A cura dell’avv.
Andrea D’Amico
Con provvedimento n. 16 del 14 gennaio 2021 (doc. 1) il Garante per la protezione dei dati personali ha sanzionato la Azienda Sanitaria Provinciale di Enna in relazione al trattamento di dati biometrici per l’accertamento della presenza dei dipendenti sul posto di lavoro.
Il provvedimento è particolarmente interessante in quanto sotto la lente del Garante finisce un sistema di verifica delle presenze sul posto di lavoro che si incontra non di rado nella prassi, di cui di seguito si indicano le caratteristiche essenziali: (i) un software elabora un modello biometrico a partire dalla lettura dell’impronta di un polpastrello dell’interessato, memorizzandolo poi, in forma di stringa crittografata, su un badge conferito in uso allo stesso interessato; (ii) al momento di passare i varchi di ingresso l’interessato deve avvicinare il badge ad un apposito lettore, ivi poggiando, contestualmente, il proprio polpastrello; (iii) il dispositivo “legge” l’impronta biometrica del dito dell’interessato e la associa ad un modello biometrico che, se coincidente con quello memorizzato sul badge, permette la registrazione della presenza e l’accesso al posto di lavoro; (iv) il dato biometrico dell’interessato viene registrato solo per il tempo intercorrente tra la “lettura” e la sua conversione in stringa crittografata e successivamente cancellato; (v) il normale uso del sistema in descrizione non prevede che il titolare del trattamento (generalmente il datore di lavoro) acceda al contenuto informativo del dato biometrico, il cui trattamento è effettuato in parte attraverso sistemi automatizzati, in parte ad opera dello stesso interessato; al titolare viene unicamente riferito l’accesso al posto di lavoro da parte dell’interessato ai fini della rilevazione delle presenze.
L’istruttoria veniva avviata d’ufficio a seguito di taluni articoli di stampa.
Nel corso dell’istruttoria veniva evidenziato, per quanto qui interessa, che la Azienda Sanitaria Provinciale di Enna si sarebbe – correttamente – dotata di un apposito documento denominato “valutazione di impatto” (non a caso ad esito dell’istruttoria il Garante non eleverà sanzioni per omessa redazione della “DPIA” di cui all’art. 35 del GDPR).
A seguito di una articolata ricostruzione delle basi giuridiche potenzialmente applicabili al trattamento di dati biometrici, il Garante ha osservato che non sembrerebbero ricorrere, almeno per il settore pubblico, basi giuridiche adeguate, non essendovi una legge di “copertura” (la stessa l. 56/2019 necessita di un decreto attuativo ancora da adottarsi); né, per altro verso, il difetto di base giuridica può essere superato dal consenso dei dipendenti [“posto che (il consenso dell’interessato, ndr) non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo” (enfasi aggiunta)] o dal legittimo interesse del titolare (che non si estende sino a permettere il trattamento di dati di particolari categorie, non essendo richiamato all’art. 9, comma 2, GDPR).
È stata, per l’effetto, contestata la “violazione dei principi generali del trattamento”, nonché la “assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento”.
La sanzione pecuniaria è stata quantificata in complessivi euro 30.000,00 (trentamila/00) in virtù, da un lato, della delicatezza dei dati personali in essere, e, dall’altro lato, dell’immediata sospensione del trattamento da parte dell’Azienda unita all’assenza di “precedenti” è stata altresì imposta ai sensi dell’art. 58 (2) GDPR una misura correttiva consistente nell’ordine di cancellazione dei modelli biometrici memorizzati sui badge entro 60 (sessanta) giorni dalla notifica del provvedimento.
Puoi scaricare qui il Provvedimento del Garante della privacy
Avv. Andrea D’Amico