La questione è stata sollevata innanzi al Garante della protezione dei dati personali da un’associazione sindacale, che aveva chiesto ad una società sportiva di usare sistemi meno invasivi del controllo biometrico per la rilevazione delle presenze dei lavoratori.
Nel caso in esame, una società sportiva aveva adottato un sistema di controllo degli accessi dei dipendenti e dei collaboratori tramite la rilevazione della loro impronta digitale (dato biometrico e, pertanto, oggetto di particolare tutela). Quest’ultima si era difesa sostenendo di avere ricevuto il consenso dei propri lavoratori al trattamento dei loro dati biometrici, che gli stessi erano stati informati della possibilità di non prestare il proprio consenso e che questo era, comunque, revocabile in qualsiasi momento.
Il Garante ha evidenziato come le operazioni di trattamento effettuate dalla società sportiva sanzionata presentavano vari profili di illegittimità. In particolare, è principio ormai consolidato di come il consenso del lavoratore non possa ritenersi valido, in quanto sarebbe sempre condizionato dallo squilibrio di potere sussistente tra datore di lavoro e dipendente, quasi “costretto” ad accettare. Altro elemento di illegittimità riguarda la mancata annotazione nel registro dei trattamenti: l’Autorità ha ricordato che il registro non costituisce un mero adempimento formale, ma è uno strumento fondamentale per assicurare l’accountability del Titolare. È, quindi, essenziale che il contenuto del registro sia conforme e che corrisponda alla realtà dei fatti.
