Illecito rilevare la presenza dei dipendenti con le impronte digitali se manca la base normativa

di  Claudia Ruggiero Perrino -

 

Il Garante della privacy,  a seguito di un’istruttoria compiuta sul sistema di rilevazione delle presenze utilizzato dall’Azienda sanitaria provinciale di Enna, ha ritenuto illegittima la registrazione del personale dipendente effettuata dalla struttura sanitaria tramite la raccolta di un dato biometrico come l’impronta digitale, perché in violazione del principio di “liceità, correttezza e trasparenza” previsto dal Regolamento (UE) in ordine al trattamento dei dati personali e, pertanto, ha sanzionato la struttura sanitaria, come da ordinanza di ingiunzione del 14 gennaio 2021. In particolare, secondo quanto rilevato dal Garante la base normativa invocata dall’Asp di Enna era carente, laddove, invece, per installare tali sistemi di rilevazione, così come previsto dal Regolamento Europeo e dal “Codice della privacy”, è necessario che vi sia un regolamento idoneo al trattamento dei dati volto a tutelare i diritti degli interessati, anche laddove si perseguisse – spiega il Garante – il solo fine di accrescere l’efficienza della pubblica amministrazione. Invero, l’Autorità regolatrice, ha accertato che il sistema utilizzato dalla struttura sanitaria non dava garanzie appropriate per la rilevazione e il trattamento dei dati, in quanto acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore, verificava l’identità del dipendente confrontando il modello biometrico e l’impronta digitale registrata all’ingresso e, infine, trasmetteva il numero di matricola, nonché data e ora della timbratura al sistema di gestione delle presenze. Nello specifico il Garante ha, altresì, contestato che il consenso dei dipendenti, richiesto dall’Asp di Enna, non poteva ritenersi valido stante lo squilibrio del rapporto tra dipendente e datore di lavoro. Secondo l’Authority, inoltre, l’Azienda era stata carente anche nel fornire ai dipendenti e ai sindacati l’informativa sul trattamento, in spregio a quanto disposto dal Regolamento europeo sulla privacy. Alla luce di quanto accertato, il Garante oltre alla sanzione irrogata all’Asp, ha anche disposto la cancellazione dei modelli biometrici memorizzati sui badge e ha richiesto all’Azienda di comunicare le iniziative per far cessare la procedura di registrazione delle presenze dei dipendenti.

nsmail-8