Garante privacy, no all’uso della rilevazione biometrica se manca base normativa

Garante privacy, no all’uso della rilevazione biometrica se manca base normativa

Il Garante per la protezione dei dati personali, ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti.

Il Garante, nell’ordinanza  ha chiarito che, a seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti, è necessario una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.

 

Il fatto

L’Azienda sanitaria provinciale (Asp) di Enna ha introdotto “il sistema di verifica biometrica dell’identità” in quanto “l’esistenza di presidi decentrati […] e la tipologia dell’attività prestata (diversi operatori prestano la propria attività su due e/o tre turni nelle 24 ore, talvolta anche in presidi ospedalieri e territoriali) comporta una notevole complessità nella gestione del personale dipendente”.

  • il sistema utilizzava “un software in grado di acquisire i dati dello stesso dipendente e memorizzarli in forma crittografata su un dispositivo sicuro (badge) dato nell’esclusiva disponibilità dell’interessato”;
  • “il software provvede, immediatamente dopo la fase di registrazione in forma crittografata dei dati, alla loro cancellazione”;
  • “a tutti i dipendenti è stata fornita l’informativa ai sensi dell’art. 13 del Regolamento”;
  • la procedura di registrazione del dato comporta la “rilevazione dell’impronta biometrica che viene trasformata in una stringa criptata, memorizzata a sua volta nel badge”;
  • la lettura del dato, all’atto della rilevazione della presenza, avviene mediante contestuale utilizzo del badge (che deve essere avvicinato al rilevatore delle presenze) e mediante apposizione del dito sul dispositivo: “il sistema confronta localmente e solo per il tempo necessario alla verifica, stringa conservata nel badge con quella calcolata momentaneamente dal rilevatore delle presenze” e, se il confronto è coincidente, “la stringa calcolata momentaneamente viene automaticamente cancellata […] nessun dato biometrico viene memorizzato”, ma “solo il numero di matricola del dipendente, l’ora e la data di presenza”;
  • “nessun sistema di videosorveglianza è stato installato nei vari accessi aziendali”; e per tutte queste ragioni l’Azienda sostiene che “non sussistono criticità, né violazioni di norme”. Tali considerazioni sono contenute anche in un documento denominato “valutazione di impatto”.

 

Da una prima lettura l’Asp ha seguito tutte le indicazioni previste dalla normativa.

Infatti ha motivato infine la propria scelta richiedendo ed ottenendo dal legale rappresentante della ditta appaltatrice prima di procedere all’istallazione del sistema l’attestazione, sotto la penale e personale responsabilità del dichiarate della conformità del sistema stesso alla legge ed al parere del Garante.

 

Esito istruttoria del Garante

Il garante ha chiarito che a seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Nel caso della Asp di Enna la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

L’istruttoria dell’Autorità, avviata a seguito di alcuni articoli di stampa, ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

L’Autorità ha ritenuto, contrariamente a quanto sostenuto dall’Azienda sanitaria, che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Né il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro.

Inoltre la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.

Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

Il Garante della Privacy si è espresso più volte sull’utilizzo di sistemi di rilevazione presenze biometrici (impronta digitale) per finalità di controllo del rispetto dell’orario di servizio sia nel settore privato che nel settore pubblico.

Il Garante ha ricordato le condizioni in presenza delle quali i sistemi di rilevazione presenze biometrici possono ritenersi leciti.

In particolare, l’Autorità ha precisato che tali sistemi possono essere di regola utilizzati solo in casi particolari, tenuto conto delle finalità perseguite dal titolare e del contesto in cui il trattamento viene effettuato, nonché – con specifico riguardo ai luoghi di lavoro – per presidiare l’accesso ad “aree sensibili” in considerazione della natura delle attività ivi svolte (cfr., tra le decisioni più risalenti, Provv. 21 luglio 2005, doc. web n. 1150679 e da ultimo, con ulteriori richiami, Provv. del 31 gennaio 2013 n. 38, doc. web n. 2304669).

In sintesi

Prima di adottare un sistema di rilevazione delle presenze biometrico si deve tener presente che:

  • si deve effettuare la notificazione al Garante dei trattamenti di dati biometrici, ai sensi degli artt. 37, comma 1, lett. a) e 38 del Codice;
  • si deve presentare di apposita istanza di verifica preliminare per il trattamento dei dati biometrici effettuato al fine di rilevare la presenza in servizio dei propri dipendenti attraverso un dispositivo lettore dell’impronta digitale.
  • prestare una “informativa specifica” ai dipendenti (anche per quanto riguarda ‘indicazione delle categorie di soggetti che hanno accesso ai dati personali biometrici trattati);
  • non serve avere il nullaosta all’uso del sistema di rilevazione delle presenze biometrico da parte dei dipendenti;
  • non serve avere il nullaosta all’uso del sistema di rilevazione delle presenze biometrico da parte dei sindacati;
  • non è sufficiente che la ditta fornitrice rilasci una dichiarazione di conformità alle norme sulla privacy del sistema di rilevazione delle presenze biometrico;
  • i sistemi di rilevazione delle presenze non possono essere collocati in prossimità di videocamere di sorveglianza;
  • l’utilizzo di un sistema di rilevazione delle presenze biometrico in luoghi di lavoro può essere giustificato solo in casi particolari, in relazione alle finalità e al contesto in cui essi sono trattati (ad esempio, accessi a particolari aree dell’azienda per le quali debbano essere adottati livelli di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività ivi svolte), oppure per finalità di sicurezza del trattamento di dati personali (v. Allegato B) al Codice).

Partner tecnologico

Per avere in azienda soluzioni digitali innovative ed integrate di rilevazione presenze e gestione turni di lavoro è necessario affidarsi a partner tecnologici seri ed affidabili in grado di gestire tutte le problematiche e le procedure relative alla installazione di sistemi in linea con le norme.

Le capacità ingegneristiche di CRONOTIME S.r.l., l’attenzione allo sviluppo dei prodotti e dei servizi e le grandi possibilità di customizzazione garantiscono il successo degli interventi e sono alla base della vasta gamma di servizi e opportunità offerti al cliente a corollario della fornitura.

CRONOTIME è un’azienda con una chiara impronta tecnologica – frutto di un lavoro minuzioso sviluppato nel tempo – e attenta all’evoluzione delle esigenze del mercato.

La cura posta nell’ascolto dei bisogni dei clienti permette a CRONOTIME di offrire soluzioni mirate e di sicura riuscita, mai sovradimensionate, e pensate per garantire un sicuro ritorno economico per il cliente.

CRONOTIME, come partner tecnologico, accompagna il cliente in tutte le fasi del progetto e con il supporto di Partner certificati, si propone come One-stop-Solution Provider che fornisce quanto è necessario per la rilevazione e gestione presenze e la sicurezza in azienda.

CRONOTIME, con oltre 2000 clienti tra imprese e enti pubblici, è il partner tecnologico ideale per risolvere tutti le problematiche aziendali attraverso:

  • L’installazione di soluzioni innovative ed integrate per affrontare lo smart working;
  • la fornitura di sistemi per la gestione dei turni di lavoro estremamente flessibile e personalizzabile;
  • la fornitura di sistemi di controllo degli accessi e di rilevazione delle presenze in regola con le normative vigenti;
  • app di sistemi di controllo degli accessi e di rilevazione delle presenze per smartphone e tablet;
  • corsi di formazione ed informazione rivolti ai lavoratori ed ai datori di lavoro sulle modalità d’usodegli strumenti e di effettuazione dei controlli;
  • supporto alla elaborazione del codice disciplinare interno;
  • la fornitura di badge.

 

NON FARTI COGLIERE IMPREPARATO !!!

CHIEDI SUBITO UN PREVENTIVO

inviando una mail a

marketing@cronotime.it

 

Per maggiori informazioni

Chiama al 080 56 19 587 Area Commerciale

O invia una mail indicando i tuoi dati all’indirizzo marketing@cronotime.it

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Copyrights © 2014-2017: Cronotime S.r.l. – Tutti i diritti riservati – Privacy Policy

Powered by progettografico.eu