratore è fissato a

• un massimo di 7 giorni, 
• estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.

Mail dipendenti: la tutela prevista per evitare violazioni della privacy

Per i casi in cui i  datori di lavoro  debbano per esigenze organizzative e produttive o di tutela del patrimonio  informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) t rattare i metadati per un periodo di tempo più esteso, si richiede di espletare le procedure di garanzia previste dallo Statuto dei lavoratori  (Legge 300 1970) ovvero 

1. pervenire ad un accordo con le rappresentanze sindacali  o 
2. ottenere l'autorizzazione dell’ispettorato del lavoro.

Infatti una estensione del periodo di conservazione oltre l'arco temporale sopracitato  può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore, che è vietato appunto dallo Statuto dei lavoratori .

Privacy posta elettronica dipendenti: la posizione del Ministero

Il ministro del lavoro Marina Calderone  a margine del Welfare & Hr summit,  convegno sulla situazione del mercato del lavoro  promosso dal Sole 24 Ore,  è stata interpellata anche  questo nuovo provvedimento che rischia di mettere  difficoltà praticamente tutte le aziende con dipendenti.

Calderone ha rassicurato affermando che il ministero è al lavoro  in stretta collaborazione con  l'ispettorato nazionale del lavoro , che è responsabile dei controlli sul  territorio,  per "individuare una corsia semplificata " per dare alle  aziende "la possibilità di adempiere agli obblighi senza troppe complicazioni». 

Si attendono quindi provvedimenti  ministeriali  che chiariscano come le aziende debbano adeguarsi.

Mail dipendenti: la proroga e la consultazione pubblica

Nel nuovo documento il  Garante,  in considerazione delle osservazioni critiche   giunte  sul temaannuncia , come detto,  l'avvio di  una consultazione pubblica della durata di 30 giorni a partire dalla  data di pubblicazione dell’avviso, quindi dal 27 febbraio  al 28 marzo 2024 per acquisire proposte in merito alla congruità del termine  proposto del documento del 21 dicembre e, più in generale  alle forme e modalità di utilizzo  per un prolungamento dei tempi .

L’efficacia del documento di indirizzo  (che ordinariamente è immediata  viene quindi  differita al termine della predetta consultazione pubblica all’esito della quale il

Garante si riserva di adottare ulteriori determinazioni .

In caso di mancata adozione di nuovi provvedimenti l'entrata in vigore delle nuove regole  viene fissata  dopo ulteriori 60 giorni dal termine della consultazione

Mail dipendenti : come inviare osservazioni sul provvedimento del Garante

I soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 30 giorni dalla pubblicazione  dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all’indirizzo del  Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica  [email protected] oppure [email protected].

E' stata aggiornata e resa disponibile dal Garante privacy  una nuova edizione della "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali"(QUI IL TESTO)  che era stata inizialmente pubblicata nel 2018.

 Si tratta di una pubblicazione illustrata,  di facile consultazione  per  enti pubblici e privati,  rivolta in particolare alle piccole e medie imprese che hanno meno strumenti per gestire gli adempimenti  in tema di trattamento dei dati personali, rispetto alle grandi società.

I contenuti della guida privacy 2023 

 Oltre a fornire tutti i riferimenti normativi sulla materia, la Guida  chiarisce i principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento per il rispetto della privacy, fornendo anche consigli pratici su : 

•  diritti dell’interessato 
• doveri dei titolari; 
• trasparenza sull’uso dei dati personali
• liceità del loro trattamento.

Attenzione particolare è dedicata  inoltre  a:

• informativa privacy agli interessati
• notifica delle violazioni al  Garante privacy 
• designazione del Responsabile della protezione dei dati
• trasferimento dei dati personali  in altri Paesi

Il Garante ricorda anche che con il GDPR la  gestione della privacy  è  diventata parte integrante delle attività di un’organizzazione, per la quale i titolari devono adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.

I nuovi diritti in materia di privacy

 Va anche sottolineato come il Regolamento Ue  679 2016 ha introdotto anche nuovi diritti riconosciuti alle persone,  tra i quali si segnalano 

1. la possibilità di  trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network ("diritto alla portabilità"), 
2. l diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.

La pubblicazione è disponibile  anche sul sito del Garante  all'indirizzo www.gpdp.it.

Il Ministero del Lavoro e delle Politiche Sociali  ha risposto con l’interpello n. 3 dell’8 maggio 2019, ad un quesito del Consiglio nazionale dell’ordine dei consulenti del lavoro, in tema di installazione degli impianti di videosorveglianza nei luoghi di lavoro.

In particolare i consulenti del lavoro chiedevano se era possibile configurare il silenzio assenso in un caso di richiesta di autorizzazione all’installazione ed utilizzo degli impianti audiovisivi  ex articolo 4, comma 1, della legge 20 maggio 1970, n. 300, basandosi su quanto disposto dalla legge n. 241/1990  per la quale il silenzio dell’amministrazione competente equivalga ad accoglimento della domanda. La risposta del  Ministero è assolutamente negativa in quanto ricorda che:

"con  nota del  16  aprile  2012 (prot.  n.  7162) l’allora Direzione Generale per l’attività ispettiva di questo Ministero aveva fornito istruzioni operative in relazione al rilascio delle autorizzazioni previste dall’articolo 4 della legge n. 300 del 1970.  In  quella  occasione  era  stata sottolineata  la  necessità  di :

• considerare  i  presupposti  legittimanti  la  richiesta  di  installazione  di  impianti  di controllo, ovvero l’effettiva sussistenza delle esigenze organizzative e produttive, sottolineando inoltre
• il necessario rispetto del Codice per la privacy, nonché dei successivi provvedimenti del Garante, in particolare delle prescrizioni del Provvedimento generale sulla videosorveglianza dell’8 aprile 2010, nel quale, tra l’altro, si afferma l’esclusione dell’applicazione del principio del silenzio-assenso in questo caso specifico. "

Quindi ribadisce che  la formulazione dell’articolo 4, primo comma, della legge n. 300 del  70 non consente la possibilità di installazione e di utilizzo degli impianti di controllo in assenza di un atto espresso di autorizzazione, sia esso di carattere negoziale (l’accordo sindacale) o amministrativo (il provvedimento). 

Tale interpretazione  tra l'altro è condivisa  anche  dalla  giurisprudenza di cui si ricordano in particolare le sentenze  Cass.pen.n.22148/2017,  Cass. pen. n. 51897/2016; Cass. civ. n. 1490/1986.

• Interpello lavoro 3-2019 videosorveglianza