Privacy – illecito l’uso delle impronte digitali dei dipendenti se manca la base normativa

Il Garante per la protezione dei dati ha informato, nella newsletter n. 473 del 19 febbraio 2021, disponibile sul proprio portale, di aver sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna, per  l’utilizzo illecito di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici[1] dei dipendenti.

Come noto, infatti, per installare tali sistemi è necessaria una base normativa proporzionata all’obiettivo perseguito, con misure appropriate e specifiche per tutelare i diritti degli interessati.

Il Garante ha, invece, rilevato, nel caso di specie, la carenza della base normativa invocata, non essendo stato adottato il regolamento attuativo della legge 56/2019[2] (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

Dall’istruttoria avviata dall’Autorità, è stato accertato che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda verificava, poi,  l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

L’Autorità ha ritenuto che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Anche il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, non può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro.

E’ stato, inoltre, rilevato che la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy (Reg. Ue n. 679/2016).

Il Garante nel dichiarare illecito il trattamento dei dati biometrici, ha applicato all’Asp 30.000 euro di sanzione, ha disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e ha chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.