L’uso delle impronte digitali per la rilevazione delle presenze è stato al centro di una sanzione del Garante. Ecco cosa è successo e cosa ci insegna questa vicenda per evitare sanzioni.
Impronte digitali per la rilevazione delle presenze? Il Garante dice no
Il Garante per la protezione dei dati personali ha recentemente sanzionato un istituto scolastico per il trattamento illecito dei dati biometrici dei dipendenti nella rilevazione delle presenze. La violazione è stata scoperta a seguito di un reclamo presentato da un dipendente che ha segnalato l’utilizzo del sistema di impronte digitali senza, secondo lui, una base giuridica adeguata. L’istituto scolastico, infatti, non aveva rispettato le normative del GDPR, utilizzando una tecnologia invasiva come il riconoscimento delle impronte digitali senza giustificare adeguatamente il trattamento dei dati. Il Garante ha deciso di intervenire, infliggendo una multa.
Le violazioni che hanno fatto scattare la sanzione del Garante
Il Garante ha riscontrato diverse violazioni da parte dell’istituto scolastico:
- mancanza di una base giuridica valida: l’uso delle impronte digitali per il controllo delle presenze non era giustificato da una necessità impellente o da una norma specifica che consentisse il trattamento di dati biometrici, come previsto dall’articolo 9 del GDPR.
- Inadeguatezza del consenso: nonostante alcuni dipendenti avessero espresso il loro consenso, il Garante ha sottolineato che, in un rapporto di lavoro, il consenso non può essere considerato sufficiente per giustificare l’uso di dati biometrici, a causa della disuguaglianza di potere tra datore di lavoro e dipendente.
- Violazione dei principi di proporzionalità, adeguatezza e minimizzazione dei dati: la raccolta dei dati biometrici, essendo un trattamento altamente invasivo, è risultata eccessiva rispetto alle esigenze effettive dell’istituto. Esistono alternative meno invasive, come l’uso di badge o codici identificativi, che avrebbero garantito lo stesso risultato senza compromettere la privacy. Inoltre, il trattamento ha comportato l’elaborazione di più dati di quelli necessari, violando il principio di minimizzazione.
Per approfondire > Rilevazione impronte digitali sul posto di lavoro: intervento del Garante
Il GDPR e il trattamento dei dati biometrici sul posto di lavoro
I dati biometrici, come le impronte digitali, il riconoscimento facciale o dell’iride, sono considerati tra i dati più sensibili e delicati. La loro unicità li rende ineguagliabili per l’identificazione, ma questo comporta anche dei rischi significativi. A differenza di password o PIN, i dati biometrici non possono essere cambiati una volta compromessi, esponendo gli individui a rischi permanenti.
Il GDPR stabilisce che il trattamento di tali dati è generalmente vietato. L’articolo 9 del GDPR prevede che tali dati possano essere trattati solo se esiste una base giuridica legittima che rispetti i principi di necessità e proporzionalità. Inoltre, è fondamentale che il trattamento rispetti i principi di minimizzazione, raccogliendo solo i dati necessari e conservandoli per il tempo strettamente necessario.
Raccogliere impronte digitali di tutti i dipendenti per accedere ai locali potrebbe essere considerato eccessivo se esistono alternative meno invasive come badge o tesserini. Inoltre, l’uso di dati biometrici per finalità generiche di monitoraggio, come la rilevazione di presenze, è considerato illegittimo dal punto di vista del GDPR a meno che non sia dimostrata la necessità di tale sistema rispetto a metodi alternativi. È fondamentale che le aziende giustifichino con una base giuridica valida la raccolta dei dati biometrici e possano dimostrare la proporzionalità delle misure adottate.
Per saperne di più > GDPR e dati biometrici: come trattarli in azienda
La DPIA (Valutazione di Impatto sulla Protezione dei Dati)
Per le aziende che intendono trattare dati biometrici, la Valutazione di Impatto sulla Protezione dei Dati (DPIA) è un passaggio cruciale. La DPIA consente di valutare i rischi per la privacy e di adottare misure per mitigarli, garantendo la conformità alle normative. Questa valutazione aiuta anche a dimostrare la corretta gestione dei dati biometrici in caso di ispezioni o audit.
Nel caso dell’istituto scolastico, sarebbe stato opportuno effettuare una DPIA per analizzare la necessità e la proporzionalità del trattamento dei dati biometrici, esplorando soluzioni alternative meno invasive e garantendo adeguate misure di protezione per i diritti dei dipendenti.
Impronte digitali: la sanzione del Garante
Nel caso specifico, la multa prevista per la violazione del Regolamento sulla protezione dei dati personali sarebbe potuta arrivare fino a 20.000.000 di euro, come stabilito dall’articolo 83, par. 5.
Tuttavia, considerando la tempestiva e positiva reazione dell’istituto scolastico, il Garante per la Protezione dei Dati Personali ha deciso di applicare una sanzione ridotta di 4.000 euro.
L’istituto ha infatti preso adeguati provvedimenti correttivi, sospendendo l’utilizzo del sistema di rilevazione biometrica e procedendo con la cancellazione dei dati raccolti, dimostrando così un impegno concreto nel risolvere la situazione.
Qui il provvedimento completo del Garante per la Protezione dei Dati Personali.
Conclusioni: proteggi i dati e rispetta il GDPR con GDPRLab
Il caso evidenzia l’importanza di garantire che ogni trattamento dei dati personali, soprattutto quelli biometrici, sia legittimo, proporzionato e trasparente. Le sanzioni del Garante sono un chiaro monito per tutte le organizzazioni che utilizzano tecnologie invasive.
Non sei sicuro che la tua azienda sia conforme al GDPR? Chiedi ai nostri esperti DPO.
