Con Provvedimento n. 16 del 14 gennaio 2021, il Garante per la protezione dei dati personali ha sanzionato un’Azienda sanitaria provinciale (Asp) per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti.
In particolare, evidenzia il Garante, a seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.
Nel caso di specie la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.
L’Autorità ha ritenuto che l’acquisizione delle impronte digitali dei dipendenti memorizzate in forma crittografata sul badge personale costituisse un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Né il consenso dei dipendenti può essere considerato valido, nel contesto lavorativo, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro.