Un reclamo è pervenuto al Garante per la protezione dei dati personali da parte di un individuo la cui denuncia riguarda il fatto di aver svolto le proprie mansioni presso un luogo di lavoro dotato di un sistema di rilevazione delle presenze basato sull’analisi delle impronte digitali, senza che sia stata fornita un’informativa sulla privacy o ottenuto il consenso degli interessati.
Il Garante, a seguito di tale reclamo, ha richiesto informazioni alla società interessata. La risposta della società ha indicato che il sistema in questione è stato installato a partire da febbraio 2019, con l’assicurazione che rispettava la normativa sulla protezione dei dati.
La società ha dichiarato che il sistema era stato utilizzato per monitorare le presenze dei dipendenti al fine di gestire il rapporto di lavoro. Riguardo all’informativa sulla privacy, è emerso che ai dipendenti era stata fornita un’informativa che specificava l’assenza di trattamento di dati genetici o biometrici, poiché il dispositivo non memorizzava le immagini delle impronte digitali, elaborando solo un modello di riferimento anonimo e virtuale.
Infine, la società ha comunicato di aver rimosso il dispositivo il 30 aprile 2022, sostituendolo con un sistema di controllo tramite badge, e di aver cancellato tutti i dati dei dipendenti.
In conclusione, secondo il Garante, manca attualmente una base giuridica adeguata per legittimare il trattamento dei dati biometrici per la rilevazione delle presenze dei dipendenti.
Riguardo all’informativa sulla privacy, si è constatato che la comunicazione ai dipendenti non menzionava il trattamento dei dati biometrici per la rilevazione delle presenze, risultando non conforme alla normativa sulla privacy.
Pertanto, il Garante ritiene che il trattamento dei dati in questione sia stato illegittimo, essendo stato effettuato senza una base giuridica corretta e senza un’informativa adeguata.