În ordonanța de încetare din 22 noiembrie de anul trecut, pronunțată de Garante della Privacy la finalul unei proceduri de sancționare inițiate împotriva unei societăți comerciale, utilizarea datelor biometrice în contextul raportului de muncă a fost considerată ilegală. Cazul se referea la un sistem de pontaj care folosea un terminal biometric prin intermediul amprentei digitale, pentru angajați și colaboratori, cu scopul de a înregistra accesul și prezența în cadrul societății. Potrivit Garante, aceasta este o prelucrare ilegală a datelor, deoarece nu are un temei juridic valabil, fiind, de asemenea, contrară principiilor legalității, necesității și proporționalității.
Pentru ca o astfel de prelucrare să fie inițiată în mod legal, aceasta trebuie să se bazeze pe o lege care să aibă caracteristicile cerute de normele privind protecția datelor, inclusiv în ceea ce privește proporționalitatea în raport cu scopurile pe care se dorește a le atinge. De fapt, articolul 4 din Regulamentul european 2016/679 – așa-numitul GDPR – definește datele biometrice ca fiind „datele cu caracter personal obținute prin prelucrări tehnice specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea neechivocă a acesteia, cum ar fi imaginea facială sau datele dactiloscopice”.
Prelucrarea datelor biometrice, care este, de regulă, interzisă de GDPR, este permisă în contextul ocupării forței de muncă doar atunci când este făcută „necesară în scopul îndeplinirii obligațiilor și exercitării drepturilor specifice ale operatorului de date sau ale persoanei vizate în domeniul legislației privind ocuparea forței de muncă și securitatea socială și al protecției sociale, în măsura în care este autorizată de dreptul Uniunii sau al statelor membre sau de o convenție colectivă în temeiul legislației statelor membre, sub rezerva unor garanții adecvate pentru drepturile și interesele fundamentale ale persoanei vizate”.
Angajatorul, operatorul de date, este, în orice caz, obligat să respecte principiile legalității, corectitudinii și transparenței, limitării scopului, minimizării, precum și a integrității și confidențialității datelor și responsabilității. Consimțământul, chiar și cel dat de lucrător, este lipsit de valoare. Prin urmare, în absența unei legislații specifice, Garante della Privacy, în mai multe ocazii, în plus față de cea în cauză, a declarat nelegitimă utilizarea datelor biometrice pentru a detecta prezența angajaților. În plus, o astfel de prelucrare, tot conform Garante, este disproporționată în raport cu scopurile declarate, deoarece există alte instrumente care pot garanta detectarea prezenței. Conform acestei orientări a Garante, instrumente precum recunoașterea vocală, recunoașterea facială, sistemele de scanare corporală și scanările pentru identificarea neechivocă a persoanei nu pot fi utilizate în contextul relației de muncă. Ordonanța va provoca cu siguranță dezbateri aprige, având în vedere practica în vigoare în unele companii mari.
