Data protection

Il trattamento di dati biometrici dei dipendenti ad opera del datore del lavoro. Il Garante fa il punto.

Premessa

Il Garante per la protezione dei dati personali (di seguito, “Garante” attraverso il Provvedimento iscritto nel Registro dei provvedimenti n. 675 del 13 novembre 2024, condotto nei confronti della Società Foodinho s.r.l., ha rilevato la esistenza di una serie di violazioni della normativa in materia di protezione dei dati personali, che hanno riguardato, tra gli altri, l’art. 5[1], 13[2], 35[3] ecc. del regolamento UE 2016/679.

In questa sede ci si soffermerà sulla violazione occorsa a seguito del trattamento di dati biometrici dei dipendenti ad opera del datore del lavoro

Il caso

L’Autorità, a seguito della pubblicazione di notizie giornalistiche riguardanti l’avvenuta disconnessione dell’account di un rider, morto a seguito di un incidente stradale verificatosi a Firenze, durante l’effettuazione di una consegna per conto di Foodinho s.r.l. (di seguito, la Società), nell’ambito di un procedimento avviato d’ufficio, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza lo svolgimento di accertamenti ispettivi, effettuati in data 13 e 14 dicembre 2022, 28 febbraio e 1 marzo 2023, volti all’acquisizione di informazioni, di esibizione di documenti e l’effettuazione di accessi a banche di dati ai sensi degli artt. 157[4] e 158[5] del Codice.

Trattamento di dati biometrici, in assenza delle condizioni di liceità previste dall’ordinamento (art. 5, par. 1, lett. a), 9, par. 2, lett. b, del Regolamento; art. 2-septies[6] del Codice).

Con riferimento al trattamento dei dati biometrici (in particolare mediante riconoscimento facciale) dei rider, la Società ha precisato di avere iniziato il trattamento, in data 23 novembre 2020, “nell’ambito dei primi test relativi alla procedura di autenticazione” e di avere “smesso di utilizzare tale procedura di autenticazione e, di conseguenza, di raccogliere e trattare dati biometrici dei Corrieri a partire dal luglio 2022.

La Società ha successivamente precisato che il trattamento, interrotto a causa di “bug interni” in conseguenza dei quali si potevano realizzare “potenziali blocchi ingiustificati dei profili dei Corrieri”, è ripreso in alcune città, come Milano, “al fine di individuare eventuali malfunzionamenti”; in particolare a inizio febbraio 2023 il test è stato attivato sul 3,28% dei Corrieri attivi in Italia, il 20 febbraio è stata estesa al 18,33% dei Corrieri attivi, il 27 febbraio è stato attivato su una percentuale minore pari al 15,55%, il 13 marzo il test è stato esteso al 32,61%.

La Società ha inoltre dichiarato che, a partire dal 27 marzo 2023, prevedeva di attivare nuovamente il riconoscimento facciale su tutti i Corrieri attivi.

In base a quanto rappresentato, il trattamento si articola in due fasi:

  • la prima, volta alla scansione della fotografia contenuta in un documento d’identità del rider
  • la seconda, nella quale viene chiesto al rider di effettuare un “selfie” al fine di verificare quest’ultimo con la foto scansionata del proprio documento.

Quanto alla base giuridica, il trattamento di dati biometrici dei rider, sarebbe riconducibile all’art. 9, par. 2, lett. b) del Regolamento in relazione all’obbligo di “predisporre un modello organizzativo con efficacia scriminante ai sensi del D. Lgs. 231/01”. La Società ha anche sottolineato di aver effettuato una valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento (una versione aggiornata di tale documento è stata consegnata all’Autorità con nota del 29/2/2024, con la quale è stato anche precisato che i dati biometrici sono conservati per tutta la durata del rapporto di lavoro).

In proposito, si osserva che, in base alla normativa posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1[7] del Regolamento), è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b[8]), del Regolamento; v. anche: art. 88, par. 1[9] e cons. 51[10]-53[11] del Regolamento).

Il quadro normativo vigente prevede, inoltre, che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4[12], del Regolamento).

A tale ultima disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice. La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.

Ciò è stato ribadito dal Garante con riguardo a trattamenti di dati biometrici (basati sul riconoscimento facciale) per finalità di rilevazione delle presenze.[13]

Con riguardo al caso di specie, si evidenzia che, allo stato, l’ordinamento vigente non consente il trattamento di dati biometrici dei lavoratori per finalità di identificazione degli stessi (effettuato dopo il primo riconoscimento e successivamente in modo casuale) al fine di scongiurare sostituzioni di persona nell’adempimento della prestazione, posto che tale trattamento non trova il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

Infine, si rappresenta che, in ogni caso l’adozione del sistema biometrico da parte della Società non è idonea a impedire fenomeni di scambi di persona, come riconosciuto dalla stessa Società (la misura “di per sé non è sufficiente a evitare il fenomeno” della cessione dell’account) posto che, anche laddove il grado di affidabilità e accuratezza del sistema biometrico prescelto fosse sufficientemente elevato (circostanza che comunque non può dirsi raggiunta considerato che la Società stessa ha ritenuto, seppur per un periodo circoscritto, di interrompere il trattamento dei dati biometrici a causa di bug interni al sistema, in seguito ai quali è stato necessario avviare una fase di “test”), sarebbe sempre possibile consegnare il dispositivo a persona diversa, dopo aver effettuato il riconoscimento.[14]

Pertanto, tenuto conto della richiamata normativa, la decisione della Società (comunicata all’Autorità con nota del 5 giugno 2024) di ridurre i termini di conservazione dei dati biometrici raccolti – per quanto i nuovi termini siano comunque considerevoli – (“tre (3) mesi dall’ultimo ordine nel caso di corrieri inattivi” e di “tre (3) mesi dalla disattivazione dell’account nel caso di corrieri i cui account sono stati disattivati per ragioni non riconducibili al riconoscimento facciale”, mentre per i corrieri attivi i dati sono conservati per tutta la durata del rapporto di lavoro), non modifica la valutazione di illiceità del trattamento dei dati biometrici.

Ciò considerato, risulta che la Società ha effettuato, dal 23/11/2020 al mese di luglio 2022 (dopo la sospensione, il trattamento è ripreso a partire da inizio febbraio 2023) e tutt’ora effettua, il trattamento dei dati biometrici in assenza di idonea base giuridica in violazione degli artt. 5, par. 1, lett. a), e 9, par. 2, lett. b) del Regolamento.

Conclusioni

Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento di dati di rider effettuati per lo più attraverso la piattaforma digitale risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) – anche con riferimento a quanto previsto dall’art. 1-bis del D. Lgs. n. 152 del 1997 -, c) e d) (principi di trasparenza, correttezza, adeguatezza, pertinenza ed esattezza del trattamento), e), 6, 9, par. 2, lett. b), 12, 13, 22, par. 3, 25, 28, 32, 35, 88 del Regolamento, agli artt. 2-septies e 114 del Codice e all’art. 47-quinquies, D. Lgs. n. 81/2015.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato, tra l’altro, i principi generali e le condizioni di liceità del trattamento anche di dati particolari (dati biometrici) nonché della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità ha altresì ritenuto che il livello di gravità della violazione sia elevato, alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l’autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si ritiene necessario assegnare alla Società un termine per conformare al Regolamento i trattamenti di dati tutt’ora in essere.

Alla luce di quanto sopra pertanto l’Autorità:

  • vieta alla Società l’ulteriore trattamento dei dati biometrici dei rider (art. 58, par. 2, lett. f), del Regolamento);
  • ingiunge di cancellare i dati biometrici trattati nell’ambito della procedura di autenticazione dei rider;

(omissis)

  • ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla individuazione dei tempi di conservazione dei dati trattati, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);
  • ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma, garantendo un’adeguata formazione degli operatori addetti nonché  la possibilità per gli operatori stessi di ignorare, se del caso, l’output del processo algoritmico, per evitare la possibile tendenza a farvi automaticamente affidamento (art. 58, par. 2, lett. d), Regolamento);
  • ingiunge di individuare le misure appropriate volte alla verifica periodica della correttezza ed accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori nonché l’utilizzo di dati eccedenti, non aggiornati o inesatti, da avviare, entro 60 giorni dal ricevimento del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;
  • ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla individuazione di misure appropriate, volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback; tale verifica dovrà essere ripetuta ad ogni modifica dell’algoritmo relativamente all’utilizzo dei feedback per il calcolo del punteggio (art. 58, par. 2, lett. d), Regolamento);
  • ingiunge di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015, con riferimento al divieto di disporre “l’esclusione dalla piattaforma e [la] riduzion[e] delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione” (art. 58, par. 2, lett. d), Regolamento);
  • ingiunge di conformare al Regolamento i propri trattamenti relativi all’invio a terze parti di dati personali riferiti ai rider, con riferimento all’applicazione dei principi di minimizzazione e di privacy by design e by default, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);
  • ingiunge di effettuare un’analisi puntuale volta a verificare le categorie di dati personali scambiati con terze parti, tramite l’utilizzo di SDK o API, realizzati da tali ultimi soggetti;

Il Garante, quindi, ha ordinato a Foodinho srl, società del gruppo Glovo, il pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale. L’Autorità ha inoltre impartito specifiche prescrizioni e ha vietato l’ulteriore trattamento dei dati biometrici (riconoscimento facciale) dei rider utilizzati per la verifica dell’identità.

[1] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39) a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)

[2] Articolo 13Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (C60-C62) 1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni: a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f ) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46

o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. 2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un’autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f ) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2. 4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

[3] Articolo 35Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95) 1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del  trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento

effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno. 3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano

decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68. 5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato. 6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono

incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione. 7. La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati. 9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti. 10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento. 11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

[4] Art. 157 (Richiesta di informazioni e di esibizione di documenti)  1. Nell’ambito dei poteri di cui all’articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante puo’ richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile,  all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati.

[5] Art. 158 (Accertamenti) 1. Il Garante puo’ disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali. 2. I controlli di cui al comma 1, nonche’ quelli effettuati ai sensi dell’articolo 62 del Regolamento, sono eseguiti da personale dell’Ufficio, con la partecipazione, se del caso, di componenti o personale di autorita’ di controllo di altri Stati membri dell’Unione europea.

3. Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali.  4. Gli accertamenti di cui ai commi 1 e 2, se svolti in un’abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati con l’assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell’accertamento, il quale provvede con decreto motivato senza ritardo, al piu’ tardi entro tre giorni dal ricevimento della richiesta del Garante quando e’ documentata l’indifferibilità dell’accertamento.  5. Con le garanzie di cui al comma 4, gli accertamenti svolti nei luoghi di cui al medesimo comma possono altresi’ riguardare reti di comunicazione accessibili al pubblico, potendosi procedere all’acquisizione di dati e informazioni on-line. A tal fine, viene redatto apposito verbale in contradditorio con le parti ove l’accertamento venga effettuato presso il titolare del trattamento.

[6] Art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) 1. In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformita’ alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo. 2. Il provvedimento che stabilisce le misure di garanzia di cui al comma 1 e’ adottato con cadenza almeno biennale e tenendo conto: a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;  b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure;  c) dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.  3. Lo schema di provvedimento e’ sottoposto a consultazione pubblica per un periodo non inferiore a sessanta giorni.  4. Le misure di garanzia sono adottate nel rispetto di quanto previsto dall’articolo 9, paragrafo 2, del Regolamento, e riguardano anche le cautele da adottare relativamente a: a) contrassegni sui veicoli e accessi a zone a traffico limitato;  b) profili organizzativi e gestionali in ambito sanitario;  c) modalita’ per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;  d) prescrizioni di medicinali.  5. Le misure di garanzia sono adottate in relazione a ciascuna categoria dei dati personali di cui al comma 1, avendo riguardo alle specifiche finalita’ del trattamento e possono individuare, in conformita’ a quanto previsto al comma 2, ulteriori condizioni sulla base delle quali il trattamento di tali dati e’ consentito. In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalita’ per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonche’ le eventuali altre misure necessarie a garantire i diritti degli interessati. 6. Le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura nonche’ quelle di cui al comma 4, lettere b), c) e d), sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanita’. Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell’articolo 9, paragrafo 4, del regolamento, o altre cautele specifiche. 7. Nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all’articolo 32 del Regolamento, e’ ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia di cui al presente articolo. 8. I dati personali di cui al comma 1 non possono essere diffusi.

[7] Articolo 9Trattamento di categorie particolari di dati personali 1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. (C51)

[8] Articolo 9.2.b Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (C51, C52) b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

[9] Articolo 88 Trattamento dei dati nell’ambito dei rapporti di lavoro (C155) 1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

[10] (51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l’origine razziale o etnica, essendo inteso che l’utilizzo dei termini «origine razziale» nel presente regolamento non implica l’accettazione da parte dell’Unione di teorie che tentano di dimostrare l’esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.

[11] (52) La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito

del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici. La deroga dovrebbe anche consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale.

(53) Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché per garantire la continuità dell’assistenza sanitaria o sociale e dell’assistenza sanitaria transfrontaliera o per finalità di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in base al diritto dell’Unione o nazionale che deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nell’ambito della sanità pubblica. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di mantenere

o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni

si applicano al trattamento transfrontaliero degli stessi.

[12] Articolo 9 Trattamento di categorie particolari di dati personali 4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. (C8, C10, C41, C45, C53)

[13] Cfr. Provvedimenti del 22/2/2024, nn. 105, 106, 107, 108 e 109, doc. web nn. 9995680, 9995701, 9995741, 9995762, 9995785 (si vedano anche, con riguardo al trattamento di dati tratti dall’impronta digitale, i provv. ti 10/11/2022, n. 369, doc. web n. 9832838 e 14/1/2021 n. 16, doc. web n. 9542071).

[14] In materia di riconoscimento facciale il Garante ha richiamato il Provv. n. 50 del 10/2/2022, doc. web n. 9751362).

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

violazione privacy
anonimizzazione

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

phishing
il phishing cosa è e come difendersi.
26 Gennaio 2024
intelligenza artificiale
I sistemi di intelligenza artificiale che presentano rischi inaccettabili sono vietati a decorrere dal 2 febbraio 2025.
18 Febbraio 2025
Password
GPDP – Linee guida in materia di conservazione delle PW.
10 Settembre 2024

Start typing and press Enter to search