Biometria e AI nei luoghi di lavoro tra limiti europei, GDPR e consenso del lavoratore

Come si colloca l’utilizzo dei dati biometrici nei luoghi di lavoro alla luce dell’AI Act e del GDPR, dati i limiti del divieto europeo di categorizzazione biometrica e il ruolo centrale della disciplina privacy? Perché la biometria dimostra come il progresso tecnologico possa tradursi in nuove e pervasive forme di controllo, difficilmente conciliabili con i principi di dignità, libertà e non discriminazione che informano il diritto del lavoro europeo. E in tale contesto, il rifiuto di considerare il consenso del lavoratore come valida base giuridica non rappresenta una limitazione irragionevole dell’autonomia privata, ma costituisce piuttosto una garanzia essenziale per evitare che la debolezza strutturale del lavoratore venga sfruttata per legittimare trattamenti altrimenti inammissibili. L’impiego dell’intelligenza artificiale nei luoghi di lavoro impone dunque un ripensamento complessivo degli equilibri tra innovazione e diritti!

L’irruzione dell’intelligenza artificiale nei contesti produttivi rappresenta uno dei passaggi più delicati del diritto del lavoro contemporaneo. Se, da un lato, l’innovazione tecnologica promette maggiore efficienza organizzativa e nuovi modelli di gestione delle risorse umane, dall’altro lato essa riattiva tensioni profonde tra potere datoriale, dignità del lavoratore e tutela dei diritti fondamentali. In questo scenario, l’uso dei dati biometrici costituisce uno dei terreni più sensibili, in quanto incrocia esigenze di sicurezza, controllo e organizzazione con il nucleo più intimo dell’identità personale, ponendo interrogativi particolarmente acuti sulla legittimità dei trattamenti nei luoghi di lavoro.L’intervento del legislatore europeo con il regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI ACT) segna un passaggio importante, ma non definitivo, nella regolazione del fenomeno.Il provvedimento, infatti, si concentra su specifiche pratiche ritenute particolarmente rischiose, senza tuttavia esaurire tutte le implicazioni derivanti dall’uso dell’IA nei rapporti di lavoro. Tra queste pratiche, un ruolo centrale è attribuito alla cosiddetta “categorizzazione biometrica”, oggetto di un espresso divieto. L’art. 5, § 1, lett. g), del regolamento (UE) 2024/1689 vieta l’immissione nel mercato, la messa in servizio o l’uso di sistemi di categorizzazione biometrica che classificano le persone sulla base dei loro dati biometrici al fine di trarne inferenze o deduzioni in merito a caratteristiche particolarmente sensibili, quali razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale. La pericolosità di tali sistemi risiede nel fatto che il trattamento automatizzato consente di ricondurre il singolo individuo all’interno di gruppi accomunati da fattori potenzialmente discriminatori, esponendolo a decisioni che si fondano su tali classificazioni, senza una valutazione puntuale e individualizzata circa la reale necessità di determinate caratteristiche rispetto alle mansioni da svolgere, come invece richiesto dalla normativa antidiscriminatoria.Il divieto europeo si presenta tuttavia come parziale. Esso colpisce una specifica modalità di utilizzo dei dati biometrici, ma non esaurisce l’insieme delle possibili applicazioni di tali tecnologie nei contesti lavorativi. Se ci si limitasse al dato testuale dell’AI Act, resterebbe infatti astrattamente possibile per il datore di lavoro rilevare dati biometrici per finalità diverse dalla categorizzazione, quali, ad esempio, il controllo degli accessi ad aree riservate mediante impronte digitali o altri identificatori univoci. Ne deriva che il regolamento sull’IA lascia irrisolto il nodo centrale della legittimità del trattamento dei dati biometrici per finalità di gestione e organizzazione del personale, nodo che deve essere affrontato alla luce della disciplina “complementare” rappresentata dal diritto della protezione dei dati personali e, più in generale, dalle norme giuslavoristiche in materia di controlli.In questo quadro, il GDPR (regolamento UE 2016/679 del 27 aprile 2016) svolge un ruolo decisivo. Esso definisce i dati biometrici come dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, includendo, tra l’altro, impronte digitali, riconoscimento facciale, scansioni dell’iride o della retina, ma anche modalità comportamentali quali la dinamica di digitazione o l’uso del mouse. In tale nozione rientrano anche i sistemi di riconoscimento vocale, sempre più diffusi nei contesti lavorativi, i quali, attraverso l’analisi delle caratteristiche uniche della voce, consentono l’identificazione o l’autenticazione del soggetto. Tali sistemi presentano profili di particolare criticità, non solo perché la voce costituisce un tratto biometrico difficilmente modificabile, ma anche perché il loro impiego può avvenire in modo poco percepibile dall’interessato, ad esempio nell’ambito di call center o strumenti di assistenza automatizzata, determinando forme di controllo potenzialmente pervasive e continuative dell’attività lavorativa.Tali dati rientrano tra le categorie particolari di dati personali e sono, in linea di principio, oggetto di un divieto generale di trattamento, ai sensi dell’art. 9, § 1, GDPR, derogabile soltanto in presenza di condizioni particolarmente stringenti definite dalle autorizzazioni generali del Garante per la protezione dei dati. In ambito lavorativo, la possibile base di liceità è individuata nella necessità di assolvere obblighi o esercitare diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e sicurezza sociale, purché prevista dal diritto dell’Unione europea o degli Stati membri o da un contratto collettivo e accompagnata da garanzie appropriate per i diritti fondamentali.È proprio alla luce di tali condizioni che emerge con chiarezza l’inidoneità del consenso del lavoratore quale base giuridica del trattamento dei dati biometrici. Il consenso, infatti, presuppone una manifestazione di volontà libera e non condizionata, che difficilmente può ritenersi sussistente nell’ambito del rapporto di lavoro, caratterizzato da un evidente squilibrio di potere tra le parti. Il lavoratore, anche quando formalmente presti il proprio consenso, si trova in una posizione di soggezione economica e organizzativa tale da comprometterne la reale libertà di scelta. Proprio per tale ragione, la stessa disciplina europea in materia di protezione dei dati, nonché l’interpretazione consolidata delle autorità di controllo, escludono che il consenso possa costituire, di regola, una valida base giuridica nei rapporti di lavoro, tanto più quando si tratta di categorie particolari di dati come quelli biometrici. Ammettere il contrario significherebbe legittimare, attraverso uno strumento solo apparentemente volontario, pratiche invasive idonee a incidere profondamente sulla sfera personale del lavoratore.In questa prospettiva si collocano anche gli orientamenti delle autorità garanti, che hanno costantemente adottato un approccio restrittivo. Il Garante italiano ha più volte affermato che né le esigenze di rilevazione delle presenze, né quelle di prevenzione di comportamenti fraudolenti o di tutela del patrimonio aziendale possono giustificare il trattamento di dati biometrici dei lavoratori, in quanto tali finalità possono essere perseguite mediante strumenti meno invasivi e parimenti efficaci. Il principio di minimizzazione e quello di proporzionalità impongono, infatti, di privilegiare soluzioni che incidano in misura minore sui diritti e sulle libertà degli interessati.Ne deriva un quadro nel quale l’AI Act e il GDPR operano su piani diversi ma complementari. Il primo interviene vietando specifiche pratiche particolarmente pericolose, come la categorizzazione biometrica, mentre il secondo fornisce i criteri generali per valutare la liceità dei trattamenti, imponendo limiti stringenti e, di fatto, restringendo fortemente gli spazi di utilizzo dei dati biometrici nei contesti lavorativi. Alla luce di tale intreccio normativo, deve ritenersi che qualsiasi forma di raccolta e utilizzo di dati biometrici dei lavoratori, al di fuori di ipotesi eccezionali espressamente previste e rigorosamente giustificate, configuri un trattamento illecito, presidiato da sanzioni amministrative.L’impiego dell’intelligenza artificiale nei luoghi di lavoro impone dunque un ripensamento complessivo degli equilibri tra innovazione e diritti.La biometria, più di ogni altro ambito, dimostra come il progresso tecnologico possa tradursi in nuove e pervasive forme di controllo, difficilmente conciliabili con i principi di dignità, libertà e non discriminazione che informano il diritto del lavoro europeo.In tale contesto, il rifiuto di considerare il consenso del lavoratore come valida base giuridica non rappresenta una limitazione irragionevole dell’autonomia privata, ma costituisce piuttosto una garanzia essenziale per evitare che la debolezza strutturale del lavoratore venga sfruttata per legittimare trattamenti altrimenti inammissibili.Copyright © - Riproduzione riservata

Per accedere a tutti i contenuti senza limiti abbonati a IPSOA Quotidiano Premium 1 anno € 118,90 (€ 9,90 al mese) Acquista Primi 3 mesi € 19,90 poi € 35,90 ogni 3 mesi Acquista Sei già abbonato ? Accedi

Fonte: https://www.ipsoa.it/documents/quotidiano/2026/06/20/biometria-luoghi-lavoro-limiti-europei-gdpr-consenso-lavoratore