Il Garante della Privacy non autorizza all’Azienda Ospedaliera la rilevazione delle presenze dei dipendenti mediante acquisizione delle impronte digitali
Con un articolato provvedimento, che riguarda il progetto del policlinico Umberto I volto a trattare dati biometrici mediante un sistema di verifica basato sul confronto tra le impronte digitali rilevate e il template, memorizzato e cifrato su un supporto che resti nell’esclusiva disponibilità dei lavoratori interessati nei termini di cui in premessa, il Garante ha escluso che il trattamento di dati biometrici per il perseguimento della diversa finalità di rilevazione della presenza dei dipendenti, sebbene l’Azienda abbia addotto proprie motivazioni volte a chiarire la necessità dell’utilizzo di tale peculiare modalità di trattamento (non risulta lecito e proporzionato).
L’Azienda policlinico Umberto I aveva infatti chiesto una verifica preliminare circa il trattamento di dati biometrici (ricavati dalla lettura delle impronte digitali) dei dipendenti di varia qualifica: medici, personale infermieristico, tecnico amministrativo e logistico-ausiliario, per un totale di circa 6.500 unità, cui si aggiungono alcune centinaia di dipendenti assunti a tempo determinato, motivando la richiesta con la complessa gestione delle risorse umane, complicata dall’enorme flusso di persone (dottorandi, specializzandi, studenti dei corsi di laurea, dipendenti di ditte e cooperative che erogano servizi, pazienti, familiari e fornitori) che, in aggiunta ai dipendenti, quotidianamente circolano nei 54 edifici di cui è composta la struttura, gestione considerata difficile per via di alcune sedi dislocate in altri complessi e quartieri di Roma.
L’azienda ha altresì sostenuto che mediante le tecniche che utilizzano la rilevazione di dati biometrici dei dipendenti avrebbe risolto tre diversi aspetti critici:
a) l’autenticazione del personale medico, infermieristico, ausiliario e tecnico amministrativo ai sistemi di Information and Communication Technology (Ict) attraverso i quali sono trattati dati personali e sensibili degli operatori e dei pazienti;
b) l’accesso ad alcune limitate aree dell’ospedale destinate a funzioni strategiche o ad attività che richiederebbero l’adozione di particolari misure di sicurezza, protezione e gestione/controllo degli accessi (aree a elevata criticità operativa o a elevato rischio clinico);
c) la rilevazione delle presenze dell’intero personale dipendente.
Il Garante ha altresì prescritto – in relazione al progetto dell’Azienda policlinico Umberto I volto a trattare dati biometrici mediante un sistema di verifica basato sul confronto tra le impronte digitali rilevate e il template, memorizzato e cifrato su un supporto che resti nell’esclusiva disponibilità dei lavoratori interessati nei termini di cui in premessa – all’Azienda ai sensi dell’art. 17 del Codice di adottare i seguenti accorgimenti e misure:
– limitare l’uso del sistema di rilevazione biometrica descritto agli accessi alle aree riservate e all’autenticazione per l’utilizzo del sistema Ict (punto 1.2, lettere a) e b), di cui in motivazione), con conseguente esclusione dell’utilizzo dei dati personali raccolti mediante il medesimo sistema per finalità diverse da quelle autorizzate con il presente provvedimento, in particolare per quanto concerne la rilevazione della presenza dei lavoratori (punto 3);
– ridurre il termine di conservazione dei dati di log per l’accesso alle diverse applicazioni aziendali per fini di gestione dell’Ospedale, al massimo a sei mesi;
– individuare con precisione le aree e i locali da sottoporre ad accesso controllato -rigorosamente limitato alle aree e ai settori che presentino effettivamente rischi specifici per l‘incolumità delle persone, rischi di sottrazione di materiale pericoloso o di danneggiamento di apparecchiature delicate o costose, di alterazione, perdite di dati per accertare l’effettiva prestazione medica e infermieristica da parte degli operatori abilitati- con esclusione di quelli per i quali non risulti comprovata l’effettiva necessità di sottoporli a controllo tramite dispositivo biometrico (in particolare per quanto concerne le aree amministrativo contabili);
– I dati di log relativi agli orari di ingresso alle aree riservate, potranno essere conservati per il tempo massimo di dieci giorni.
Ufficio Stampa FSI