In una recente informativa contenuta nella newsletter del 19 febbraio 2021, il Garante della Privacy fornisce importanti chiarimenti in merito all’uso delle impronte digitali dei dipendenti da parte dei datori di lavoro.
In particolate il Garante precisa che non è consentito l’utilizzo e ancor meno l’archiviazione dei dati biometrici dei lavoratori dipendenti da parte dell’azienda, in questo caso particolare una azienda pubblica, se manca una valida e completa base normativa.
Ecco i dettagli.
Uso delle impronte digitali dei dipendenti: il caso sanzionato dal Garante Privacy
Nel caso in esame, così come esposto nella Newsletter, il Garante della Privacy ha provveduto a sanzionare per un importo pari a 30.000 euro una Asp (Azienda sanitaria provinciale). La sanzione è stata comminata a causa dell’utilizzo di un sistema di rilevazione delle presenze dei dipendenti basato sul trattamento di dati biometrici dei lavoratori.
Il Garante chiarisce che, a seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare e usare questo tipo di sistemi serve una base normativa:
- proporzionata all’obiettivo perseguito
- e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.
Nel caso specifico della Asp la base normativa invocata era carente: infatti non è stato mai adottato il regolamento attuativo della legge 56/2019 (poi abrogata). Questa avrebbe dovuto stabilire le garanzie per circoscrivere gli ambiti di applicazione della rilevazione dei dati biometrici e avrebbe dovuto regolare le principali modalità del trattamento dei dati personali.
L’Istruttoria dell’autorità
L’Autorità ha avviato una indagine a seguito di articoli di stampa. L’esito dell’indagine ha consentito di accertare che il sistema di rilevazione presenze dell’Asp in questione acquisiva le impronte digitali di oltre 2.000 dipendenti. Allo stesso tempo memorizzava i dati in forma crittografata sul badge di ciascun lavoratore.
Successivamente l’Azienda verificava l’identità del dipendente mediante il confronto tra il modello biometrico memorizzato nel badge, e l’impronta digitale presentata all’atto del rilevamento della presenza. Quindi trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema centrale di gestione delle presenze.
L’Azienda sanitaria effettuava quindi un trattamento di dati biometrici dei dipendenti in assenza di una idonea base normativa e giuridica. In particolare la rilevazione dei dati biometrici avveniva sia all’atto dell’emissione del badge, che durante la verifica dell’impronta digitale del dipendente ad ogni timbratura del cartellino.
Quindi chiarisce che in mancanza di base normativa, a nulla serve il consenso dei dipendenti e l’accordo sindacale a base del fondamento del trattamento; questi infatti non possono essere considerati validi nel contesto lavorativo, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro. A maggior ragione se il rapporto di lavoro è di tipo pubblico.
Infine il datore di lavoro, pur avendo fornito apposita informativa al personale e ai sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento. Informativa sul trattamento che è essenziale così come richiesto dal GDPR Regolamento europeo in materia di privacy.
Conclusioni del Garante
In definitiva quindi, considerato tutto quanto sopra riportato, il Garante ha dichiarato illecito il trattamento dei dati biometrici. In tal senso ha quindi sanzionato l’Asp per 30.000 euro per la rilevazione e l’uso delle impronte digitali dei dipendenti.
Inoltre ha disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge; e infine ha chiesto al datore di lavoro le iniziative che intende intraprendere per far cessare il trattamento dei dati.
Di seguito il testo completo dell’ordinanza di ingiunzione del Garante Privacy nei confronti dell’Asp.
Garante Privacy 9542071-1.1 (70,3 KiB, 602 hits)