In alcuni contesti le aziende o la PA affermano la necessità di effettuare l’identificazione biometrica dei propri dipendenti. I tools per l’identificazione biometrica vengono proposti con sempre maggior frequenza, sulla base di pretese o effettive esigenze di sicurezza dell’azienda o dell’amministrazione.

Occorre però adottare accorgimenti e procedere a precise verifiche per evitare di incorrere in trattamenti illeciti, richieste di risarcimento e sanzioni.

Tali incombenti vanno dalla verifica sulla effettiva necessità e proporzionalità dello strumento di identificazione biometrica prescelto, all’informativa ai dipendenti, dall’aggiornamento del registro trattamenti, alla valutazione d’impatto sui dati personali (DPIA – Data Protection Impact Assessment). Altri adempimenti invece potrebbero non essere necessari.

Procediamo con ordine.

Cos’è  un dato biometrico?

Secondo il GDPR, i dati biometrici sono quelli ottenuti da un trattamento tecnico specifico e relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l’identificazione univoca (art. 4 n. 14 GDPR).

Questi dati sono dati biometrici solo se consentono il collegamento ad una persona in modo univoco, in modo cioè che corrispondano a una persona soltanto. In alcuni contesti persino una fotografia potrebbe costituire un dato biometrico.

Il GDPR ne rafforza la tutela e ne disciplina il trattamento allo stesso modo dei dati relativi alla salute, alle opinioni politiche etc.: i dati biometrici sono quindi dati particolari (“sensibili”).

Come avviene l’identificazione biometrica?

Spesso la rilevazione dei dati biometrici dei dipendenti si basa sulla scansione della retina, sul riconoscimento facciale, sulle impronte digitali.

Le tecnologie basate sulla biometria sono le più varie. Si tratta ad esempio della rilevazione di:

Impronte digitali: riproduzione delle creste di Galton e di valli, vortici e biforcazioni del tutto peculiari per ogni individuo e presenti sui polpastrelli delle dita fin da prima della nascita.

lFirma autografa grafometrica: riproduzione della firma su speciali tablet grafometrici o su comuni tablet che siano equipaggiati con opportuni sensori e software. I dispositivi di acquisizione utilizzati sono in grado di elaborare, oltre che il tratto grafico, anche parametri dinamici associati all’atto della firma, come velocità di tracciamento, accelerazione, pressione, inclinazione, “salti in volo”, ecc.

zRiproduzione vocale: anche la voce infatti ha caratteristiche diverse da individuo a individuo, basate su anatomia del tratto vocale, sua lunghezza, risonanze, morfologia della bocca e delle cavità nasali.

Struttura venosa delle dita della mano: acquisizione tramite sensori della forma e della disposizione delle vene delle dita, del dorso o del palmo della mano. Si utilizza una sorgente luminosa a lunghezza d’onda prossima all’infrarosso. In molti casi non è nemmeno richiesto il contatto della mano col sensore.

Topografia della mano: rilevazione delle proprietà geometriche dell’arto (bidimensionali o tridimensionali), e di caratteristiche come forma, larghezza e lunghezza delle dita, posizione e forma delle nocche o del palmo della mano. Queste caratteristiche tuttavia non sono descrittive al punto da risultare uniche.

\Struttura vascolare della retina: rilevamento della rete di vasi mediante l’utilizzo di un fascio di luce a infrarosso a bassa intensità che illumina la parte posteriore dell’occhio, con tecniche sensibili alla pressione sanguigna.

Forma dell’iride: rilevazione della forma della pupilla e della parte anteriore dell’occhio mediante immagini ad alta risoluzione e un procedimento di elevata accuratezza e velocità di comparazione.

Riconoscimento caratteristiche del volto: l’analisi delle sembianze facciali, spesso associate al riconoscimento facciale, è un procedimento complesso che utilizza immagini video in luce visibile o “termiche” a infrarosso.

Cosa fare in ambito lavorativo? Come trattare i dati biometrici dei dipendenti?

Anzitutto occorre chiedersi: raccogliere il dato biometrico è necessario per le esigenze dell’azienda, o della PA? Principi cardine sono infatti quelli di necessità e proporzionalità.

Spesso si procede all’identificazione biometrica dei dipendenti per evitare l’accesso da parte di persone non autorizzate ad aree dal contenuto particolarmente delicato. Potrebbe trattarsi di aree di produzione ad alto rischio per la salute umana, oppure caveau, o aree con segreti industriali ad altissimo valore economico, etc.

Per la PA l’identificazione biometrica dei dipendenti è dettata anche dall’intento di scoraggiare l’assenteismo e lo scambio dei badge, o la timbratura del cartellino al posto dei colleghi.

Eppure, come specificato in un Parere del 19/09/2019 del Garante Privacy, la normativa

“consente il ricorso alle misure più invasive solo a fronte dell’inidoneità allo scopo di sistemi meno limitativi del diritto, dal momento che deroghe e restrizioni ai diritti fondamentali devono intervenire entro i limiti dello stretto necessario […] Il test di proporzionalità si articola, dunque, nella duplice valutazione del carattere non sproporzionato degli oneri imposti rispetto ai legittimi fini perseguiti e, quindi, della scelta della misura meno restrittiva dei diritti coinvolti”.

Inoltre, poiché all’identificazione biometrica dei dipendenti consegue l’acquisizione di dati particolari, è necessario agire su una legittima base giuridica.

È possibile fare a meno del consenso dei dipendenti nell’identificazione biometrica?

Nella maggior parte dei casi, NO.

Spesso si invoca come base giuridica l’esercizio del diritto del titolare del trattamento in materia di diritto del lavoro. Eppure quando si parla di legittimo interesse si deve fare un bilanciamento con altri diritti, ad esempio quelli del dipendente sui propri dati biometrici.

Si deve inoltre confrontare la tecnologia prescelta con eventuali alternative disponibili sul mercato e meno invasive per i dati dei dipendenti. Quindi, se lo scopo aziendale di protezione e controllo può essere raggiunto con un sistema di badge anziché con l’identificazione con impronte digitali, dovrebbe essere preferito quello. Oppure, se le tecniche di scansione della mano possono essere preferite alle impronte digitali – considerato anche il loro uso nell’ambito della giustizia – andrà preferito il primo tipo di tecnologia.

Potrebbe però darsi il caso di situazioni talmente delicate (in ambito militare ad esempio) da risultare applicabile una diversa base giuridica, relativa all’interesse pubblico.

Nella maggior parte dei casi tuttavia è opportuno (ma, come si vedrà, non sempre sufficiente) il consenso dei lavoratori interessati.

Quando? Al momento dell’assunzione, o, se successiva, prima dell’installazione dei sistemi di identificazione biometrica dei dipendenti.

Tale consenso inoltre dovrà essere accompagnato da:

  • adeguata e specifica informativa sulle caratteristiche e finalità del trattamento;
  • l’indicazione dei soggetti esterni che tratteranno tali dati (nominati responsabili del trattamento);
  • l’indicazione dei soggetti interni autorizzati o incaricati al trattamento. Ciò significa nominare espressamente le persone interne all’azienda che tratteranno i dati biometrici relativi all’identificazione dei dipendenti. Tali incaricati devono essere il minor numero possibile.

Attenzione però: non può essere scambiato per consenso l’azione del lavoratore di avvicinare il dito/la mano/l’occhio al sensore o di contribuire comunque alla propria identificazione.

L’Autorità Garante per la Protezione dei Dati Personali ha chiarito, con provvedimento del 14.01.2021, che non ci si può basare sul “consenso implicito”. Il consenso, secondo il GDPR, deve essere una dichiarazione positiva inequivocabile (art. 4 n. 11 GDPR) e inoltre libera. La scansione dei dati biometrici non deve cioè essere l’unica modalità di rilevazione degli accessi del lavoratore, perché in questo caso egli non sarebbe libero di fare altrimenti.

La rilevazione biometrica è un controllo a distanza?

Il controllo delle presenze tramite strumenti di rilevazione quali tornelli e badge non è qualificato come controllo a distanza che faccia scattare l’obbligo di previa autorizzazione da parte dell’ispettorato del lavoro, o di previo accordo sindacale.

Se però la rilevazione degli accessi si traduce in un controllo sull’attività del dipendente, o sulle aree frequentate dal dipendente, allora abbiamo controllo a distanza. L’ipotesi è simile alla videosorveglianza.

Pensiamo al caso in cui l’identificazione biometrica opera a tutela di una precisa area aziendale. In questi casi deve essere ottenuta l’autorizzazione dell’ispettorato del lavoro o va raggiunto l’accordo sindacale, prima dell’installazione dello strumento di rilevazione.

Se l’identificazione biometrica dei dipendenti è legittima, quali altri accorgimenti utilizzare?

Parole chiave: minimizzazione e sicurezza.

I dati biometrici devono essere raccolti e conservati tramite strumenti che minimizzino i dettagli raccolti allo stretto indispensabile a consentire l’identificazione biometrica dei dipendenti. Anche la conservazione dev’essere ridotta al tempo minimo sufficiente a consentire la verifica dell’identità e delle autorizzazioni all’ingresso alla delicata area in questione. Il sistema deve prevedere la cifratura e la pseudonimizzazione dei dati.

È opportuno evitare la centralizzazione in una banca dati centrale dei dati biometrici, perché risulta sproporzionata. Secondo l’Autorità Garante per la protezione dei dati personali, al posto di modalità centralizzate di trattamento dei dati biometrici,

“deve ritenersi adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite il predetto modello cifrato, su un supporto posto nell’esclusiva disponibilità dell’interessato (una smart card o un dispositivo analogo) e privo di indicazioni nominative riferibili a quest’ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale)”.

Secondo il Garante Privacy, questo vale sia in ambito pubblico che privato.

Bisogna infine prestare particolare attenzione alla prevenzione di possibili data breach e alla loro gestione, se si dovessero verificare. In questo caso si dovranno adottare immediate misure per mitigarne gli effetti, informando i dipendenti dell’accaduto e dando consigli utili per evitare danni ad eventuali altri dati personali. Si pensi ad esempio ai dati bancari: sarà opportuno consigliare di cambiare modalità di autenticazione. È evidente però che, siccome per loro stessa natura i dati biometrici non sono modificabili, il danno sarebbe davvero notevole.

Infine, alcuni sistemi non funzionano in caso di patologie (come quelli legati alla rilevazione oculare). Anche per ragioni di inclusione, sarebbe opportuno prevedere dei sistemi alternativi di riconoscimento per coloro che, per malattie o per caratteristiche fisiche, non possano avvalersi dell’identificazione biometrica, come sottolinea anche il Garante Privacy.