La rilevazione della presenza dei dipendenti con strumenti elettronici di cattura dei dati biometrici nella specie, le impronte digitali non può essere effettuata. E la stessa legge n. 56/2019 che stava cercando di aprire un varco verso questa direzione è stata abrogata dalla legge di bilancio 2021 senza mai trovare concreta applicazione.
Lo ha chiarito il Garante per la protezione dei dati personali con l'ordinanza ingiunzione n. 422 del 15 dicembre 2022. Un piccolo comune toscano ha introdotto sistemi di verifica biometrica dell'identità dei dipendenti per controllare l'osservanza degli orari di lavoro. A seguito di una specifica segnalazione l'Autorità ha avviato un'istruttoria che si è conclusa con l'applicazione di una severa sanzione amministrativa . Infatti, anche se la legge Concretezza del 2019 ha tentato di introdurre questa tipologia di controlli è stato lo stesso legislatore a fare marcia indietro per la mancata possibilità di dare attuazione concreta alla normativa. Il trattamento dei dati biometrici, specifica il collegio, di regola è vietato ed è consentito soltanto al ricorrere di una delle condizioni indicate dal par. 2 dell' art. 9 del Gdpr e, in ambito lavorativo , solo quando sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato. Il quadro normativo vigente prevede altresì che il trattamento di dati biometrici , per poter essere lecitamente posto in essere, avvenga nel rispetto di ulteriori condizioni, comprese limitazioni che, nell'ordinamento nazionale, consistono nella conformità alle misure di garanzia disposte dal Garante, ai sensi dell'art. 2- septies del Codice . In tale contesto, prosegue il collegio, quindi, il trattamento di dati biometrici può essere lecitamente effettuato solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell'intervento regolatorio rispetto alle finalità che si intendono perseguire. Ciò in quanto, il diritto nazionale, per poter essere considerato una valida condizione di liceità del trattamento, deve, tra l'altro, perseguire un obiettivo di interesse pubblico ed essere proporzionato all'obiettivo legittimo perseguito. L' art. 2 della l. 19 giugno 2019, n. 56 , recante interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo, aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all'impiego di sistemi di videosorveglianza prevedendo che, ai fini della verifica dell'osservanza dell'orario di lavoro, le amministrazioni pubbliche - individuate ai sensi dell' art. 1, comma 2, del d.lgs. 30 marzo 2001, n. 165 , ad esclusione del personale in regime di diritto pubblico e quello sottoposto alla disciplina del lavoro agile di cui all' articolo 18 della l. 22 maggio 2017, n. 81 - introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso. Tale generica previsione stabiliva anche che le modalità attuative della norma – nel rispetto dell'art. 9 del Regolamento e delle misure di garanzia definite dal Garante ai sensi dell'art. 2- septies del Codice – dovessero essere individuate con dpcm, su proposta del Ministro per la Pubblica Amministrazione, previa intesa con la conferenza unificata e previo parere del Garante ai sensi dell'art. 154 del codice sulle modalità del trattamento dei dati biometrici . Questo provvedimento non è mai stato formalizzato e alla fine il legislatore ha ritenuto opportuno abrogare le disposizioni contenute nell' art. 4 l. 19 giugno 2019, n. 56 . Quindi il trattamento dei dati biometrici per la rilevazione delle presenze dei dipendenti non può essere effettuato per evidente carenza della base giuridica del trattamento .
Garante per la protezione dei dati personali, ordinanza 15 dicembre 2022 n. 422