Nuove frontiere tecnologiche e riconoscimento biometrico per l'accesso ai cedolini
Il Garante della Privacy ha risposto positivamente alla richiesta di verifica preliminare presentata dal CSI
A cura di Mario Cassaro
Il Garante della Privacy ha risposto positivamente alla richiesta di verifica preliminare presentata dal Consorzio per il Sistema Informativo - CSI Piemonte per la sperimentazione di un progetto pilota di autenticazione basato sul riconoscimento vocale e facciale per la consegna dei cedolini on-line. Il Consorzio potrà testare per un periodo di tempo limitato un'apposita applicazione installata sugli smartphone dei dipendenti disponibili ad utilizzarla per accedere al servizio "cedolini on line", in alternativa al sistema in uso basato su user id e password.
In tal modo i dipendenti, tramite la app, potranno visualizzare e scaricare il cedolino mensile, il modello CU e consultare la posizione assicurativa qualora aderiscano al Fondo pensione. Il progetto, che dovrebbe consentire al Consorzio di verificare l'accuratezza, la facilità d'uso e la sicurezza, anche sotto il profilo dei dati personali e di autenticazione biometrica, rientra nell'ambito del programma europeo PIDaaS (Private Identity as a Service) e ha solo finalità scientifiche.
L'Autorità Garante si era espressa più volte in passato in merito all'uso di dati biometrici in materia di lavoro, specificando le condizioni in virtù delle quali il trattamento dei dati biometrici dei lavoratori può ritenersi lecito, precisando che tali dati possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché, con specifico riguardo ai luoghi di lavoro, per presidiare l'accesso ad "aree sensibili" in considerazione della natura delle attività ivi svolte (cfr., tra gli altri, Provv. 21 luglio 2005, Provv. 23 novembre 2005, Provv. 15 giugno 2006, Provv. 26 luglio 2006, Provv. 2 ottobre 2008, Provv. 15 ottobre 2009, Provv. 10 marzo 2011, Provv. 20 ottobre 2011) oppure per finalità di sicurezza del trattamento di dati personali.
Nel caso di specie, al fine di prevedere un adeguato livello di protezione dei dati dei partecipanti al test, il Garante ha prescritto l'adozione di ulteriori misure, in particolare il trattamento oggetto di sperimentazione dovrà essere effettuato con modalità del tutto autonome rispetto all'operatività dei sistemi ordinariamente utilizzati per finalità di gestione del rapporto di lavoro. Gli utenti che decideranno di aderire alla sperimentazione (dalla quale potranno recedere in qualsiasi momento) dovranno quindi accedere ad una installazione di test creata ad hoc, contenente solo i loro cedolini.
Il Consorzio, inoltre, dovrà fornire ai lavoratori aderenti all'iniziativa, apposite credenziali ed un indirizzo di posta elettronica temporaneo per avere accesso alla sezione della intranet da cui si avvia la fase di registrazione per effettuare il login alla app. I dati biometrici poi, dovranno essere cancellati in modo irreversibile al termine della sperimentazione o su richiesta del partecipante.
Il datore di lavoro, dovrà infine individuare i termini e le condizioni delle operazioni di comunicazione e del trattamento dei dati conferiti ad un partner straniero, compresi gli aspetti relativi alla sicurezza ed eventuali incidenti informatici ovvero i casi di violazione dei dati biometrici dovranno essere comunicati tempestivamente al Garante e agli utenti.