Rilevamento presenze: quando la Biometria non viola la Privacy

di Alessia Valentini

Pubblicato 13 Settembre 2012
Aggiornato 21 Agosto 2014 19:18

Quando è possibile utilizzare in azienda sistemi biometrici per il controllo delle presenze: normativa vigente e soluzioni ad hoc per la tutela dei dati personali dei lavoratori.

I badge per il controllo presenze del lavoratore registrano l’orario effettivo di ingresso e uscita dal luogo di lavoro senza tuttavia garantire l’identità della “mano” che timbra il cartellino, lasciando spesso adito a comportamenti scorretti da parte di colleghi consenzienti, che coprono eventuali assenze ingiustificate.

Per verificare la presenza certa dei dipendenti in ufficio e dei lavoratori in azienda non sempre l’utilizzo dei tradizionali badge è dunque sufficiente: la soluzione sarebbe adottare sistemi biometrici di rilevamento presenze ma, per risultare conformi alle direttive del Garante Privacy (che vietano l’uso di software-spia e web monitoring), ciò è possibile solo quando sono rispettate determinate condizioni.

Rilevatori di presenza biometrici

I rilevatori di presenza biometrici basano l’identificazione del dipendente sul riconoscimento di caratteristiche peculiari – impronte digitali, iride o retina, geometria del volto o della mano – possono essere collegati ad un computer centrale per immagazzinare le informazioni, organizzarle e stampare report fruibili da azienda e dipendenti: da qui nasce il problema di violazione Privacy.

Come ricorrere alla biometria senza violare la privacy dei lavoratori e rispettando le indicazioni del Garante?

Tecnicamente basterebbe che il dato sensibile resti in possesso del solo avente diritto e non dell’azienda, archiviato su carta RFID. In tal modo sarebbe solo il lavoratore a custodire i dati, prevenendo la creazione di archivi vietati dalla Legge. E il lettore del badge verificherebbe l’identità del lavoratore senza lasciare l’informazione sul terminale aziendale.

La normativa vigente

L’introduzione di sistemi di riconoscimento biometrico potrebbero dunque risolvere il problema, ma il Garante per la protezione dei dati personali ha limitato il ricorso a queste tecnologie per preservare la privacy del lavoratore.

Per definire i limiti di utilizzo consentiti per legge, è possibile consultare il quaderno di approfondimento redatto da DigitPA nel 2004, in cui viene chiarita la posizione del legislatore in materia.

Nel 2011 il Garante ha espresso ulteriori chiarimenti  sull’utilizzo di un sistema biometrico per la rilevazione delle presenze in azienda: è vietato se risulta non necessario, se non è proporzionato “rispetto agli scopi perseguiti” e se i dati personali e biometrici dei dipendenti vengono trattenuti su server aziendale, soprattutto se manca il consenso degli interessati.

Dunque, un utilizzo dei sistemi biometrici “contrario ai princìpi di liceità, correttezza e finalità”, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice della Privacy, fa scattare il divieto del trattamento dei dati biometrici dei dipendenti perché “in violazione degli artt. 3 e 11, comma 1, lett. a), b) e d) del Codice.”

Come mettersi in conformità

Per implementare il rilevamento biometrico (es.: quelli offerti da Zucchetti e Apice) l’azienda deve presentare domanda preventiva al Garante Privacy, deve dimostrare che tale impiego sia necessario e motivato da una proporzionata esigenza aziendale.

Infine, deve attenersi al dettato del Garante Privacy, secondo cui la presenza di archivi di impronte biometriche in azienda non è mai ammissibile in materia di rilevazione presenze.

Né valgono gli accordi integrativi fra privati proprietà e dipendenti poiché tali strumenti si rivelano totalmente inutili quand’anche uno soltanto dei dipendenti cambi idea e si appelli alla giurisdizione vigente.