L’Autorità ha sanzionato una società sportiva per aver introdotto un sistema di rilevazione delle impronte digitali (Nota n. 498 del 22 dicembre 2022).
Il trattamento di dati biometrici sul posto di lavoro è consentito solo con adeguate garanzie e se necessario per assolvere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa. Partendo da questo il principio, il Garante privacy ha sanzionato per 20.000 euro una società sportiva che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare, con un sistema più snello e veloce, gli orari di entrata e di uscita dei dipendenti presso i club che gestiva.
In questo caso, la segnalazione al Garante era pervenuta da un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, nonostante la richiesta del sindacato di adottare mezzi di rilevazione meno invasivi. L’istruttoria e gli accertamenti ispettivi condotti dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza hanno fatto emergere infatti che la società aveva effettuato, per quasi quattro anni, la rilevazione delle impronte digitali per accertare la presenza dei 132 dipendenti, senza un’adeguata base normativa, e con informazioni ai lavoratori del tutto carenti sulle caratteristiche dei trattamenti biometrici.
Con tale sistema, la società in questione, violando i principi di minimizzazione e proporzionalità, aveva trattato una tipologia di dati protetta con particolari garanzie dal Regolamento europeo, per scopi di ordinaria gestione (consentire la rilevazione delle presenze con maggiore velocità e snellezza).
Per i motivi esposti, a fronte delle numerose violazioni della normativa posta a tutela dei dati personali dei lavoratori, il Garante ha sanzionato la società sportiva. Nel definire l’ammontare dell’importo, ha tenuto conto della natura, della gravità e della durata degli illeciti, che si sono protratti fino alla data di sostituzione del sistema di rilevazione delle impronte digitali con uno non biometrico.