L’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti da parte del datore di lavoro, anche se ente pubblico, non è mai ammissibile se carente di un regolamento attuativo idoneo a circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento. E’ quanto stabilito dal Garante per la protezione dei dati personali che ha sanzionato pesantemente l’Asp di Enna contestando proprio che, nonostante l’acquisito consenso dei dipendenti, il trattamento di dati biometrici dei dipendenti non fosse supportato da una idonea base giuridica.

Con una ordinanza ingiunzione datata 14 gennaio 2021, Il Garante per la protezione dei dati personali ha provveduto a sanzionare per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna a seguito dell’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. Ciò in quanto l’ente non aveva adottato il regolamento attuativo della legge n. 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

In particolare, il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

L’Autorità ha ritenuto che il trattamento di dati biometrici dei dipendenti non fosse supportato da una idonea base giuridica e che a nulla vale in questo senso il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, per effetto del non squilibrio del rapporto tra dipendente e datore di lavoro.

Inoltre, la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal regolamento europeo in materia di privacy.

Garante per la protezione dei dati personali, ordinanza ingiunzione 14/01/2021

Fonte: https://www.ipsoa.it/documents/lavoro-e-previdenza/amministrazione-del-personale/quotidiano/2021/02/22/impronte-digitali-dipendenti-previste-sanzioni-manca-regolamento-hoc