Garante privacy: la biometria non l’unica soluzione nel rapporto di lavoro

Il Garante per la protezione dei dati personali si è pronunciato di recente in ordine alla conformità alla normativa privacy dei rilevamenti biometrici.

Difatti, su istanza di due diverse aziende sono stati emanati nel mese di novembre del 2010 due provvedimenti (doc web. 1779745 e 1779758) che rigettano le richieste di verifica preliminare di sistemi che utilizzavano la biometria. Tali aspetti, peraltro, sono presenti nell’ultima newsletter del 4.2.2011.
In particolare, le richieste di verifica preliminare avanzate dalle aziende al Garante riguardavano l’uso di sistemi biometrici (nel caso di specie di impronta digitale del dito indice) per controllare la presenza sul posto di lavoro dei dipendenti. Il sistema prevedeva la registrazione dell’impronta digitale su una card e all’occorrenza il dipendente avrebbe dovuto inserire la card in un lettore posizionando contestualmente il proprio dito su altro lettore in modo da convalidarne la corrispondenza e quindi la presenza del lavoratore.
Le parti della motivazione più rilevanti del provvedimento del Garante sono quelle riportate di seguito:

Secondo il costante orientamento del Garante, l’utilizzo dei dati biometrici può essere giustificato solo in casi particolari, in relazione alle finalità e al contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, in considerazione della natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati e/o oggetti di valore (in tal senso, vedi il punto 4.1 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati“, emanate dall’Autorità in data 23 novembre 2006 (doc. web n. 1364939).

Da ultimo si rileva che il trattamento di dati biometrici non risulterebbe conforme a legge anche in ragione del fatto che, allo stato, non risulta neanche osservata la procedura prevista dall’art. 4, comma 2 della legge 20 maggio 1970, n. 300 (cui fa espresso riferimento l’art. 114 del Codice), che trova applicazione anche in relazione all’installazione di apparecchiature che consentano” di controllare il rispetto o non degli orari di entrata e uscita e presenza sul luogo di lavoro da parte dei dipendenti” (cfr. Cass., 17 luglio 2007, n. 15892).

Al di là delle considerazioni del Garante in ordine all’approfondimento dei singoli casi, sembra utile riflettere sul sistema delle PET (Privacy Enhancing Technologies) quando le tecnologie sono utilizzate per migliorare la privacy. Tale concetto è strettamente collegato a quello d Privacy by Design applicato in un contesto aziendale contemperando le reali esigenze dell’impresa con i diritti del lavoratore. Secondo quanto dichiarato dalla Dr. Ann Cavoukian – Information and Privacy Commissioner of Ontario (Canada) – che è la teorica della Privacy by Design, la biometria è senz’altro utile a migliorare la privacy e tutelare i diritti del soggetto interessato, ma è opportuno che si adottino adeguate soluzioni tecniche che possano garantire l’assoluta indecifrabilità dei dati (es.: l’uso della crittografia) e – comunque – la non identificazione indiretta della persona mediante il collegamento del dato biometrico ad altri dati o sistemi.

In effetti, non è la tecnologia utilizzata per la biometria che impedisce di ottenere una verifica preliminare da parte del Garante, ma un complesso sistema che va dagli aspetti tecnici a quelli organizzativi a quelli legali. Il Garante è stato chiaro con i provvedimenti su citati nel precisare che è necessaria una maggiore considerazione dell’aspetto organizzativo aziendale piuttosto che l’uso di tecnologie particolari. In effetti, la sola sicurezza non garantisce il rispetto della privacy. La perfetta sintonia tra gli elementi organizzativi e le soluzioni tecnologiche, può portare un beneficio per l’utilizzo delle tecnologie biometriche e la garanzia del rispetto della privacy del soggetto. La persona deve essere posta al centro del sistema e lavalutazione è necessariamente preventiva rispetto a quanto, invece, accade comunemente ove i profili di compliance sono eseguiti al termine di qualsiasi processo.

Nel futuro della privacy si dovrà tener conto anche della PIA (Privacy Impact Assessment) ossia il processo di valutazione dei rischi all’interno di un’organizzazione.

Leave a Reply

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.