lunedì 8 marzo 2021

IMPRONTE DIGITALI DEI DIPENDENTI: IL “NO” DEL GARANTE DELLA PRIVACY IN ASSENZA DI UNA BASE NORMATIVA (ordinanza di ingiunzione del 14 gennaio 2021)

Il Garante per la protezione dei dati ha comminato una sanzione per euro 30.000 ad un’Azienda sanitaria provinciale per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti.

L’istruttoria del Garante ha avuto origine da alcuni articoli di stampa che riportavano la notizia secondo cui l’Azienda sanitaria aveva adottato nelle proprie sedi un sistema che consente il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze.

L’iter seguito dall’Azienda prevedeva una verifica dell’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

Nel corso della fase istruttoria il Garante ha posto l’accento, in primo luogo sulla natura particolare dei dati trattati dall’Azienda sanitaria. Per dati biometrici si intendono infatti “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” e sono ricompresi tra le categorie “particolari” di dati personali in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.

All’esito delle proprie valutazioni l’Autorità ha in primo luogo ribadito come la disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi. Nel contesto lavorativo infatti – ha precisato il Garante - le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possono rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento in quanto implicanti un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro ovvero nell’ambito di applicazione dell’art. 9, par. 2, lett. g) del Regolamento, relativo al trattamento “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, […]”.

Il Garante, dopo aver ripercorso l’iter normativo vigente e ribadito le proprie perplessità circa l’uso di un sistema biometrico nel contesto lavorativo, ha stabilito che non sussiste un’idonea base giuridica che possa soddisfare i requisiti richiesti dal Regolamento e dal Codice per legittimare le amministrazioni pubbliche a porre in essere il trattamento dei dati biometrici per finalità di rilevazione delle presenze dei dipendenti ai sensi dell’art. 9, par. 2, lett. b) del Regolamento. Inoltre – ha continuato - il difetto di base giuridica non può essere superato dal consenso dei dipendenti che, come noto, non costituisce un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro.

Rilevando dunque l’illiceità del trattamento dei dati biometrici, il Garante ha comminato all’Azienda sanitaria una sanzione pecuniaria pari ad euro 30.000. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Azienda di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.