Il Garante sanziona una Asp per uso delle impronte digitali dei dipendenti senza adeguata normativa
L’Azienda sanitaria provinciale di Enna (Asp) è stata recentemente multata dal Garante con una sanzione di 30.000 euro a causa dell’utilizzo di un sistema di rilevazione della presenza dei dipendenti che si basava sul trattamento di dati biometrici. Per poter installare questi tipi di sistemi è diventata necessaria un base normativa in proporzione all’obiettivo perseguito e che fissi misure in tutela dei diritti degli interessati.
La normativa invocata in questo caso da Asp è stata definita carente, non essendo stato adottato il regolamento attuativo della legge 56/2019.
Le indagini dell’Autorità hanno accertato che l’Asp di Enna acquisiva oltre 2.000 impronte digitali dei dipendenti in forma crittografata sul badge dei lavoratori. L’Azienda si occupava poi di verificare l’identità dei dipendenti con il confronto tra il modello biometrico di riferimento e l’impronta digitale, così veniva trasmetta la data e l’ora della timbratura.
L’Autorità ha decretato però che in questo modo si effettuava rilevamento dei dati biometrici senza idonea base giuridica. Nemmeno il consenso dei dipendenti è stato considerato valido nel contesto lavorativo.
Inoltre, nonostante la struttura avesse informato dell’introduzione di questa misura il personale non aveva fornito informazioni sul trattamento, cosa richiesta dal Regolamento europeo in materia di privacy.
Tenendo in considerazione il caso e tutti gli aspetti, il Garante ha dichiarato uso illecito dei dati biometrici applicando all’Asp 30.000 euro di sanzione, disponendo l’immediata cancellazione dei modelli biometrici memorizzati all’interno del badge e disponendo all’Asp le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.