Il sistema di rilevazione delle presenze dei lavoratori attraverso l’acquisizione dei loro dati biometrici viola la normativa privacy stante l’assenza di idonea base normativa.

Scarica PDF Stampa
Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna – 14 gennaio 2021

Premessa

Nel novembre del 2019 alcune testate giornalistiche avevano diffuso la notizia che l’Azienda sanitaria provinciale di Enna si era dotata di un sistema di rilevamento delle presenze dei propri dipendenti basato sull’uso dei loro dati biometrici. La motivazione per cui l’Azienda aveva adottato tale sistema era da ravvisarsi nella volontà dell’Ente di avere maggiore certezza sulla identità dei propri dipendenti, così da scoraggiare fenomeni di assenteismo.

In ragione di ciò, ravvisando in tale scelta possibili profili di lesione della normativa in materia di privacy, il Garante avviava un’istruttoria nei confronti dell’azienda sanitaria. All’esito della quale emergeva che l’ASL aveva installato, nei varchi di accesso delle proprie strutture, un sistema che permetteva di acquisire l’impronta digitale del dipendente, memorizzarla in forma crittografata all’interno di un badge consegnato nell’esclusiva responsabilità del dipendente interessato e successivamente, ad ogni accesso, effettuava il confronto fra l’impronta memorizzata nel badge e quella del soggetto che si accingeva ad effettuare l’accesso apponendo il dito sul dispositivo posto in prossimità del varco di accesso.

Il Garante, quindi, notificava all’ASL la comunicazione di avvio del procedimento per l’adozione delle sanzioni e la invitava a fornire scritti difensivi.

L’Azienda sanitaria si difendeva sostenendo che l’Ente non svolgeva alcun trattamento di dati personali dei dipendenti, in quanto il sistema utilizzato era analogo a quello usato dagli smartphone per l’accesso al loro utilizzo (cioè lo “sblocco” mediante l’uso dell’impronta digitale sul device stesso), e conseguentemente non sarebbe stata applicabile la normativa in materia di privacy. In particolare, secondo l’ASL, il sistema utilizzato era strutturato in modo che il trattamento del dato biometrico inizia solo quando lo decide il dipendente e solo sotto il suo controllo: cioè quando il dipendente appoggia il suo badge sul lettore e poi il suo dito sullo scanner del dispositivo. A fronte di tali due attività del dipendente, il software si limitava solo a confrontare i due dati biometrici (quello memorizzato nel badge e quello risultante dallo scanner del dito), senza comunicare tali dati all’esterno e senza memorizzarli in alcun modo (tranne che per pochi secondi all’interno del sistema stesso, per il tempo necessario al confronto).

Inoltre, sempre secondo l’ASL, il fatto che il dipendente compia i due gesti di cui sopra e indice della sua volontà di acconsentire al trattamento.

Infine, l’ASL rilevava che la finalità perseguita dall’Ente con il sistema biometrico di rilevazione delle presenze dei dipendenti (cioè di prevenzione dei fenomeni di assenteismo e dei connessi reati contro la PA nonché di migliorare l’efficienza della PA stessa) giustificasse comunque l’uso del sistema medesimo, che comunque sarebbe stato legittimato altresì dalla introduzione della legge n.56/2019 che aveva introdotto l’obbligo a carico della PA di verifica biometrica delle presenze dei dipendenti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

La decisione del Garante

Preliminarmente il Garante ha evidenziato come al caso di specie sia applicabile la normativa in materia di privacy, in quanto l’ASL compie un vero e proprio trattamento di dati, per lo più dati “particolari” ai sensi dell’art.9 del Regolamento Europeo (GDPR).

Infatti, le operazioni compiute dal sistema adottato dall’Ente consentono comunque un trattamento dei dati biometrici dei dipendenti, anche se l’impronta è registrata all’interno del badge in loro possesso e il confronto con quella risultante dallo scanner posto all’ingresso delle strutture avviene per pochi istanti. In altri termini, sia nel momento in cui l’impronta viene registrata per la prima volta nel badge, sia ad ogni accesso nel momento in cui viene acquisita dallo scanner, memorizzata per pochi istanti e confrontata con quella risultante dal badge, il sistema compie un vero e proprio trattamento di detti dati.

In considerazione di ciò, a detti trattamenti, è applicabile la normativa in materia di privacy.

A tal proposito, il Garante rileva che, se la scelta di conservare i dati biometrici registrati all’interno di un badge lasciato nella esclusiva disponibilità dell’interessato sicuramente sostanzia una misura tecnica e organizzativa del trattamento in attuazione del principio di minimizzazione dei dati trattati, ciò non esclude che i trattamenti possono essere compiuti dall’ASL solo in presenza di una idonea base giuridica che li legittimi.

In secondo luogo, l’applicabilità della normativa privacy impone altresì che agli interessati sia fornita l’apposita informativa ai sensi dell’art. 13 del GDPR.

Secondo il Garante, con riferimento al secondo aspetto, seppure è emerso che l’ASL avesse preventivamente diramato un’informazione a tutti i dipendenti e ai sindacati circa la successiva introduzione del suddetto sistema di rilevazione delle presenze, in dette comunicazioni non erano riportate tutte le informazioni richieste dal citato art. 13 del Regolamento.

Ciò comporta, secondo, il Garante una violazione della normativa privacy.

Per quanto concerne, invece, la base giuridica del trattamento, il Garante rileva come sicuramente la rilevazione delle presenze dei dipendenti e la verifica dell’orario sostanziano idonea base giuridica che legittima il trattamento (ai sensi dell’art. 9 del GDPR), poiché, in primo luogo, necessari per assolvere gli obblighi e esercitare i diritti del titolare del trattamento in materia di diritto del lavoro oppure, in secondo luogo, perché necessari per motivi di interesse pubblico.

Tuttavia, secondo il Garante, la prima base giuridica di cui sopra impone che il trattamento sia tuttavia autorizzato dal diritto dell’Unione o degli Stati membri in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato. In altri termini, il trattamento dei dati biometrici ai fini della rilevazione delle presenze sarà legittimo soltanto se sussiste una specifica disposizione normativa, che fornisca agli interessati le garanzie ai fini privacy.

Ebbene, nel caso di specie, la Legge 56/2019 invocata dall’ASL come base giuridica, pur introducendo i sistemi di identificazione biometrica e di videosorveglianza per la rilevazione delle presenze, prevede altresì che un successivo DPCM, emesso previo parere del Garante privacy, avrebbe dovuto individuare le modalità attuative della norma stessa idonee a rispettare le misure di tutela previste dalla normativa privacy. Tale ulteriore atto legislativo, quindi, avrebbe dovuto integrare la base giuridica che potrebbe legittimare il trattamento tramite i sistemi biometrici. Tuttavia, il relativo iter non è stato concluso, poiché il PDCM non è stato emanato.

In ragione di ciò, secondo il Garante, non sussiste una idonea base giuridica che possa legittimare il trattamento di dati biometrici dei dipendenti ai fini della rilevazione delle presenze e conseguentemente il trattamento è da ritenersi illegittimo.

Secondo il Garante, ad analoghe conclusioni deve pervenirsi anche con riferimento alla seconda base giuridica invocata dall’ASL (quella dei motivi di interesse pubblico rilevante).

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento