I dati biometrici sono informazioni, riferite ad una persona fisica, concernenti dati che forniscono per loro natura informazioni circa una determinata persona (come l’impronta digitale). Il Garante privacy è intervenuto su un caso di trattamento.
L’Authority ha ribadito, con provvedimento del 15 febbraio 2008, che è possibile trattare dati biometrici dei dipendenti per specifiche e rilevanti finalità, come ad esempio la salute pubblica. È stato così ritenuto lecito e conforme alla disciplina vigente in tema di protezione di dati personali il sistema di rilevazione biometrica proposto da una società di risorse idriche.
La società chiedeva di poter utilizzare dati biometrici dei propri dipendenti al fine di monitorare gli accessi ad alcune aree dell’impresa, in particolare quelle in cui avviene la potabilizzazione dell’acqua, garantendo così la sicurezza dell’impianto idrico, la tutela della qualità delle acque e, di conseguenza, la salute pubblica.
Il sistema di rilevazione biometrica sottoposto dalla società alla verifica preliminare del Garante per la protezione dei dati personali prevede la registrazione delle impronte digitali dei dipendenti – rilasciate con il consenso degli stessi – attraverso apparecchiature e software appositi e la successiva trasformazione delle stesse impronte in codici numerici (template) inseriti in una smart card.
Inoltre, si proponeva la memorizzazione dei dati relativi all’orario di accesso e dei codici che consentono di risalire all’identità del dipendente in una banca dati centralizzata.
Nel caso di specie, la raccolta delle impronte deve essere limitata ai soli dipendenti che hanno accesso all’area dell’impresa in cui avviene la depurazione delle acque. Inoltre, le impronte cifrate non devono essere conservate in un archivio centralizzato ma solo su un supporto (come una smart card ) nell’esclusiva disponibilità dell’interessato.
Il Garante ha ricordato, infine, riprendendo quanto stabilito nelle Linee Guida in materia di trattamento dei dati personali dei lavoratori, che tutti i dati raccolti relativi agli accessi potranno essere conservati per un periodo non superiore ad una settimana con la predisposizione di specifici meccanismi di integrale cancellazione automatica delle informazioni allo scadere del termine previsto. L’accesso ai dati infine potrà essere garantito ai soli interessati oppure all’autorità giudiziaria ove specificamente richiesto.
Fonte: Garante per la protezione dei dati personali.
