Il Garante torna sul tema dell’utilizzo del dato biometrico per la rilevazione delle presenze. In questo caso si tratta dell’Impronta digitale utilizzata per “timbrare” dai dipendenti di un Istituto scolastico.
Indice
Il Caso
Un Istituto scolastico calabrese, nell’ambito del personale ATA ha utilizzato di un sistema di rilevazione delle presenze che associava badge e impronta digitale per timbrare ingressi/uscite su richiesta degli stessi lavoratori, in risposta a sospetti di manomissione dei cartellini tradizionali.
Il titolare del trattamento, a seguito di manomissioni, danneggiamenti e atti vandalici del sistema di rilevazione delle presenze tradizionale, ha deciso di rilevare le presenze con un sistema che utilizza l’impronta digitale in abbinamento al badge.
Il titolare scelte il sistema sulla base della garanzia in ordine alla correttezza del trattamento dati ed alla conformità al GDPR rilasciate dall’azienda fornitrice e non informa il DPO.
A seguito di un reclamo il caso arriva davanti al Garante.
Il Provvedimento del Garante
Il Garante per la protezione dei dati personali ha accertato la violazione della normativa privacy da parte dell’Istituto scolastico, evidenziando diversi profili critici.
In primo luogo, è stata ritenuta del tutto assente una base giuridica valida per il trattamento dei dati biometrici dei dipendenti. Il consenso manifestato dai lavoratori, infatti, non può considerarsi libero e genuino in un contesto di subordinazione lavorativa, e quindi non è sufficiente a legittimare il trattamento.
Il trattamento, peraltro, è stato giudicato non conforme ai principi di proporzionalità, adeguatezza e minimizzazione dei dati (art. 5 GDPR), anche in considerazione del fatto che non è stata effettuata alcuna valutazione preventiva sull’esistenza di soluzioni alternative meno invasive.
>Infine, il titolare non ha svolto la necessaria Valutazione di Impatto sulla protezione dei dati (DPIA), obbligatoria nel caso di trattamenti che comportano rischi elevati per i diritti e le libertà delle persone, come nel caso dei dati biometrici.
Perché non si può utilizzare il dato biometrico nella rilevazione delle presenze?
L’uso del dato biometrico, già di per sé richiede molta attenzione.
Il Regolamento europeo sulla protezione dei dati personali (GDPR), infatti, classifica le impronte digitali e altri dati biometrici tra i dati sensibili oggetto di tutele rafforzate. In particolare, ai sensi dell’ art. 9 par. 2 del Regolamento, nei trattamenti effettuati in ambito lavorativo, l’utilizzo è possibile quando il trattamento è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1 e cons. 51-53 del Regolamento).
In sintesi, l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).
[Ved. anche “Uso del dato biometrico sul posto di lavoro: il Garante conferma il proprio “no”!]
