Senza regolamento attuativo, il trattamento delle impronte digitali dei dipendenti è illegittimo
Il Garante della Privacy applica una sanzione di 30mila euro a un’azienda sanitaria
23 FEBBRAIO 2021
Nel novembre del 2019, alcuni articoli di stampa misero in risalto l’adozione, da parte di un’azienda sanitaria siciliana, di un sistema che consentiva il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze. A seguito di ciò, il Garante della Privacy ha avviato un’istruttoria, conclusa con un’ordinanza, nei confronti dell’azienda.
Secondo quest’ultima la fattispecie in esame sfuggirebbe della normativa del Regolamento comunitario, nonché, conseguentemente, dalla competenza dell’Autorità Garante. Argomentazione subito respinta: nonostante i dati biometrici fossero conservati in forma crittografata all’interno dei badge dei lavoratori, e quindi in teoria destinati a un utilizzo personale e diretto da parte dell’interessato, erano pur sempre processati processati, per breve tempo, dai sistemi impiegati dall’azienda per la rilevazione delle presenze e per la gestione gestione del rapporto contrattuale con i propri dipendenti. Successivamente, infatti, la procedura richiedeva la registrazione dell’impronta digitale, finalizzata alla creazione di un modello biometrico, da utilizzare volta per volta mediante il confronto con l’impronta esibita all’atto del rilevamento della presenza.
La critica del Garante verte principalmente sull’assenza di una base giuridica idonea a giustificare tale pratica, anche alla luce del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, e ciò a causa della mancanza del regolamento attuativo necessario, recante le specifiche garanzie per circoscrivere e specificare la portata della norma nonché regolare le principali caratteristiche e modalità del trattamento, e dell’abrogazione da parte della Legge di Bilancio 2021 dei primi quattro commi dell’articolo 2, legge n. 56/2019, fino ad allora fonte della disciplina in materia. Tale difetto non può essere superato dal consenso dei dipendenti che non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro. Inoltre, le informative diramate dall’azienda al riguardo, dirette al personale e alle organizzazioni sindacali, contenevano solo generici riferimenti, e non erano riportate informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente. Sulla base di queste considerazioni il Garante ha comminato 30mila euro di sanzione e disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge.