Impronte digitali senza specifici requisiti
Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata. Impronte digitali senza requisiti. Garante Privacy
Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 498 del 22 dicembre 2022, con la quale, tra le altre cose, ha chiarito quali devono essere i requisiti per l’attivazione, da parte del datore di lavoro, di un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti.
Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie.
L’Autorità è intervenuta a seguito di una segnalazione di un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, nonostante la richiesta del sindacato di adottare mezzi di rilevazione meno invasivi.
Nel corso dell’istruttoria e degli accertamenti ispettivi, effettuati dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, è emerso che la società aveva effettuato, per quasi quattro anni, la rilevazione delle impronte digitali dei 132 dipendenti senza un’adeguata base normativa.
E, violando i principi di minimizzazione e proporzionalità, aveva trattato per scopi di ordinaria gestione (consentire maggiore velocità e snellezza dell’attività di rilevazione delle presenze) una tipologia di dati protetta dal Regolamento europeo con particolari garanzie. La società aveva inoltre fornito ai lavoratori informazioni del tutto carenti sulle caratteristiche dei trattamenti biometrici.
Con segnalazione del 15 maggio 2019 la SLC CGIL ha lamentato che, a partire dal mese di ottobre del 2018, presso i Club Get Fit di Milano gestiti dalla Società Sportitalia, società sportiva dilettantistica a responsabilità limitata (di seguito, la Società), “è stato introdotto un sistema di timbratura per rilevazione delle presenze, con terminale biometrico (rilevamento delle impronte digitali) per tutti i dipendenti e collaboratori al fine di registrare l’accesso e la presenza presso i Club”.
L’introduzione del sistema biometrico, disposta nonostante la richiesta formulata alla Società dalla organizzazione segnalante, di adottare “mezzi meno invasivi – scegliendo procedimenti non biometrici”, sarebbe avvenuta in violazione dei principi di liceità, necessità e proporzionalità.
L’Autorità, in data 5 settembre 2019, ha trasmesso alla Società un invito a fornire riscontro in ordine ai fatti oggetto di segnalazione e, in data 10 gennaio 2020, non essendo pervenuta alcuna riposta, una richiesta di informazioni ai sensi dell’art. 157 del Codice.
Poiché anche in questo caso la Società non ha fatto pervenire alcun riscontro, l’Autorità ha delegato il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ad effettuare la notifica dell’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice, in relazione alla prospettata violazione del medesimo art. 166, comma 2 (laddove stabilisce che la violazione dell’art. 157 del Codice è soggetta all’applicazione della sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento). Il Nucleo è stato altresì delegato ad acquisire le informazioni già richieste alla Società in relazione ai fatti oggetto di segnalazione.
Vedi News completa sul sito del Garante
