+39 0422 235703
info@pralegali.com
Via Pier Maria Pennacchi n.1 - Treviso
impronta dell'iride

06 Ott Dati Biometrici sul Lavoro: Tra Innovazione e Tutela della Privacy – Una Riflessione sulle Nuove Sfide Normative

Posted at 14:48h in Diritto del Lavoro, Tutela della Privacy by
Tempo di lettura stimato: 4 minuti

Indice

  1. L’Era dei Dati Biometrici
  2. Il Quadro Normativo in Evoluzione
  3. Definizioni: GDPR vs AI Act
  4. La Questione della Proporzionalità
  5. Valutazione dei Rischi
  6. Il Futuro della Biometria sul Lavoro

L’Era dei Dati Biometrici

Viviamo in un’epoca in cui la tecnologia sta rapidamente ridefinendo il concetto di monitoraggio sul luogo di lavoro. Assistiamo a un preoccupante trend verso una maggiore sorveglianza dei lavoratori, con un crescente numero di aziende che si trovano sotto l’occhio vigile del Garante per l’uso improprio di dati biometrici. Un esempio emblematico è l’utilizzo sempre più frequente dell’impronta digitale per la semplice rilevazione delle presenze, una pratica che il Garante ha ripetutamente giudicato sproporzionata e inaccettabile.

Questa tendenza solleva interrogativi profondi. In particolare ci troviamo di fronte a un delicato equilibrio tra ricerca di maggior efficienza attraverso le nuove tecnologie e tutela della privacy dei lavoratori. La domanda chiave non è più solo “possiamo farlo?”, ma “è eticamente e legalmente corretto farlo?

Il Quadro Normativo in Evoluzione

Il legislatore europeo ha compreso la portata di questa rivoluzione silenziosa. L’evoluzione normativa degli ultimi anni racconta la storia di una crescente consapevolezza dei rischi e delle opportunità legate ai dati biometrici.

Dallo Statuto dei Lavoratori, che già poneva limiti ai controlli invasivi, siamo arrivati al GDPR, che ha introdotto tutele specifiche per i dati biometrici. E ora, con l’AI Act, assistiamo a un ulteriore passo avanti nella regolamentazione di queste tecnologie.

La stratificazione normativa non è casuale: riflette la necessità di rispondere a sfide sempre più complesse, dove la tecnologia corre più veloce del diritto, ma il diritto deve comunque garantire un quadro di riferimento chiaro e sicuro.

Sotto il profilo normativo, il Codice Privacy italiano, all’articolo 2 septies introdotto con il Dlgs 101/2018,  consente l’utilizzo dei dati biometrici per le procedure di accesso fisico e logico, purché siano garantite determinate misure di garanzia, tuttavia tale disposizione di legge, alla luce sia dei più recenti arresti del Garante per la protezione dei dati personale e del neonato AI ACT (Regolamento Europeo sull’intelligenza artificiale) appare già superato.

Infatti si deve evidenziare con forza come l’Autorità Garante italiana, al pari del EDPB (Comitato Europeo dei Garanti)  ha introdotto in modo netto un veto all’utilizzo dei dati biometrici per la rilevazione delle presenze salvo in rarissimi casi ed ha escluso esplicitamente che i dati biometrici possano essere trattati sulla base del legittimo interesse del titolare.

Definizioni: GDPR vs AI Act

È interessante notare come la definizione di dato biometrico si sia evoluta nel tempo. Il GDPR parla di “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica“. Una definizione ampia, che cerca di abbracciare tutte le possibili manifestazioni della biometria.

L’AI Act, più recente, offre una prospettiva più mirata e, per certi versi, più illuminante. La nozione di “identificazione biometrica” viene definita come:

“Il riconoscimento automatico di caratteristiche fisiche, fisiologiche e comportamentali di una persona, quali il volto, il movimento degli occhi, la forma del corpo, la voce, la prosodia, l’andatura, la postura, la frequenza cardiaca, la pressione sanguigna, l’odore, la pressione esercitata sui tasti, allo scopo di determinare l’identità di una persona confrontando i suoi dati biometrici con quelli di altri individui memorizzati in una banca dati di riferimento, indipendentemente dal fatto che la persona abbia fornito il proprio consenso.”

Questa definizione più dettagliata riflette una maggiore comprensione delle implicazioni pratiche e dei rischi specifici legati all’uso di questi dati.

È importante notare che l’AI Act esclude esplicitamente i sistemi di IA destinati alla verifica biometrica, come l’autenticazione per l’accesso a un servizio o lo sblocco di un dispositivo.

La Questione della Proporzionalità

La vera sfida nella gestione dei dati biometrici sul lavoro sta nel principio di proporzionalità. Il Garante Privacy ha più volte sottolineato come l’utilizzo di questi dati sia spesso una scelta eccessiva rispetto agli obiettivi perseguiti. Pensiamo alla semplice rilevazione delle presenze: è davvero necessario utilizzare l’impronta digitale quando un badge tradizionale potrebbe essere ugualmente efficace?

L’European Data Protection Supervisor (EDPS) ha considerato non conforme al principio di proporzionalità l’utilizzo dei dati biometrici dei lavoratori per il controllo degli accessi e degli orari di lavoro, sostenendo che la stessa finalità può essere raggiunta con metodi meno invasivi come sign-in, fogli di presenza o badge tradizionali.

Un caso emblematico è quello di un’ Azienda Sanitaria Italiana, sanzionata per 30.000 euro per l’illecito utilizzo di un sistema di rilevazione delle presenze basato sull’impronta digitale di oltre 2000 dipendenti. L’Autorità ha ritenuto carente la base giuridica a legittimazione del trattamento.

I casi in cui la biometria si giustifica sono in realtà molto limitati: accesso ad aree con materiali classificati, zone ad alto rischio per la salute pubblica, infrastrutture critiche. In tutti gli altri casi, dobbiamo chiederci se non stiamo usando un cannone per sparare a una mosca.

Valutazione dei Rischi

La gestione dei dati biometrici comporta rischi che vanno ben oltre la semplice violazione della privacy. A differenza di una password, un dato biometrico compromesso non può essere semplicemente reimpostato. È parte integrante della nostra identità fisica.

Le aziende che decidono di implementare sistemi biometrici devono quindi affrontare una valutazione complessa, che consideri non solo gli aspetti tecnici e legali, ma anche le implicazioni etiche e l’impatto sulla dignità dei lavoratori.

Il GDPR richiede esplicitamente lo svolgimento di una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’art. 35, al fine di valutare e minimizzare i rischi connessi al trattamento, in ossequio ai principi di minimizzazione e proporzionalità. L’ AI ACT impone che tale valutazione sia ulteriormente implementata secondo un framework ben definito (FRIA: Foundamental Rights Impact Assesment).

Il Futuro della Biometria sul Lavoro

Guardando al futuro, è chiaro che la biometria continuerà a evolversi e a offrire nuove possibilità. Ma l’innovazione deve procedere di pari passo con la tutela dei diritti fondamentali.

Il vero progresso non sta nell’adozione acritica di ogni nuova tecnologia, ma nella capacità di utilizzarla in modo etico e responsabile.

Come professionisti del settore, abbiamo la responsabilità di guidare questa evoluzione, assicurando che la tecnologia rimanga uno strumento al servizio dell’uomo, e non viceversa. Dobbiamo essere consapevoli che l’utilizzo dei dati biometrici in ambito lavorativo è lecito solo in circostanze specifiche e ben definite, come stabilito dall’art. 9 del GDPR, e sempre nel rispetto del principio di proporzionalità.

Cosa ne pensate? Avete esperienze dirette con l’implementazione di sistemi biometrici sul lavoro? Condividete le vostre riflessioni nei commenti.

Tags:
, , , ,
Print page


Primo contatto
Chiamaci a questo numero: 0422-235703.