La gestione dei flussi in entrata e in uscita e la regolazione delle autorizzazioni vengono sempre più eseguite tramite sistemi di controllo accessi. Questi particolari impianti consentono di rispondere alle varie esigenze grazie alle molteplici tipologie di credenziali utilizzabili (Tag BLE, badge, lettura targhe, biometria, pin, ecc.) applicabili a diverse situazioni e contesti.
La gestione dei sistemi di controllo accessi secondo il GDPR
Il tema della privacy non può essere ignorato quando si ha a che fare con impianti che trattano dati. I sistemi di controllo accessi, in quanto tali, devono essere conformi alle normative sulla privacy, in particolare il GDPR.
I sistemi di controllo accessi non necessitano di consenso esplicito anche da parte del lavoratore, in quanto il trattamento dei dati viene effettuato nell’ambito del rapporto lavorativo trovando la propria liceità nel perseguimento degli interessi aziendali, fatta eccezione per i sistemi di rilevazione biometrica.
Proprio l’articolo 6 del GDPR ricorda che il trattamento è lecito solo in presenza del consenso per una o più finalità da parte dell’interessato o in casi di necessità legati all’esecuzione di un contratto, obblighi legali, salvaguardia interessi vitali, interesse pubblico o connesso a pubblici poteri, legittimo interesse del titolare del trattamento di terzi a patto che non prevalgono le libertà dell’interessato (nello specifico l’articolo conferma la non necessità del consenso del lavoratore «all’esecuzione di un contratto di cui l’interessato è parte» (c.1 lett. b) e «per il perseguimento del legittimo interesse del titolare del trattamento o di terzi», purché vengano rispettate determinate condizioni» (c. 1 lett. f)). Sotto quest’ultimo profilo può risultare opportuno condurre un Legittimate Interest Assessment (LIA).
Le informazioni dovranno essere archiviate in maniera sicura, per un periodo di tempo definito e non superiore al raggiungimento delle finalità per cui sono trattate (art. 5 del GDPR) e gli interessati potranno chiederne la cancellazione in qualsiasi momento. In ambito lavorativo, il titolare potrà conservare i dati anagrafici e i profili di accesso per tutta la durata del contratto, stabilendo invece dei tempi per tutte le altre tipologie di informazioni.
Il caso dei sistemi biometrici
Le soluzioni biometriche, ossia tecnologie che sfruttano credenziali come il riconoscimento facciale, vocale, dell’iride o dell’impronta digitale per verificare l’identità e la relativa autorizzazione di un soggetto ad accedere ad una determinata aerea, sono state oggetto di provvedimenti da parte del garante.
Se in ambito privato il sistema biometrico non è stato soggetto a limitazioni, lo stesso non vale per quello lavorativo, in quanto il Garante si è più volte dichiarato contrario all’utilizzo illegittimo dei sistemi di controllo accessi basati su biometria.
L’Ordinanza d’ingiunzione 10 novembre 2022, n. 369 dell’Autorità Garante per la protezione dei dati personali ha esaminato nello specifico il caso di una società sportiva dilettantistica a responsabilità limitata che utilizzava un controllo accessi biometrico tramite impronte digitali per la rilevazione delle presenze all’interno dell’attività. L’ordinanza riporta come il consenso del lavoratore al trattamento dei dati tramite biometrici (fornito in questo caso dai dipendenti) non rappresenti da solo un requisito sufficiente all’utilizzo di tale sistema per la rilevazione presenze a causa dello squilibrio tra la posizione del lavoratore e del titolare e come, in questa vicenda, siano stati violati i principi di liceità, necessità e proporzionalità.
L’articolo 9 del GDPR afferma che “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.” In ambito lavorativo, l’eccezione è rappresentata dalla necessità, definita dal GDPR come “Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. L’interesse del titolare non è in questo caso compreso nelle possibilità elencate nell’articolo 6 del GDPR, data l’applicazione della biometria in ambito lavorativo. Quando la verifica delle presenze può essere eseguita impiegando soluzioni meno invasive, come badge o tag BLE, è vietato quindi utilizzare sistemi biometrici, riducendo la tipologia e la quantità di informazioni trattate a tutela dell’interessato.
Controllo accessi e cybersecurity
Il trattamento di dati personali, o talvolta anche particolari, e la connessione alla rete configurano i sistemi di controllo accessi come impianti a rischio informatico. ll sistema, infatti, necessita di misure di protezione digitali e organizzative, indispensabili a mitigare il rischio di cyberattacchi e malware.
Installando firewall e software antivirus sarà possibile filtrare i dati in arrivo, riuscendo ad individuare tempestivamente file dannosi e attivando conseguentemente le procedure di sicurezza. Da soli, però, non sono sufficienti: l’installazione di prodotti di qualità certificati, conformi alle normative, progettati per essere resilienti e integrabili è da preferirsi rispetto a tecnologie di fascia bassa standard. Inoltre, una gestione delle informazioni conforme alle normative e organizzata può migliorare la sicurezza delle stesse e mitigare il rischio di attacchi da parte di cybercriminali, a dimostrazione di quanto le azioni dell’uomo possano essere decisive per la resistenza di un sistema.
Per la realizzazione di un sistema di controllo accessi efficace e sicuro sono necessarie molteplici competenze, tra cui una profonda conoscenza degli aspetti legali, in particolare degli impatti sulla privacy, sullo statuto dei lavoratori e sulla cybersecurity. Un’analisi competente e una progettazione attenta da parte di professionisti con conoscenza approfondita delle tecnologie specifiche, garantiscono la realizzazione di sistemi efficienti, adeguati alle esigenze dell’utente e con ottima resilienza nei confronti di incidenti informatici.
