È consentito effettuare la registrazione del tempo di lavoro e i controlli dell’accesso avvalendosi di dati biometrici?

L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) reputa critico l’impiego in ambito lavorativo di sistemi di riconoscimento che utilizzano caratteristiche biometriche, perché ritiene che in questo modo il datore di lavoro ingerirebbe nei diritti della personalità dei suoi dipendenti.

Per poter elaborare i dati biometrici dei suoi dipendenti, il datore di lavoro necessita un motivo giustificativo. L'elaborazione di dati può essere giustificata dalla legge, da interessi pubblici preponderanti o da interessi privati del datore di lavoro preponderanti. Il consenso, valido unicamente se rilasciato di propria spontanea volontà, non rappresenta per principio un motivo giustificativo poiché nel rapporto di lavoro è implicita una certa coercizione.

Nel caso in cui può invocare un motivo giustificativo, il datore di lavoro deve anche assicurare che il sistema di riconoscimento che intende utilizzare è conforme al diritto sulla protezione dei dati. L'IFPDT ha redatto una guida che illustra gli aspetti da considerare quando si sviluppano e si impiegano i sistemi di riconoscimento biometrico:

IFPDT - Guida ai sistemi di riconoscimento biometrico

Per quanto possibile vanno rilevate caratteristiche biometriche che non lasciano alcuna traccia e la cui registrazione non è possibile senza che la persona interessata ne sia a conoscenza (p. es. sagoma della mano o vascolarizzazione). Indipendentemente da quale caratteristica biometrica è utilizzata ai fini della verifica (impronte digitali, sagoma della mano, immagine del viso ecc.), il datore di lavoro non deve archiviare i dati biometrici in modo centralizzato, bensì decentralizzato su un supporto sicuro, ad esempio su una carta chip, che i lavoratori provvederanno a conservare presso di sé. Il datore di lavoro è tenuto ad adottare le misure di sicurezza necessarie, ad esempio la cifratura dei dati biometrici. Deve inoltre assicurare che, nell'effettuare il riconoscimento, il tasso di errore sia trascurabile.

L'elaborazione dei dati deve avvenire in modo trasparente. Gli impiegati devono avere la possibilità di verificare l'utilizzazione dei loro dati e poterne richiedere, se del caso, la distruzione.

https://www.edoeb.admin.ch/content/edoeb/it/home/protezione-dei-dati/arbeitsbereich/sfera-privata-del-la-collaboratore-trice/e-consentito-effettuare-la-registrazione-del-tempo-di-lavoro-e-i.html