Rilevazione impronte digitali sul posto di lavoro: intervento del Garante -

La rilevazione delle impronte digitali sul posto di lavoro è legittima solo per adempiere ad obblighi o esercitare diritti, pur sempre con adeguate garanzie.

Rilevazione impronte digitali sul posto di lavoro: il reclamo

Nel 2019 una organizzazione sindacale ha presentato un reclamo al Garante per la protezione dei dati personali. La società oggetto del reclamo è una società sportiva dilettantistica a responsabilità limitata che ha introdotto un sistema di rilevazione delle impronte digitali per verificare la presenza, nella sede lavorativa, di dipendenti e collaboratori. Il sindacato lamentava di aver chiesto alla società l’uso di mezzi meno invasivi per tali verifiche. Mezzi che non prevedessero il trattamento di dati biometrici. Richiesta ignorata dalla società.

A Settembre del 2019 il Garante richiede alla società di fornire informazioni utili in riguardo al reclamo ricevuto. A causa del mancato riscontro, invia una richiesta di informazioni, che si va a questo punto vincolante. Nessun riscontro anche alla seconda richiesta.

Il Garante apre l’istruttoria e delega il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza

Viste la mancate risposte, il Garante delega il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza a

comunicare alla società l’avvio del procedimento;
a raccogliere informazioni relative alla segnalazione.

La Guardia di Finanza procede ad ispezionare la sede legale della società per ben tre giorni consecutivi. Presso la sede legale dell’azienda viene verificata la presenza di un impianto di rilevazione biometrica installato e attivo. 132 è il numero di dipendenti e collaboratori sottoposti alla rilevazione delle impronte digitali.

La società, da parte sua, si è difesa spiegando che il requisiti di liceità della rilevazione delle impronte digitali sul posto di lavoro si fonda sul “libero e specifico consenso espresso da parte di ogni singolo dipendente”. La società ha effettivamente presentato ai dipendenti una informativa privacy con, in calce, la firma per presa visione e consenso dei dipendenti.

Rilevazione impronte digitali sul posto di lavoro: la difesa della società

Nelle memorie difensive presentate in corso di procedimento, la società si è difesa dichiarando che;

il sistema di rilevazione delle impronte digitali sul posto di lavoro ha una sola finalità. Ovvero rilevare la presenza dei dipendenti;
tutti i dipendenti hanno prestato un consenso “libero e specifico” rilasciato per iscritto;
dipendenti e collaboratori sono stati informati della possibilità di non accettare il trattamento dei dati biometrici;
in ottica di collaborazione col Garante, l’azienda comunica che dal Maggio 2022 avrebbe interrotto l’uso del sistema di Rilevazione impronte digitali sul posto di lavoro;
la società si è mossa in buona fede, in quanto il fornitore del sistema di rilevazione di dati biometrici non ha segnalato alcun aspetto problematico rispetto ad un simile trattamento dati;
contestualmente all’abbandono del sistema di rilevazione, la società ha chiesto al fornitore la cancellazione dei dati raccolti.

L’esito dell’istruttoria del Garante: il trattamento di dati biometrici e i limiti

L’istruttoria ha permesso di ricostruire che

le uniche informazioni relative al trattamento di dati biometrici ai dipendenti sono state fornite in un brevissimo paragrafo, entro una informativa sulla generalità dei trattamenti effettuati nel contesto lavorativo. Il registro dei trattamenti aziendale, invece, non contemplava affatto l’uso di dati biometrici;
il sistema di rilevazione delle presenze sul posto di lavoro è stato sostituito con uno che non utilizza dati biometrici;
il consenso al trattamento dati biometrici era richiesto con la seguente dizione

“Per quanto riguarda il trattamento dei miei dati biometrici (impronta digitale) per il monitoraggio e registrazione degli accessi/uscite che il Titolare tratterà con la massima attenzione e con l’utilizzo di idonei sistemi informatici, con la presente sottoscrizione rilascio mio espresso consenso al trattamento suddetto per le finalità indicate”.

Ora, il trattamento di dati biometrici è severamente limitato, dal GDPR, ad alcuni casi specifici. Godendo, i dati biometrici, di tutela rafforzata il Garante ha ritenuto non legittimo trattare per scopi di ordinaria amministrazione, come la velocizzazione delle rilevazioni delle presenze nella sede di lavoro, una tipologia di dati così tutelata. Il trattamento posto in atto ha violato quindi i principi di minimizzazione e proporzionalità.

Inoltre la società non ha rispettato neppure il principio di trasparenza, avendo fornito una informativa assolutamente carente.

Tenuto conto della durata e gravità dei trattamenti illeciti, il Garante ha deciso di sanzionare l’azienda per 20.000 euro.

Il provvedimento completo è disponibile qui

Non sei sicuro se la tua azienda sia conforme al GDPR?
Chiedi ai nostri esperti DPO

CONTATTA I NOSTRI DPO

Rilevazione impronte digitali sul posto di lavoro: intervento del Garante

Rilevazione impronte digitali sul posto di lavoro: il reclamo

Il Garante apre l’istruttoria e delega il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza

Rilevazione impronte digitali sul posto di lavoro: la difesa della società

L’esito dell’istruttoria del Garante: il trattamento di dati biometrici e i limiti

Conformità

netWork S.a.s.

GDPR Lab

Rilevazione impronte digitali sul posto di lavoro: il reclamo

Il Garante apre l’istruttoria e delega il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza

Rilevazione impronte digitali sul posto di lavoro: la difesa della società

L’esito dell’istruttoria del Garante: il trattamento di dati biometrici e i limiti

Potrebbe anche piacerti

Violata la normativa sui cookie: azienda francese sanzionata per l’uso di Google Analytics senza consenso degli utenti

Garante Privacy: la relazione annuale 2022

Le linee guida EDPB per calcolare le sanzioni per violazioni al GDPR

Conformità

netWork S.a.s.

GDPR Lab