Legale e conformità

Questioni legali sulle foto della carta d'identità dei dipendenti

Seguici su LinkedIn LinkedIn
A prima vista, la creazione di foto dei dipendenti sembra essere un processo puramente organizzativo. In pratica, però, scattare foto regolarmente solleva complesse questioni legali: Il datore di lavoro può richiedere una foto? È necessario il consenso? Per quanto tempo può essere conservata l'immagine? Questo articolo fornisce una panoramica per i dipartimenti HR, la sicurezza aziendale e la conformità e mostra come soluzioni moderne come Photo Collect aiutino a soddisfare in modo affidabile i requisiti del GDPR .

Nota: questo articolo si riferisce al GDPR con applicazione nell'UE.

Un'azienda può richiedere una foto per la carta d'identità dei dipendenti?

Sì, per tutto ciò che è necessario per lo svolgimento del rapporto di lavoro o per garantire la sicurezza, non è necessario il consenso ai sensi del GDPR. La foto sulla carta d'identità è consentita dalla legge sulla protezione dei dati se è necessaria, ad esempio per la sicurezza e l'identificazione in azienda.

La base giuridica si fonda su:

  • Art. 6 par. 1 lit. f GDPR: "Legittimo interesse" - ad es. sicurezza, controllo degli accessi, prevenzione delle frodi.
  • Eventualmente art. 6 par. 1 lett. b GDPR: "adempimento del contratto" - ad es. identificazione nel rapporto di lavoro

È necessario il consenso per lo scatto della foto?

No. Il consenso non è necessario per la foto sul tesserino del dipendente; la base giuridica è il legittimo interesse o l'adempimento del contratto. Il consenso sarebbe superfluo e persino pericoloso in questo caso, perché il dipendente potrebbe teoricamente revocarlo e il processo diventerebbe giuridicamente instabile. Il consenso non sarebbe realmente volontario nel rapporto di lavoro, ma il GDPR richiede che il consenso sia dato volontariamente.

Per altri scopi, come l'immagine del profilo internet, l'immagine di Microsoft Teams, per il sito web o per il materiale di marketing, tuttavia, è necessario un consenso esplicito e volontario, documentato separatamente. È preferibile che i dipendenti stessi possano caricare la foto su questi canali. Photo Collect può inviare una copia a ciascun dipendente via e-mail per il suo uso personale.

È necessario il consenso per il trattamento con Photo Collect?

No. L'uso di Photo Collect non modifica la base giuridica del consenso (vedi sopra).

Deve essere offerta un'elaborazione alternativa senza Photo Collect ?

No. Se Photo Collect è il fornitore di servizi e l'elaboratore selezionato, l'azienda può gestire l'intero processo fotografico a livello centrale tramite Photo Collect .

Né l'art. 6 (base giuridica), né l'art. 13 (obblighi di informazione), né l'art. 28 (trattamento degli ordini) prevedono che i dipendenti possano scegliere come trattare i loro dati o quale sistema utilizzare a tale scopo.

Finché l'elaborazione è lecita, mirata, rispettosa della protezione dei dati e trasparente, non vi è alcun obbligo legale di fornire altri software o metodi di elaborazione.

Come devono essere informati i dipendenti sul trattamento dei dati?

L'art. 13 GDPR disciplina gli obblighi di informazione che un'azienda ha nei confronti dei dipendenti nel momento in cui vengono trattati i dati personali, ovvero anche se non è richiesto il consenso. Ciò significa che anche se la foto per la carta d'identità dei dipendenti viene elaborata sulla base di un interesse legittimo o dell'adempimento di un contratto, il datore di lavoro deve informare i dipendenti in modo trasparente su ciò che accade alla foto.

Ad esempio:

Nell'ambito del vostro rapporto di lavoro, abbiamo bisogno di una vostra foto per creare un tesserino di riconoscimento personalizzato per i dipendenti e per consentire il controllo degli accessi in azienda. La base giuridica è costituita dall'art. 6 comma 1 lett. b GDPR (esecuzione del rapporto di lavoro) e dall'art. 6 comma 1 lett. f GDPR (interesse legittimo alla sicurezza dell'accesso).

La vostra foto viene acquisita ed elaborata tramite il softwarePhoto Collect", gestito da Visible Solutions AG, Zurigo. Photo Collect elabora i dati esclusivamente su nostre istruzioni documentate e al solo scopo di scattare, controllare ed elaborare tecnicamente la vostra foto. I dati vengono memorizzati in un centro dati certificato ISO 27001 in Svizzera, elaborati in forma pseudonima e cancellati automaticamente dopo l'esportazione. I metadati vengono eliminati al più tardi dopo 90 giorni. Ulteriori misure tecniche e organizzative e i subelaboratori sono documentati nel nostro contratto di elaborazione degli ordini.

Avete diritto all'informazione, alla correzione e alla cancellazione dei vostri dati, a meno che non siano ancora necessari per la creazione o l'utilizzo della carta d'identità dei dipendenti. Ulteriori informazioni sono disponibili nella nostra politica generale sulla privacy per i dipendenti.

I dipendenti devono usare il loro smartphone privato?

L'obbligo di utilizzare dispositivi privati (BYOD) è problematico ai sensi del diritto del lavoro, almeno in Germania e in Svizzera (il diritto del lavoro può differire in altri Paesi). Il datore di lavoro non può esigere che un dipendente utilizzi il proprio dispositivo privato per motivi di lavoro (Germania ai sensi dell'art. 106 GewO, Svizzera ai sensi dell'art. 327 comma 1 OR). Deve quindi essere disponibile un'alternativa. Le alternative tipiche sono il chiosco fotografico alla reception o l'acquisizione di foto tramite app in biglietteria.

Oltre al caricamento tramite smartphone (BYOD o smartphone aziendale), Photo Collect offre altri canali che possono essere utilizzati in parallelo, quindi non vi è alcun obbligo BYOD:

  • Chiosco fotografico self-service in loco
  • App Photo Collect per dipendenti delle risorse umane, reception, biglietteria
  • Integrazione API in intranet o portali per i dipendenti
  • Controllo diretto della webcam

In questo modo, si adempie all'obbligo, previsto dal diritto del lavoro, di offrire un'alternativa ragionevole.

Per quanto tempo si possono conservare le foto?

Per le foto vale il GDPR del GDPR: il più breve possibile, il più lungo necessario. È importante tenere separati il lato di Photo Collect come responsabile del trattamento dei dati e il lato dell'azienda come responsabile del trattamento dei dati:

Photo Collect non è un luogo di archiviazione a lungo termine, ma uno strumento di elaborazione: Dopo l'elaborazione, le immagini vengono immediatamente trasferite al sistema del cliente. Photo Collect rispetta le scadenze documentate nel contratto di elaborazione dell'ordine, come la cancellazione immediata delle foto dopo l'esportazione e la rimozione automatica dei metadati dopo 90 giorni (o configurata individualmente per ogni cliente).

Il cliente, in quanto responsabile del trattamento dei dati, determina i periodi di cancellazione interna dell'azienda. Alcune aziende non conservano le foto dei dipendenti in modo permanente, ma le rimuovono subito dopo la stampa della tessera. Questa è una responsabilità del cliente. Le foto devono essere cancellate al più tardi quando i dipendenti lasciano l'azienda.

Le foto sono dati biometrici ai sensi dell'art. 9 GDPR?

La questione se le foto contino o meno come dati biometrici nel contesto di Photo Collect è spesso fonte di incertezza. È vero che una persona è generalmente identificabile in una foto. Tuttavia, questa identificabilità da sola non rende una foto un dato biometrico ai sensi dell'art. 9 GDPR. Il fattore decisivo è se l'immagine viene elaborata in modo tale da identificare o autenticare chiaramente una persona sulla base delle sue caratteristiche biometriche. È proprio qui che entra in gioco la distinzione giuridica: Un normale ritratto fotografico che viene semplicemente memorizzato o trattato tecnicamente non rientra automaticamente nelle regole più severe per i dati biometrici.

In Photo Collect , il volto non viene quindi utilizzato per l'identificazione o per il confronto con altri database. Il software esegue solo analisi funzionali per preparare tecnicamente la foto per lo scopo previsto, ad esempio per centrare la persona nell'immagine, controllare la qualità o rimuovere lo sfondo. Queste fasi di elaborazione servono esclusivamente a ottimizzare l'immagine e non a determinare o verificare l'identità di una persona. La verifica dell'identità della persona viene effettuata al di fuori del sistema ed è di competenza dell'azienda.

Ciò vale anche se gli indirizzi e-mail forniti con i record di dati consentono di trarre conclusioni sui nomi reali. L'elaborazione di foto con Photo Collect rimane un normale trattamento di dati personali, ma non l'elaborazione di dati biometrici ai sensi dell'art. 9 GDPR.

Quali metodi AI per l'elaborazione delle foto sono consentiti?

L'elaborazione con l'IA riguarda i metodi di IA utilizzati: La persona nell'immagine viene rigenerata sinteticamente (GenAI), identificata biometricamente o l'IA viene utilizzata solo per analizzare la postura della testa, rimuovere lo sfondo e centrare il volto? Questa distinzione è fondamentale, poiché a seconda del metodo utilizzato si applicano requisiti diversi in materia di protezione dei dati. Inoltre, secondo le procedure GenAI, l'immagine non dovrebbe più essere utilizzata per aree rilevanti per la sicurezza, come le carte d'identità dei dipendenti.

Scoprite quali miglioramenti basati sull'IA sono consentiti, quali sono i limiti e come le aziende possono classificare correttamente i requisiti legali nell'articolo Miglioramento delle immagini con l'IA: cosa è consentito?

Si possono usare i nomi veri per rivolgersi alle persone?

Un principio centrale del GDPR è la minimizzazione dei dati: le aziende devono raccogliere ed elaborare solo i dati assolutamente necessari per il rispettivo scopo. Tuttavia, il nome reale della persona interessata non è necessario per la raccolta e l'elaborazione di una foto, sia per una carta d'identità dei dipendenti che per processi di identificazione legati alla sicurezza. Photo Collect segue coerentemente questo principio e pertanto si astiene deliberatamente dall'importare i nomi nel sistema o dall'utilizzarli negli inviti al caricamento. L'assegnazione avviene invece esclusivamente tramite identificatori tecnici come i numeri dei dipendenti o dei clienti, integrati dal rispettivo indirizzo di contatto (e-mail o numero di telefono), necessario per l'invio dell'invito.

Conclusione: l'elaborazione delle foto deve essere gestita in modo professionale

Le foto sulla carta d'identità dei dipendenti sembrano banali, ma sono impegnative in termini di legge sulla protezione dei dati. Le aziende devono:

  • Informare in modo trasparente
  • Evitare gli obblighi BYOD
  • Gestire in modo pulito le autorizzazioni
  • Rispettare rigorosamente le scadenze di cancellazione
  • Documento di chiara destinazione d'uso
  • Garantire misure tecniche e organizzative

Photo Collect soddisfa questi requisiti. Le aziende dispongono di un processo chiaramente strutturato e rispettoso della protezione dei dati, che semplifica notevolmente l'intera gestione delle foto dei dipendenti. Il processo fotografico non è solo più efficiente, ma anche tecnicamente e legalmente sicuro.

Seguici su LinkedIn LinkedIn

Nico Schefer

Scritto da

Ulteriori contributi

Legale e conformità

Miglioramento delle immagini con l'IA: cosa è consentito?

Gestione dei processi

Ripensare le fototessere: come i moderni processi di identificazione traggono vantaggio dall'acquisizione di foto digitali

Tecnologia

ISO/IEC 19794-5 - Lo standard internazionale per le immagini biometriche del volto

Tecnologia

Utilizzare in modo efficiente i database fotografici esistenti: Elaborare in modo professionale le foto dei dipendenti e dei documenti d'identità

Gestione dei processi

Verifica automatica delle foto dei visti: Foto d'identità conformi all'ICAO

Gestione dei processi

Acquisire in modo efficiente le foto dei dipendenti con un telefono cellulare, senza un'applicazione e senza effettuare il login

Foto dei dipendentiFoto di carte d'identitàCarte d'identità degli studenti
Caricamento demoblogStandard fotografici ICAOChatGPT Esperto
Nota legaleInformativa sulla privacyInformativa sui cookieStato del sistema
Photo Collect da Visible Solutions AG, Zurigo, Svizzera