Trattamento illecito dei dati biometrici, multata una Asp - INDO (original) (raw)

Il Garante per la privacy ha inflitto una sanzione di 30 mila euro all’Azienda sanitaria provinciale di Enna per l’uso improprio delle impronte digitale dei dipendenti

30 mila euro di multa all’Asp di Enna per illecito trattamento dei dati biometrici. È questa la decisione presa dal Garante per la privacy al termine di una istruttoria avviata dopo alcuni articoli di stampa che avevano messo in luce l’utilizzo improprio da parte dell’Azienda sanitaria provinciale siciliana di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. Secondo, infatti, il Gdpr e il Codice privacy, l’utilizzo di questa tipologia di sistemi prevede che l’installazione sia proporzionata all’obiettivo perseguito e che, al tempo stesso, indichi delle misure appropriate e specifiche per tutelare i diritti degli interessati. L’Asp di Enna non aveva invece adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

L’Istruttoria del Garante della privacy

Nel corso della sua indagine, l’Autorità garante scoperto che il sistema di rilevazione delle presenze adottato dall’Azienda sanitaria, acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. Successivamente, evidenzia il Garante, “l’Azienda verificava l’identità del dipendente tramite il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze”. In questo modo, nonostante l’Asp sostenesse il contrario, veniva effettuato un trattamento dei dati biometrici dei dipendenti in maniera illecita. Va ricordato in questo caso che il consenso dei dipendenti al trattamento non è da considerarsi valido per via dello squilibrio del rapporto tra dipendente e datore di lavoro. A ciò bisogna aggiungere che sempre l’Asp non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Gdpr.

Cancellazione dei modelli biometrici nei badge dei dipendenti

Oltre alla sanzione di 30 mila euro, il Garante ha disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e ha chiesto all’Azienda sanitaria provinciale di Enna di far conoscere le iniziative che vorrà intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

FONTE: garanteprivacy.it

dati biometrici, gdpr, trattamento illecito di dati, uso improprio delle impronte digitali