Il sistema di rilevazione delle presenze dei lavoratori attraverso l’acquisizione dei loro dati biometrici viola la normativa privacy stante l’assenza di idonea base normativa.
Гарант по защите персональных данных: Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna – 14 январь 2021
предпосылка
Nel novembre del 2019 alcune testate giornalistiche avevano diffuso la notizia che l’Azienda sanitaria provinciale di Enna si era dotata di un sistema di rilevamento delle presenze dei propri dipendenti basato sull’uso dei loro dati biometrici. La motivazione per cui l’Azienda aveva adottato tale sistema era da ravvisarsi nella volontà dell’Ente di avere maggiore certezza sulla identità dei propri dipendenti, così da scoraggiare fenomeni di assenteismo.
In ragione di ciò, ravvisando in tale scelta possibili profili di lesione della normativa in materia di privacy, il Garante avviava un’istruttoria nei confronti dell’azienda sanitaria. All’esito della quale emergeva che l’ASL aveva installato, nei varchi di accesso delle proprie strutture, un sistema che permetteva di acquisire l’impronta digitale del dipendente, memorizzarla in forma crittografata all’interno di un badge consegnato nell’esclusiva responsabilità del dipendente interessato e successivamente, ad ogni accesso, effettuava il confronto fra l’impronta memorizzata nel badge e quella del soggetto che si accingeva ad effettuare l’accesso apponendo il dito sul dispositivo posto in prossimità del varco di accesso.
Il Garante, quindi, notificava all’ASL la comunicazione di avvio del procedimento per l’adozione delle sanzioni e la invitava a fornire scritti difensivi.
L’Azienda sanitaria si difendeva sostenendo che l’Ente non svolgeva alcun trattamento di dati personali dei dipendenti, in quanto il sistema utilizzato era analogo a quello usato dagli smartphone per l’accesso al loro utilizzo (cioè lo “sblocco” mediante l’uso dell’impronta digitale sul device stesso), e conseguentemente non sarebbe stata applicabile la normativa in materia di privacy. в частности, secondo l’ASL, il sistema utilizzato era strutturato in modo che il trattamento del dato biometrico inizia solo quando lo decide il dipendente e solo sotto il suo controllo: cioè quando il dipendente appoggia il suo badge sul lettore e poi il suo dito sullo scanner del dispositivo. A fronte di tali due attività del dipendente, il software si limitava solo a confrontare i due dati biometrici (quello memorizzato nel badge e quello risultante dallo scanner del dito), senza comunicare tali dati all’esterno e senza memorizzarli in alcun modo (tranne che per pochi secondi all’interno del sistema stesso, per il tempo necessario al confronto).
Inoltre, sempre secondo l’ASL, il fatto che il dipendente compia i due gesti di cui sopra e indice della sua volontà di acconsentire al trattamento.
Infine, l’ASL rilevava che la finalità perseguita dall’Ente con il sistema biometrico di rilevazione delle presenze dei dipendenti (cioè di prevenzione dei fenomeni di assenteismo e dei connessi reati contro la PA nonché di migliorare l’efficienza della PA stessa) giustificasse comunque l’uso del sistema medesimo, che comunque sarebbe stato legittimato altresì dalla introduzione della legge n.56/2019 che aveva introdotto l’obbligo a carico della PA di verifica biometrica delle presenze dei dipendenti.
Объем рекомендуется
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggs Издательство
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 € Купить
его www.maggiolieditore.it
La decisione del Garante
Preliminarmente il Garante ha evidenziato come al caso di specie sia applicabile la normativa in materia di privacy, in quanto l’ASL compie un vero e proprio trattamento di dati, per lo più dati “particolari” ai sensi dell’art.9 del Regolamento Europeo (GDPR).
на самом деле, le operazioni compiute dal sistema adottato dall’Ente consentono comunque un trattamento dei dati biometrici dei dipendenti, anche se l’impronta è registrata all’interno del badge in loro possesso e il confronto con quella risultante dallo scanner posto all’ingresso delle strutture avviene per pochi istanti. In altri termini, sia nel momento in cui l’impronta viene registrata per la prima volta nel badge, sia ad ogni accesso nel momento in cui viene acquisita dallo scanner, memorizzata per pochi istanti e confrontata con quella risultante dal badge, il sistema compie un vero e proprio trattamento di detti dati.
In considerazione di ciò, a detti trattamenti, è applicabile la normativa in materia di privacy.
A tal proposito, il Garante rileva che, se la scelta di conservare i dati biometrici registrati all’interno di un badge lasciato nella esclusiva disponibilità dell’interessato sicuramente sostanzia una misura tecnica e organizzativa del trattamento in attuazione del principio di minimizzazione dei dati trattati, ciò non esclude che i trattamenti possono essere compiuti dall’ASL solo in presenza di una idonea base giuridica che li legittimi.
In secondo luogo, l’applicabilità della normativa privacy impone altresì che agli interessati sia fornita l’apposita informativa ai sensi dell’art. 13 del GDPR.
Secondo il Garante, con riferimento al secondo aspetto, seppure è emerso che l’ASL avesse preventivamente diramato un’informazione a tutti i dipendenti e ai sindacati circa la successiva introduzione del suddetto sistema di rilevazione delle presenze, in dette comunicazioni non erano riportate tutte le informazioni richieste dal citato art. 13 del Regolamento.
Ciò comporta, secondo, il Garante una violazione della normativa privacy.
Per quanto concerne, invece, la base giuridica del trattamento, il Garante rileva come sicuramente la rilevazione delle presenze dei dipendenti e la verifica dell’orario sostanziano idonea base giuridica che legittima il trattamento (в соответствии со статьей. 9 del GDPR), poiché, in primo luogo, necessari per assolvere gli obblighi e esercitare i diritti del titolare del trattamento in materia di diritto del lavoro oppure, in secondo luogo, perché necessari per motivi di interesse pubblico.
Tuttavia, secondo il Garante, la prima base giuridica di cui sopra impone che il trattamento sia tuttavia autorizzato dal diritto dell’Unione o degli Stati membri in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato. In altri termini, il trattamento dei dati biometrici ai fini della rilevazione delle presenze sarà legittimo soltanto se sussiste una specifica disposizione normativa, che fornisca agli interessati le garanzie ai fini privacy.
хорошо, nel caso di specie, la Legge 56/2019 invocata dall’ASL come base giuridica, pur introducendo i sistemi di identificazione biometrica e di videosorveglianza per la rilevazione delle presenze, prevede altresì che un successivo DPCM, emesso previo parere del Garante privacy, avrebbe dovuto individuare le modalità attuative della norma stessa idonee a rispettare le misure di tutela previste dalla normativa privacy. Tale ulteriore atto legislativo, quindi, avrebbe dovuto integrare la base giuridica che potrebbe legittimare il trattamento tramite i sistemi biometrici. Tuttavia, il relativo iter non è stato concluso, poiché il PDCM non è stato emanato.
In ragione di ciò, secondo il Garante, non sussiste una idonea base giuridica che possa legittimare il trattamento di dati biometrici dei dipendenti ai fini della rilevazione delle presenze e conseguentemente il trattamento è da ritenersi illegittimo.
Secondo il Garante, ad analoghe conclusioni deve pervenirsi anche con riferimento alla seconda base giuridica invocata dall’ASL (quella dei motivi di interesse pubblico rilevante).
Объем рекомендуется
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggs Издательство
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 € Купить
его www.maggiolieditore.it
Стать автором Diritto.it
Узнайте больше!
Ti potrebbe interessare anche
Nuovi scenari su Intelligenza Artificiale e giustizia civile
di Concas Alessandra
11 декабрь 2019
Il ritardo del comune nel fornire i dati oggetto di trattamento all’interessato che esercita il diritto di accesso costituisce violazione della normativa privacy
di Muia’ Pier Paolo
2 декабрь 2020
Intelligenza artificiale ai tempi del Covid-19 e violazione dei dati personali
di Carmina Valentino
29 апреля 2020
La libertà nel consenso al trattamento dei dati
di Luigi Santoro
16 январь 2020
The post Il sistema di rilevazione delle presenze dei lavoratori attraverso l’acquisizione dei loro dati biometrici viola la normativa privacy stante l’assenza di idonea base normativa. appeared first on Diritto.it.
Источник: Diritto.it
