The Italian Data Protection Authority in its Order No. 16 of 14 January 2021, sanctioned the Sicilian provincial health authority for unlawfully processing employees’ biometric data by means of an attendance recording system due to the absence of a valid exception to the general prohibition of processing special categories of data under Regulation (EU) 2016/679, effectively questioning the sole possibility of processing this type of data in the public employment context.

IL FATTO:

A seguito dell’entrata in vigore della legge l. 56/2019 (la c.d. “Legge concretezza”), che imponeva ad una serie di enti pubblici di introdurre “sistemi di identificazione biometrica e di videosorveglianza” ai fini della “verifica dell’osservanza dell’orario di lavoro”, l’Azienda sanitaria provinciale di Enna si è dotata a partire dal mese di novembre 2019 di un sistema di rilevazione delle presenze all’avanguardia, basato sulla raccolta dei dati biometrici dei propri dipendenti, in particolar modo dell’impronta digitale.

Il sistema, installato per garantire una più efficiente gestione delle risorse e scoraggiare fenomeni di assenteismo, garantiva un elevato livello di protezione dei dati personali, prevedendo misure di sicurezza tecniche coerenti rispetto al Provvedimento generale prescrittivo in tema di biometria del 2014 (quale la memorizzazione in forma criptata del dato biometrico sul badge personale del dipendente, con contestuale cancellazione del dato a livello centralizzato) ed essendo strutturato in maniera analoga ad un diverso sistema implementato nel 2016 dall’Azienda ospedaliero-Universitaria “San Giovanni di Dio e Ruggi d´Aragona” di Salerno oggetto di approvazione del Garante ai sensi dell’ormai abrogato art. 17.

Ciononostante, l’Autorità ha tempestivamente avviato un’istruttoria nei confronti dell’ente siculo, ai fini di verificare la conformità del sistema sopra descritto alla vigente normativa. Istruttoria conclusasi con l’emissione dell’ordinanza di ingiunzione in commento, con cui l’Azienda sanitaria provinciale di Enna è stata condannata non solo al pagamento di una sanzione amministrativa del valore di euro 30.000, ma anche alla cancellazione dei dati biometrici dei dipendenti entro sessanta giorni dall’emissione dello stesso, avendo posto in essere il relativo trattamento di tali dati “in assenza di un idoneo presupposto di liceità”.

Il Garante, in particolare, ha ripercorso la disciplina ad oggi applicabile al trattamento dei dati di natura biometrica, elevati dal GDPR al rango di “categorie particolari di dati personali”, chiarendo che per procedere al trattamento degli stessi il titolare è tenuto ad individuare non solo un’adeguata base giuridica, ma anche un’eccezione al divieto generale di trattamento contenuto al primo comma dell’art. 9 del succitato Regolamento. L’Autorità ha però evidenziato come entrambe le deroghe potenzialmente applicabili al caso di specie – ovvero quella relativa ai trattamenti necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare “in materia di diritto del lavoro” e per “motivi di interesse pubblico rilevante” – richiedano espressamente una norma di legge a supporto che preveda e/o autorizzi tale tipologia di trattamento, ai sensi rispettivamente dell’art. 9, c.2, lett. b) del GDPR e dell’art. 2-sexies del Codice Privacy. Norma che ad oggi non è riscontrabile nel nostro ordinamento, a causa dell’intervenuta abrogazione nell’ambito della Legge di bilancio 2021 dei commi della Legge concretezza che avevano in primo luogo portato l’Azienda sanitaria a dotarsi del sistema in questione.

Il Garante ha poi specificato che nel caso di specie risulta impossibile avvalersi del consenso dell’interessato per aggirare la lacuna normativa, non costituendo lo stesso un valido presupposto di liceità del trattamento nell’ambito del rapporto di lavoro.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è di particolare importanza in quanto rappresenta l’espresso riconoscimento da parte dell’autorità di riferimento dell’illiceità del trattamento di dati biometrici nell’ambito del pubblico impiego – quanto meno con riferimento alla rilevazione delle presenze dei dipendenti – a causa dell’assenza di un presupposto normativo idoneo.

Come si intuisce, il provvedimento ha una portata applicativa di notevole rilevanza, e deve rappresentare un monito per enti pubblici e privati che procedano al trattamento di dati biometrici, tenuti d’ora in avanti a porre in essere puntuali verifiche sull’effettiva liceità dei trattamenti posti in essere e, in caso di esito negativo, a sospenderne l’esecuzione.