Ho installato e utilizzo da tempo un sistema informatico che rileva le impronte digitali di ogni dipendente della farmacia al momento dell’ingresso e dell’uscita (come un badge in sostanza) e anche per accedere ai nostri sistemi informatici. Un collega mi ha fatto intendere che questa è una pratica diventata illecita: è vero?

 

In questi giorni in cui la tematica della Privacy è certamente protagonista delle preoccupazioni di noi tutti per il giusto adeguamento ai nuovi standard, cogliamo l’occasione per rispondere a una domanda sicuramente di rilievo per parecchie farmacie, vista la diffusione di questo sistema di rilevazione.
Va subito premesso che per tale argomento non occorre scomodare il GDPR appena entrato in vigore ma bisogna rifarsi all’ancora vigente disciplina del Codice Privacy proprio laddove prende in considerazione l’utilizzo di sistemi biometrici basati sulle impronte digitali e finalizzati alla rilevazione delle presenze dei dipendenti nei luoghi di lavoro (con le problematiche che nel concreto possono derivarne…).
La risposta alla domanda è però, senza giri di parole, negativa.
Le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006), infatti, all’art. 4 – rubricato “Dati biometrici e accesso ad “aree riservate” – non lascia spazio a interpretazioni: “L’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito e L’utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore”.
Si tenga presente, inoltre, che – seppur in tema di dipendenti pubblici – il Garante della Privacy ha confermato in un secondo momento tale suo orientamento, pubblicando le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” (così la Deliberazione n. 23 del 14 giugno 2007) che evidenziano l’approccio nei confronti della materia.
Il cap. 7 delle “Linee guida”, testualmente dedicato alle “Impronte digitali e accesso al luogo di lavoro”, ribadisce infatti che “Anche nell’ambito del pubblico impiego, non è consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali, iride) per controllare le presenze o gli accessi sul luogo di lavoro. Il Garante può autorizzare l’attivazione di tali sistemi di rilevazione solo in presenza di particolari esigenze (aree adibite alla sicurezza dello Stato, torri di controllo, conservazione di oggetti di particolare valore) e con precise garanzie (verifica preliminare dell’Autorità, no ad archivi centralizzati, codice cifrato dell’impronta memorizzato solo nel badge del dipendente)”, chiarendo poi che “Resta in particolare privo di giuridico fondamento l’utilizzo di sistemi di rilevazione delle impronte digitali per verificare l’esatto adempimento di prestazioni lavorative, ove siano attivabili misure “convenzionali” non lesive dei diritti della persona quali, ad esempio, apposizioni di firme anche in presenza di eventuale personale incaricato, fogli di presenza o sistemi di timbratura mediante badge magnetico.”
Nel 2014, infine, l’Authority ha pubblicato le Linee-guida in materia di riconoscimento biometrico e firma grafometrica, e si tratta di un documento che presenta sicuri profili di interesse perché costituito dall’elencazione dei principi in base ai quali si può/deve stabilire se un trattamento di dati biometrici sia o meno realizzabile, e che sono i seguenti: Liceità, Necessità, Finalità e Proporzionalità.
Come si vede, anche alla luce di queste disposizioni il ricorso alle rilevazioni biometriche in una farmacia sembra in principio illecito.
Il punto più tranciante è indubbiamente quello della cd. “Necessità” del trattamento del dato biometrico: l’ordinamento, in sintesi, vieta l’utilizzo delle impronte digitali – in luogo del cartellino o del badge – proprio perché esistono metodi alternativi, guarda caso proprio il cartellino o il badge, pienamente in grado di assicurare allo stesso modo i risultati a cui mirerebbe la rilevazione biometrica, che quindi non è sicuramente l’unica misura in grado di raggiungere l’obiettivo.
Quanto basta per escludere appunto la liceità del suo utilizzo.

(federico mongiello)