In un istituto superiore, per accertare la propria presenza, oltre al badge era stato introdotto l’uso delle proprie impronte digitali. Una scelta quella della scuola, riservata solo ai dipendenti che avevano dato il consenso, utile per arginare il problema di alcuni furbetti.
La vicenda, però, ha sollevato un polverone e ha coinvolto il Garante della Privacy, mettendo in luce un tema importantissimo: quello della protezione dei nostri dati personali, soprattutto quando si tratta di informazioni così delicate come le impronte digitali.
La scuola, secondo il Garante, viola la privacy anche se i dipendenti hanno dato il loro consenso. Di conseguenza l'istituto ha interrotto tale sistema e sarà costretta al pagamento di una sanzione.
La vicenda: quando il dito non si dà
Tutto è iniziato in una scuola superiore che, per contrastare un uso truffaldino delle tessere magnetiche e anche per far fronte ad atti vandalici e danneggiamenti, ha avuto l'idea di abbinare il badge alla rilevazione delle impronte digitali.
L'intento era quello di avere un sistema più sicuro e affidabile per controllare le presenze del personale. Sembrava che l'idea piacesse a molti: la stragrande maggioranza del personale amministrativo (ben 34 su 36) si è detto soddisfatto e ha persino dato il consenso per iscritto. Per coloro che invece non erano d’accordo la scuola aveva assicurato piena libertà di usare il solo badge.
Nonostante questo, i due dipendenti dissenzienti hanno presentato un reclamo al Garante, scatenando un vero e proprio caso e portando la scuola a sospendere tutto, nonostante qualcuno chiedesse di riattivare il sistema.
La risposta del Garante
A chiarire i motivi del divieto di tale sistema di rilevazione è il Garante della Privacy. L'Autorità ha tirato le somme e ha evidenziato un aspetto fondamentale: usare sistemi biometrici (come le impronte digitali) per rilevare le presenze non è consentito senza una specifica legge.
E non basta il consenso dei dipendenti, il Garante ha spiegato che il trattamento delle impronte digitali è possibile solo se autorizzato da una norma precisa, sia a livello europeo che nazionale, e che questa norma deve anche prevedere misure di garanzia per i diritti delle persone. Ma per la rilevazione delle presenze, una legge così non esiste. Anzi, in passato c'era stato un tentativo di introdurre una norma (l'articolo 2 della legge 56/2019), ma il Garante aveva dato parere negativo, giudicandola sproporzionata.
Per questo motivo, dunque, l'istituto è stato sanzionato con una multa di 4mila euro, anche se la sua collaborazione, nel sospendere il sistema e cancellando i dati, ha contribuito a mantenere la sanzione relativamente contenuta, che potrebbe dimezzarsi se pagata entro 30 giorni.
Il passaggio con il DPO
Un altro aspetto che il Garante ha rimarcato, e che è fondamentale per le scuole, riguarda il DPO, ovvero il Responsabile della Protezione dei Dati. La scuola in questione è stata rimproverata per non aver consultato il suo DPO prima di lanciare l'iniziativa delle impronte digitali.
Il DPO è una figura importantissima, un vero e proprio esperto di privacy che deve essere sempre coinvolto quando ci sono decisioni che possono impattare sulla privacy delle persone.
Per le scuole, quindi, il passaggio dal DPO dovrebbe essere quasi una fase ordinaria di ogni decisione importante, anche perché di mezzo ci sono dei minori. È essenziale scegliere un DPO non solo preparato sulla privacy, ma anche sulla legislazione e prassi scolastica. Insomma, una figura chiave per navigare nel complesso mondo della protezione dei dati.
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
