I dipendenti di un’azienda dovevano sottoporre a scansione le loro impronte digitali per la presenza e la registrazione del tempo. Dopo un’indagine, l’autorità olandese per la protezione dei dati ha concluso che la società non avrebbe dovuto elaborare le impronte digitali dei dipendenti.

La società non può fare affidamento su un motivo eccezionale per il trattamento di dati personali speciali. La società sarà multata di 725.000 euro per questo.

Dati personali speciali

I dati biometrici, come un’impronta digitale, sono dati personali speciali. Un’organizzazione non può utilizzare dati personali speciali, a meno che non vi sia un’eccezione a tale legge.

Monique Verdier, vicepresidente dell’AP: Questa categoria di dati personali è ulteriormente protetta dalla legge. Se questi dati finiscono nelle mani sbagliate, ciò potrebbe potenzialmente causare danni irreparabili.

Come ricatto o frode d’identità. Un’impronta digitale non può essere sostituita, ad esempio una password. Se le cose vanno male, l’impatto può essere enorme e avere un effetto negativo per tutta la vita su qualcuno.

Nessuna eccezione al divieto

In questo caso potrebbero esserci 2 eccezioni al divieto di usare le impronte digitali: se agli interessati viene richiesto il consenso esplicito o se l’uso dei dati biometrici è necessario per scopi di autenticazione o sicurezza.

L’AP ha concluso che questa società non può fare affidamento su 1 di queste 2 eccezioni per rilevare, archiviare e utilizzare le impronte digitali dei dipendenti.

Protezione

Un datore di lavoro può chiedere a un dipendente di fornire un’impronta digitale, ad esempio per il controllo degli accessi. A volte un dipendente è obbligato a dare la propria impronta digitale, a volte no. Ciò dipende dal fatto che l’elaborazione delle impronte digitali sia necessaria per l’autenticazione o la sicurezza.

Un datore di lavoro deve valutare se gli edifici e i sistemi di informazione devono essere così ben protetti che ciò può essere fatto solo utilizzando (solo) la biometria. Spesso non ci sarà bisogno, perché ci sono buone alternative.

Autorizzazione

Un datore di lavoro chiede ai dipendenti il ​​permesso di elaborare la propria impronta digitale? In linea di principio ciò non è consentito. I dipendenti dipendono dal loro datore di lavoro, quindi spesso non sono in grado di rifiutare.

La legge sulla privacy stabilisce requisiti rigorosi per la richiesta di autorizzazione esplicita. Il consenso deve essere inequivocabile, specifico, informato e gratuito.

Questa società non ha dimostrato che i suoi dipendenti abbiano dato il permesso esplicito. Inoltre, i dipendenti hanno sperimentato la registrazione della propria impronta digitale come un obbligo.

Rimedi

L’organizzazione ha contestato la decisione dell’AP, il nome non è reso pubblico dalla decisione del tribunale.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEI PESI BASSI – AP