Garante privacy,no all’uso delle impronte digitali dei dipendenti se manca base normativa

Il Garante ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Nel caso della Asp di Enna la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.
L’istruttoria dell’Autorità, avviata a seguito di alcuni articoli di stampa, ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.
L’Autorità ha ritenuto, contrariamente a quanto sostenuto dall’Azienda sanitaria, che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Né il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro
Inoltre la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.
Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

 

Trasparenza online della P.A. e privacy, le FAQ del Garante

Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito internet le domande e le relative risposta in materia di trasparenza on line nella pubblica amministrazione. La trasparenza consiste nella pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni. Lo scopo è quello di favorire forme diffuse di controllo sull´azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi. Sì. Con l´adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per  assicurare l´osservanza della disciplina in materia di protezione dei dati personali nell´adempimento degli obblighi di pubblicazione sul web di atti e documenti. Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell´azione amministrativa. In merito ai limiti degli obblighi di pubblicazione online di atti e documenti contenenti dati personali, il Garante precisa che, dopo aver verificato la sussistenza dell´obbligo di pubblicazione dell´atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l´origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l´adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa. Prima di procedere alla pubblicazione sul proprio sito web la P.A. deve:
– individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;
– verificare, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni;
– sottrarre all´indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordati al punto precedente.

 

Autore: La redazione PERK SOLUTION

 

Garante privacy, sanzione al Comune per la violazione della disciplina in materia di protezione dei dati personali

Il Garante della protezione dei dati persoli, con ordinanza-ingiunzione del 15 gennaio scorso, ha comminato una sanzione amministrativa pecuniaria, pari ad euro 10.000,00, per violazione della disciplina in materia di protezione dei dati personali. Nel caso di specie, è emerso che sul sito web istituzionale del Comune, nella sezione dedicata all’Albo pretorio, era visibile e liberamente scaricabile la determinazione dirigenziale con la quale veniva disposta la liquidazione delle spese legali per un procedimento giudiziario in cui era stato parte il Comune medesimo; nello stesso atto risultavano riportati anche dati e informazioni personali del reclamante, con dettagliati riferimenti alle relative infermità per cause di servizio, come l’indicazione che lo stesso aveva «diritto all’equo indennizzo per XX». Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal Comune, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio del Garante ha accertato che il Comune con la pubblicazione integrale sito web istituzionale della suddetta determinazione, nella sezione dedicata all’Albo pretorio, abbia effettuato un trattamento non conforme alla disciplina rilevante in materia di protezione dei dati personali.

 

Autore: La redazione PERK SOLUTION

Concorsi pubblici, Garante Privacy: i dati dei partecipanti devono essere blindati

Una Azienda ospedaliera si è vista applicare dal Garante per la privacy una multa di 80mila euro, per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri. Un’altra sanzione di 60mila euro è stata irrogata alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.
A seguito di una segnalazione, con la quale si lamentava il fatto che i dati dei candidati alla selezione – in alcuni casi anche relativi alla salute (titoli di preferenza e certificazioni mediche) – fossero liberamente accessibili online, l’Autorità ha avviato una complessa istruttoria, anche attraverso accertamenti ispettivi, che ha messo in luce numerosi e gravi inadempimenti alla disciplina di protezione dati.
Collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato infatti possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti. Utilizzando i codici si sarebbe perfino potuto modificare i dati personali inseriti dai concorrenti. L’Autorità ha ritenuto illeciti i trattamenti di dati personali svolti dall’Azienda ospedaliera e dalla Società perché effettuati in violazione delle norme del Regolamento europeo.
Entrambi i soggetti non avevano infatti adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati. L’Azienda ospedaliera, oltretutto, non aveva fornito ai partecipanti una idonea informativa e aveva anche omesso di regolamentare il rapporto con la Società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto. Il Garante infine, rilevato che la Società continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria. Entro 30 giorni la Società dovrà comunicare all’Autorità le iniziative prese per assicurare la cessazione del trattamento.
Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.
L’Autorità tenuto conto della particolare delicatezza dei dati diffusi, oltre alla sanzione pecuniaria ha applicato la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.

 

Autore: La redazione PERK SOLUTION