La società, tra le varie linee di difesa, aveva esplicitato la necessità di sveltire la raccolta degli accessi e dei consensi dei propri dipendenti. Elementi che, stante l’inadeguata base giuridica del trattamento, non sono bastati al titolare del trattamento per evitare la sanzione pecuniaria irrogata dal Garante.
La normativa di riferimento è l’articolo 2 septies del Codice della privacy, nonché l’articolo 9 del Regolamento Ue 2016/679, General data protection regulation (Gdpr). Questi articoli, oltre a rimandare alle norme sul trattamento dei dati biomedici e all’evoluzione tecnologica, restituiscono un quadro stringente secondo il quale il trattamento biometrico è da escludere. Fanno eccezione le imprese e le attività che necessitano, per questioni di sicurezza, di un controllo da vicino dei dipendenti, interessati in lavori ad alto rischio.
Proseguendo nell’analisi dell’ingiunzione, viene ribadito che anche il consenso esplicito – il quale si ricorda rappresenta uno dei motivi di legittimità nel trattamento dei dati personali così come sancito dell’articolo 9 del Gdpr – non trova spazio all’interno delle realtà lavorative aziendali. Nel caso del rapporto di lavoro dipendente, risulta quindi non plausibile che il consenso possa essere espresso in maniera effettivamente libera, vista la sproporzione del rapporto tra datore di lavoro e dipendente.
Inserire nel proprio processo aziendale un controllo biometrico dei dipendenti non è impossibile, ma è necessario attuare una serie di adempimenti rigorosi e necessari sufficienti a garantire il rispetto della riservatezza degli interessati. È necessario realizzare una valutazione della base giuridica del trattamento biometrico che deve comprendere l’analisi degli eventuali profili di rischio, minimizzando gli strumenti di rilevazione.
(V.M)
