L’autorité italienne de protection des données a sanctionné un département provincial de la santé (ASP) à Enna pour 30.000 euros parce qu’il utilisait un système de détection des présences basé sur les données biométriques des employés. Après le renforcement des garanties exigées par le règlement et par le code de la vie privée, pour mettre en place ce type de systèmes, il est nécessaire de disposer d’une base législative proportionnée à l’objectif poursuivi, qui définisse des mesures appropriées et spécifiques afin de protéger les droits des personnes concernées.

Dans le cas de l’APS de l’Enna, la base législative utilisée faisait défaut, en raison de la non application du règlement de la législation n. 56/2016 (alors abrogé) qui établit des garanties afin de limiter et de réglementer les principaux modes de traitement.

L’enquête de l’Autorité, commencée après quelques communiqués de presse, a permis d’assurer que le système de détection des présences de l’ASP Enna acquiert les empreintes digitales de plus de 2.000 employés en les stockant de manière cryptographique sur le badge de chaque employé.

L’entreprise a vérifié l’identité de l’employé par la comparaison avec le modèle de référence biométrique, stocké à l’intérieur du badge, et l’empreinte digitale présentée lors de l’acte de détection et elle transmet le numéro de série de l’employé, la date et l’heure du cachet postal, au système de détection des présences.

L’Autorité a pensé, au contraire de ce que la société de santé a fait valoir, que de cette manière il a été fait un traitement biométrique des données personnelles des employés (tant dans le temps d’émission du badge, que dans le temps de vérification de l’empreinte digitale dans chaque cachet postal de chaque employé), en l’absence d’une base juridique appropriée.

Le consentement des employés, sur lequel l’ASP s’est fondée pour le processus, ne peut pas non plus être considéré comme valable dans le contexte de l’emploi, a fortiori dans le contexte public, en raison du déséquilibre dans la relation entre l’employé et l’employeur.

En outre, l’établissement de santé, bien qu’il ait informé le personnel et les syndicats du choix organisationnel effectué, n’a pas fourni toutes les informations sur le traitement, comme l’exige le règlement européen sur la protection de la vie privée.

Considérant tous les aspects de l’affaire, l’autorité italienne de protection des données a déclaré le traitement des données biométriques illégal et a infligé une amende de 30.000 euros à l’hôpital. L’autorité italienne de protection des données a également ordonné la suppression des modèles biométriques stockés dans les badges et a demandé à l’hôpital d’annoncer les mesures qu’il entend prendre pour mettre fin au traitement des données biométriques des employés.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP