Il sistema di rilevazione delle presenze dei lavoratori attraverso l’acquisizione dei loro dati biometrici viola la normativa privacy stante l’assenza di idonea base normativa.

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Condividi con:

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna – 14 gennaio 2021

Premessa

Nel novembre del 2019 alcune testate giornalistiche avevano diffuso la notizia che l’Azienda sanitaria provinciale di Enna si era dotata di un sistema di rilevamento delle presenze dei propri dipendenti basato sull’uso dei loro dati biometrici. La motivazione per cui l’Azienda aveva adottato tale sistema era da ravvisarsi nella volontà dell’Ente di avere maggiore certezza sulla identità dei propri dipendenti, così da scoraggiare fenomeni di assenteismo.

In ragione di ciò, ravvisando in tale scelta possibili profili di lesione della normativa in materia di privacy, il Garante avviava un’istruttoria nei confronti dell’azienda sanitaria. All’esito della quale emergeva che l’ASL aveva installato, nei varchi di accesso delle proprie strutture, un sistema che permetteva di acquisire l’impronta digitale del dipendente, memorizzarla in forma crittografata all’interno di un badge consegnato nell’esclusiva responsabilità del dipendente interessato e successivamente, ad ogni accesso, effettuava il confronto fra l’impronta memorizzata nel badge e quella del soggetto che si accingeva ad effettuare l’accesso apponendo il dito sul dispositivo posto in prossimità del varco di accesso.

Il Garante, quindi, notificava all’ASL la comunicazione di avvio del procedimento per l’adozione delle sanzioni e la invitava a fornire scritti difensivi.

L’Azienda sanitaria si difendeva sostenendo che l’Ente non svolgeva alcun trattamento di dati personali dei dipendenti, in quanto il sistema utilizzato era analogo a quello usato dagli smartphone per l’accesso al loro utilizzo (cioè lo “sblocco” mediante l’uso dell’impronta digitale sul device stesso), e conseguentemente non sarebbe stata applicabile la normativa in materia di privacy. In particolare, secondo l’ASL, il sistema utilizzato era strutturato in modo che il trattamento del dato biometrico inizia solo quando lo decide il dipendente e solo sotto il suo controllo: cioè quando il dipendente appoggia il suo badge sul lettore e poi il suo dito sullo scanner del dispositivo. A fronte di tali due attività del dipendente, il software si limitava solo a confrontare i due dati biometrici (quello memorizzato nel badge e quello risultante dallo scanner del dito), senza comunicare tali dati all’esterno e senza memorizzarli in alcun modo (tranne che per pochi secondi all’interno del sistema stesso, per il tempo necessario al confronto).

Inoltre, sempre secondo l’ASL, il fatto che il dipendente compia i due gesti di cui sopra e indice della sua volontà di acconsentire al trattamento.

Infine, l’ASL rilevava che la finalità perseguita dall’Ente con il sistema biometrico di rilevazione delle presenze dei dipendenti (cioè di prevenzione dei fenomeni di assenteismo e dei connessi reati contro la PA nonché di migliorare l’efficienza della PA stessa) giustificasse comunque l’uso del sistema medesimo, che comunque sarebbe stato legittimato altresì dalla introduzione della legge n.56/2019 che aveva introdotto l’obbligo a carico della PA di verifica biometrica delle presenze dei dipendenti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



La decisione del Garante

Preliminarmente il Garante ha evidenziato come al caso di specie sia applicabile la normativa in materia di privacy, in quanto l’ASL compie un vero e proprio trattamento di dati, per lo più dati “particolari” ai sensi dell’art.9 del Regolamento Europeo (GDPR).

Infatti, le operazioni compiute dal sistema adottato dall’Ente consentono comunque un trattamento dei dati biometrici dei dipendenti, anche se l’impronta è registrata all’interno del badge in loro possesso e il confronto con quella risultante dallo scanner posto all’ingresso delle strutture avviene per pochi istanti. In altri termini, sia nel momento in cui l’impronta viene registrata per la prima volta nel badge, sia ad ogni accesso nel momento in cui viene acquisita dallo scanner, memorizzata per pochi istanti e confrontata con quella risultante dal badge, il sistema compie un vero e proprio trattamento di detti dati.

In considerazione di ciò, a detti trattamenti, è applicabile la normativa in materia di privacy.

A tal proposito, il Garante rileva che, se la scelta di conservare i dati biometrici registrati all’interno di un badge lasciato nella esclusiva disponibilità dell’interessato sicuramente sostanzia una misura tecnica e organizzativa del trattamento in attuazione del principio di minimizzazione dei dati trattati, ciò non esclude che i trattamenti possono essere compiuti dall’ASL solo in presenza di una idonea base giuridica che li legittimi.

In secondo luogo, l’applicabilità della normativa privacy impone altresì che agli interessati sia fornita l’apposita informativa ai sensi dell’art. 13 del GDPR.

Secondo il Garante, con riferimento al secondo aspetto, seppure è emerso che l’ASL avesse preventivamente diramato un’informazione a tutti i dipendenti e ai sindacati circa la successiva introduzione del suddetto sistema di rilevazione delle presenze, in dette comunicazioni non erano riportate tutte le informazioni richieste dal citato art. 13 del Regolamento.

Ciò comporta, secondo, il Garante una violazione della normativa privacy.

Per quanto concerne, invece, la base giuridica del trattamento, il Garante rileva come sicuramente la rilevazione delle presenze dei dipendenti e la verifica dell’orario sostanziano idonea base giuridica che legittima il trattamento (ai sensi dell’art. 9 del GDPR), poiché, in primo luogo, necessari per assolvere gli obblighi e esercitare i diritti del titolare del trattamento in materia di diritto del lavoro oppure, in secondo luogo, perché necessari per motivi di interesse pubblico.

Tuttavia, secondo il Garante, la prima base giuridica di cui sopra impone che il trattamento sia tuttavia autorizzato dal diritto dell’Unione o degli Stati membri in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato. In altri termini, il trattamento dei dati biometrici ai fini della rilevazione delle presenze sarà legittimo soltanto se sussiste una specifica disposizione normativa, che fornisca agli interessati le garanzie ai fini privacy.

Ebbene, nel caso di specie, la Legge 56/2019 invocata dall’ASL come base giuridica, pur introducendo i sistemi di identificazione biometrica e di videosorveglianza per la rilevazione delle presenze, prevede altresì che un successivo DPCM, emesso previo parere del Garante privacy, avrebbe dovuto individuare le modalità attuative della norma stessa idonee a rispettare le misure di tutela previste dalla normativa privacy. Tale ulteriore atto legislativo, quindi, avrebbe dovuto integrare la base giuridica che potrebbe legittimare il trattamento tramite i sistemi biometrici. Tuttavia, il relativo iter non è stato concluso, poiché il PDCM non è stato emanato.

In ragione di ciò, secondo il Garante, non sussiste una idonea base giuridica che possa legittimare il trattamento di dati biometrici dei dipendenti ai fini della rilevazione delle presenze e conseguentemente il trattamento è da ritenersi illegittimo.

Secondo il Garante, ad analoghe conclusioni deve pervenirsi anche con riferimento alla seconda base giuridica invocata dall’ASL (quella dei motivi di interesse pubblico rilevante).

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!