Il garante delle privacy ha sanzionato una scuola di Tropea (VV) che aveva attivato un sistema di rilevazione delle presenze dei dipendenti basato sull’acquisizione delle impronte digitali. Lo riporta un articolo di “Italia Oggi”.
Il fatto
L’Istituto aveva introdotto, per il personale, la possibilità di abbinare al badge, la rilevazione delle impronte digitali, per accessi e uscite dal posto di lavoro.
L’iniziativa era stata presa di fronte al sospetto dell’uso fraudolento dei badge magnetici anche a seguito di manomissioni, atti vandalici e danneggiamenti ai dispositivi.
34 dei 36 lavoratori amministrativi non hanno posto obiezioni. I due dipendenti contrari invece hanno inviato un reclamo al Garante per la privacy che ha avviato un procedimento.
Nelle memorie prodotte dalla scuola appare che, il sistema biometrico introdotto non era l’unica modalità di rilevazione delle presenze, essendo ancora possibile l’utilizzo del badge.
Il sistema inoltre era stato attivato dopo l’acquisizione del consenso scritto dei dipendenti e non conservava dati anagrafici, dati fisici diretti o indiretti, né immagini.
Dell’utilizzo del sistema tuttavia non era stato informato e coinvolto il Responsabile per la protezione dei dati (DPO), ritenendo sufficienti le indicazioni del fornitore.
L’istituto, unitamente alla memoria difensiva ha sospeso il sistema di rilevamento delle impronte, cancellando tutti i dati biometrici acquisiti.
La motivazione del Garante
Il Garante, in fase istruttoria, evidenziava che l’uso di un sistema di rilevazione presenze basato sulle impronte digitali è illecito. Infatti pur non memorizzando immagini o dati fisici, trattava comunque dati biometrici. I dati biometrici permettono l’identificazione univoca e sono una categoria particolare di dati secondo l’Art. 9 del GDPR. Il trattamento di questi dati è vietato, salvo le eccezioni previste dalla legge e il datore di lavoro, titolare del trattamento, deve rispettarne i principi.
Il titolare del trattamento deve sempre garantire i principi di liceità, correttezza, trasparenza, minimizzazione e protezione dei dati. Tali principi devono essere applicati fin dalla progettazione e per impostazione predefinita, ai sensi degli Artt. 5 e 25 del GDPR.
Nel caso specifico, il trattamento era finalizzato al controllo dell’orario di lavoro, ammesso in relazione agli obblighi e diritti sul lavoro, sicurezza e previdenza sociale.
Tuttavia, questo trattamento non è lecito in assenza di una norma che garantisca proporzionalità, qualità, finalità legittima e tutele adeguate. Tali garanzie sono previste, oltre che dall’Art. 9 del GDPR anche dall’Art. 2-septies del Codice Privacy.
L’autorizzazione all’uso sistematico e generalizzato dei dati biometrici e della videosorveglianza nella Pubblica Amministrazione fu introdotta dalla Legge 19 giugno 2019, n. 56. Dopo le forti riserve espresse dal Garante, le norme vennero abrogate dalla Legge di bilancio 30 dicembre 2020, n. 178, perché ritenute invasive e sproporzionate.
Infine il Garante ha anche precisato che il consenso prestato dai lavoratori non è sufficiente. Lo squilibrio tra datore di lavoro e dipendente, infatti, può pregiudicare la libertà del consenso prestato.
In conclusione, senza una base giuridica conforme, le Pubbliche Amministrazioni non possono usare sistemi biometrici in modo lecito.
Il Garante ha quindi rilevato una grave violazione per la natura sensibile dei dati personali trattati applicando una sanzione amministrativa pecuniaria pari a 4.000 euro.
Tuttavia alla luce della collaborazione prestata e dell’assenza di precedenti non ha adottato ulteriori misure correttive.
Il profilo assicurativo
È bene ricordare che le polizze assicurative riguardano esclusivamente il risarcimento del danno prodotto.
Le garanzie quindi provvedono esclusivamente il pagamento dei danni materiali o patrimoniali e in nessun caso prevedono il rimborso delle sanzioni.
Nel caso di danni alla privacy, le assicurazioni scolastiche, di norma, non includono neanche il rimborso dei danni diretti nella sezione di Responsabilità Civile. Circa i danni diretti, è consigliabile quindi che il Dirigente stipuli una polizza di Responsabilità Civile patrimoniale e amministrativa contabile.
Le migliori soluzioni assicurative scolastiche prevedono comunque la tutela legale, compresa la difesa penale per reati colposi, includendo anche assistenza nei ricorsi amministrativi contro sanzioni pecuniarie.
Se desideri maggiori informazioni in relazione all’assicurazione per danni alla privacy e alla polizza di Responsabilità Civile Patrimoniale e Amministrativa Contabile del Dirigente, contattaci qui.