Alexa Unica Radio
impronte, garante
smartphone 4562985 960 720

Garante, no all’uso delle impronte digitali dei dipendenti se manca base normativa

Il Garante va contro l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti

A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria una base normativa. Quest’ultima deve essere proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.

Nel caso della Asp di Enna la base normativa invocata era carente; dato che hanno abrogato la legge 56/2019. Tale legge doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

L’istruttoria dell’Autorità del Garante ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti; inoltre le memorizzava in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale; quest’ultima trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

Il Garante ha ritenuto, contrariamente a quanto sostenuto dall’Azienda sanitaria, che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti; sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente. Tutto ciò in assenza di una idonea base giuridica. Né il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro

La protezione della privacy

Inoltre la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.

Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

About Elena Mameli

Mi chiamo Elena, sono una ragazza di 22 anni e vivo a Sardara. Frequento l'indirizzo storico artistico della facoltà di beni culturali e spettacolo.

Controlla anche

Allarme auto connesse, problemi di privacy

Allarme Sicurezza: Le ‘Auto Connesse’ del XXI secolo, una grave Minaccia per la Privacy non …