Ancora una sanzione del Garante nei confronti di un’Azienda Sanitaria per illegittimo trattamento dei dati.
In questo caso, a farne le spese la ASP di Enna che si è vista irrogare l’ordinanza di ingiunzione al pagamento di 30.000 euro per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti, al fine di garantire una maggiore affidabilità tecnica nella verifica dell’identità di ogni dipendente e scoraggiare fenomeni di assenteismo.
All’esito dell’istruttoria, è emerso che l’azienda acquisiva le impronte digitali dei suoi dipendenti memorizzandole con modalità crittografate sul badge utilizzato.
Successivamente, verificava l’identità del dipendente confrontando il modello biometrico acquisito nel badge con l’impronta digitale acquisita in sede di rilevazione della presenza, trasmettendo al sistema di gestione il numero di matricola del dipendente, la data e l’ora della timbratura.
Questa modalità di trattamento è stata ritenuta priva di adeguata base giuridica, non potendosi neppure giustificare con il consenso manifestato dai dipendenti che, di fatto, si trovano in una posizione di chiaro squilibrio rispetto alla parte datoriale.
La disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1 del Regolamento), dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento).
Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” ovvero, quando “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (artt. 6, parr. 1, lett. e), 2 e 3, nonché 9, par. 2, lett. g,) del Regolamento e 2-ter e 2-sexies del Codice).
Il legislatore nazionale ha definito “rilevante” l’interesse pubblico per il trattamento “effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti “sono ammessi qualora siano previsti […] da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Come noto, la definizione di dati biometrici li individua come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”(art. 4, punto 14), del Regolamento) e sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.
In tale quadro, il trattamento di dati biometrici (di regola vietato) è consentito al ricorrere di una delle condizioni indicate dell’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).
Peraltro, l’Autority ha rilevato che, pur avendo fornito apposita comunicazione sul tema al personale ed ai sindacati, non avesse specificato tutte le informazioni relativa al trattamento effettuato. Conseguenziale la sanzione economica, con il relativo ordine di cancellazione dei modelli biometrici memorizzati all’interno dei badge.