L’Autorità Garante per la protezione dei dati personali, in data 14 gennaio 2021, ha emanato l’ordinanza n. 16 nei confronti di un’azienda sanitaria provinciale di Enna in ordine al trattamento dei dati biometrici ai fini del rilevamento delle presenze dei dipendenti sul luogo di lavoro.
L’Azienda utilizzava un sistema di rilevamento delle presenze capace di acquisire i dati biometrici dei dipendenti, così da poterne accertare in modo univoco l’identità. In particolare, il sistema di rilevazione delle presenze acquisiva le impronte digitali dei dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore: verificata l’identità del dipendente mediante il confronto tra il dato biometrico memorizzato all’interno del badge e l’impronta digitale presentata in fase di rilevamento della presenza, il numero di matricola del dipendente, la data e l’ora della timbratura venivano trasmessi al sistema di gestione delle presenze.
Per legittimare l’utilizzo di questo sistema, l’Azienda ha sostenuto che così operando venivano scoraggiati fenomeni di assenteismo ed era garantita una maggiore affidabilità tecnica nella verifica dell’identità di ogni dipendente, anche tenuto conto della notevole complessità nella gestione del personale dovuta all’esistenza di presidi decentrati ed alla tipologia dell’attività svolta, prestando i diversi operatori la propria attività su due e/o tre turni nelle ventiquattro ore, talvolta anche in presidi diversi.
L’Autorità Garante ha, tuttavia, ritenuto il trattamento di dati biometrici dei dipendenti non supportato da idonee basi giuridiche e che, in particolare, il consenso dei dipendenti invocato dall’Azienda quale fondamento del trattamento non può costituire un valido presupposto di liceità considerando che il dipendente in ambito giuslavoristico si presenta come un soggetto “vulnerabile”. Tale conclusione è in linea con le indicazioni dell’EDPB, secondo cui è improbabile che il consenso venga prestato liberamente sul luogo di lavoro: per la maggior parte delle attività di trattamento svolte, la base legittima non dovrebbe essere il consenso del dipendente per via dello squilibrio di potere tra datore di lavoro ed il dipendente.
Inoltre, il Garante ha evidenziato che la struttura sanitaria, pur avendo informato il personale ed i sindacati della scelta organizzativa compiuta, non disponeva di un regolamento attuativo idoneo a circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento, così come previsto e richiesto dal GDPR.
Per queste ragioni, è stato dichiarato illecito il trattamento dei dati biometrici ed è stata comminata all’Azienda sanitaria una sanzione dell’importo di euro 30.000. L’Autorità Garante, inoltre, ha disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e ha chiesto all’Azienda di mettere la prima a conoscenza delle azioni che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.