Il Garante va contro l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti
A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria una base normativa. Quest’ultima deve essere proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.
Nel caso della Asp di Enna la base normativa invocata era carente; dato che hanno abrogato la legge 56/2019. Tale legge doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.
L’istruttoria dell’Autorità del Garante ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti; inoltre le memorizzava in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale; quest’ultima trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.
Il Garante ha ritenuto, contrariamente a quanto sostenuto dall’Azienda sanitaria, che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti; sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente. Tutto ciò in assenza di una idonea base giuridica. Né il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro
La protezione della privacy
Inoltre la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.
Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.