Riconoscimento facciale: sanzionata una concessionaria

Violazioni della Privacy sul luogo di lavoro

Il Garante per la protezione dei dati personali, con il provvedimento n. 338 del 6 giugno 2024, ha irrogato una sanzione di 120.000,00 euro a una concessionaria per gravi violazioni in materia di protezione dei dati personali. Il caso riguarda l'uso di sistemi di riconoscimento facciale e software gestionali per il controllo delle attività dei dipendenti, che sono risultati in contrasto non solo con le normative privacy vigenti in materia ma anche dello Statuto dei Lavoratori.

Il Reclamo

L'intervento dell'Autorità è stato avviato a seguito del reclamo presentato da un dipendente della concessionaria. Il dipendente lamentava l'uso illecito dei suoi dati personali attraverso un sistema biometrico di riconoscimento facciale installato nelle due sedi dell'azienda. Questo sistema veniva utilizzato per monitorare le presenze sul posto di lavoro. Inoltre, il reclamo faceva riferimento a un software gestionale che obbligava i dipendenti a registrare in modo dettagliato le attività svolte, i tempi di lavoro e quelli di inattività, incluse le relative causali.

A seguito di un'accurata attività ispettiva condotta dal Garante, con il supporto del Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse molteplici violazioni del Regolamento Generale sulla Protezione dei Dati.

L'Utilizzo illecito dei dati biometrici

Il punto centrale della sanzione riguarda l'uso dei dati biometrici per il controllo delle presenze. Il Garante ha ribadito che, in assenza di una normativa specifica che legittima l'impiego di tali dati in contesti lavorativi, il loro utilizzo è considerato illecito. In particolare, nonostante il consenso dei dipendenti, quest'ultimo non può essere ritenuto valido a causa della naturale asimmetria esistente nel rapporto di lavoro tra datore e lavoratore, che potrebbe influenzare la libera espressione del consenso.

Raccolta di dati tramite software gestionale

Un ulteriore aspetto delle violazioni riguardava l'uso di un software gestionale che la concessionaria utilizzava da oltre sei anni per raccogliere informazioni sulle attività dei dipendenti. Questo strumento tracciava dettagliatamente i tempi e le modalità di esecuzione dei lavori, generando report mensili inviati alla casa madre. Tuttavia, l'azienda non aveva fornito un'informativa adeguata ai lavoratori né disponeva di una base giuridica valida per questo trattamento, violando i principi di liceità, correttezza e trasparenza previsti dal GDPR.

Le conseguenze della violazione

Oltre alla pesante sanzione economica, il Garante Privacy ha ordinato alla concessionaria di conformare le attività trattamentali alle disposizioni in materia di protezione dei dati personali. Questo implica una revisione delle pratiche aziendali, in particolare l'eliminazione dei sistemi di rilevamento biometrico e una riorganizzazione delle modalità di raccolta e gestione dei dati tramite il software gestionale, garantendo che i dipendenti siano correttamente informati sui trattamenti in corso e che vengano rispettati i diritti e le libertà di questi ultimi.

Questo caso evidenzia l’importanza di un rigoroso rispetto delle normative in materia di controllo a distanza e protezione dei dati personali, in quanto l'uso di tecnologie avanzate come il riconoscimento facciale, pur offrendo vantaggi in termini di efficienza, non può avvenire a scapito dei diritti dei lavoratori.