Informiamo le Aziende associate che il Garante per la tutela dei dati personali ha affermato che, a seguito del rafforzamento delle garanzie previste dal Regolamento UE (GDPR 2016/679) e dal Codice privacy, per installare sistemi di rilevazione delle impronte digitali (dati biometrici) è necessaria una base giuridico-normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Nel caso della Asp di Enna la base giuridica invocata è stata ritenuta carente.

Sono due, pertanto, le conferme importanti che si evincono dal provvedimento sanzionatorio del garante – che alleghiamo:

1.    non c’è, al momento, una norma di legge che autorizzi la rilevazione delle presenze in ambito lavorativo attraverso la biometria;

2.    il consenso, nell’ambito del rapporto di lavoro, non è una base giuridica sufficiente ad autorizzare il datore di lavoro a questo tipo di trattamento.

L’istruttoria dell’Autorità, avviata a seguito di alcuni articoli di stampa, ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

L’Autorità ha ritenuto che in questo modo si effettuasse un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Neanche il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, è stato considerato valido, nel contesto lavorativo. Il consenso per essere valido deve essere espresso liberamente ed è consolidata opinione che questo non possa avvenire all’interno di un contratto di lavoro dove l’equilibrio del rapporto non può essere paritario.

Va detto anche che la struttura sanitaria in questione, pur avendo comunicato al personale e ai sindacati la scelta organizzativa compiuta, aveva fornito un’informativa sul trattamento dei dati incompleta di tutte le informazioni richieste dal Regolamento europeo in materia di privacy.

Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

Provvedimento Garante Privacy 14.1.2021.pdf