Nella newsletter n. 473 del 19 febbraio u.s., l’Autorità Garante per la protezione dei dati personali rende noto di aver sanzionato un’Azienda sanitaria provinciale (ASP) per l’utilizzo di un sistema di rilevazione delle presenze del personale dipendente basato sul trattamento di dati biometrici dei dipendenti stessi, essendoci carenza di una specifica base normativa.
A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, il Garante ricorda che per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati.
Nel caso specifico della ASP la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo previsto dall’art. 2 della legge n. 56 del 19 giugno 2019 (“Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”), che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.
Infatti i commi 1, 2, 3 e 4, dell’articolo 2 che contemplava le misure per il contrasto all’assenteismo con l’introduzione di “sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi, in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso”, sono stati poi abrogati dall’art. 1, comma 958 della L. n. 178/2020 (Legge di bilancio 2021) e, di conseguenza, il regolamento attuativo previsto non è stato mai emanato.