Sanzionato con multa da 120mila euro il datore di lavoro che utilizzava un software di monitoraggio puntuale dell'attività dei dipendenti ( su tempi, modalità di lavorazione e pause) , senza adeguata informativa, e uno strumento per l'accesso al luogo di lavoro tramite riconoscimento facciale.
Si tratta del provvedimento del Garante Privacy 338 2024 del 6 giugno 2024.
Vediamo il caso in maggiore dettaglio.
Utilizzo software di controllo e riconoscimento facciale: il caso
A seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (una officina meccanica) per un presunto illecito trattamento dei dati personali dei dipendenti, l'Autorità Garante per la Protezione dei Dati Personali ha esaminato la documentazione e ha effettuato ispezioni per verificare la conformità della società alle normative vigenti in materia di protezione dei dati.
Il dipendente in particolare evidenziava che erano stati utilizzati senza un adeguata informativa ai dipendenti :
- il software "Infinity DMS" per la gestione delle prestazioni lavorative di ciascun lavoratore e
- l'hardware "X-Face 380" , un sistema di riconoscimento facciale, per il controllo degli accessi sul luogo di lavoro.
Le ispezioni effettuate presso la società hanno confermato l'uso di questi strumenti e hanno raccolto informazioni dettagliate sul loro funzionamento e finalità.
L'installazione del software considerata integrata alle attrezzature di lavoro, che raccoglieva e trattava dati personali dei dipendenti senza fornire loro una adeguata informativa, era avvenuta senza accordo con la rappresentanza sindacale.
Sono state quindi accertate violazioni in tema di trattamento dei dati personali sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679.
Software di controllo e dati biometrici vietati: la decisione del Garante Privacy
Per quanto riguarda l'hardware che consente il riconoscimento facciale dei dipendenti, il Garante ha ribadito l'indirizzo restrittivo già seguito in casi simili: tali strumenti sono proibiti perché realizzano un trattamento illecito dei dati biometrici che appartengono alle categorie di dati sensibili .
L'utilizzo è generalmente vietato, salvo quando sia necessario per adempiere obblighi e esercitare diritti specifici in materia di diritto del lavoro e protezione sociale; questa ipotesi non si verifica nel caso in questione, mentre è giustificata ad esempio per la compilazione delle buste paga .
Il Garante sottolinea che, nel contesto del rapporto di lavoro, il consenso espresso dai dipendenti non può essere considerato un valido presupposto di liceità del trattamento, data l'asimmetria tra le rispettive posizioni.
Anche l'utilizzo del software gestionale è stato duramente criticato dall'autorità in quanto il datore di lavoro aveva imposto ai dipendenti, tramite un codice a barre individuale, la registrazione delle diverse fasi dell'attività lavorativa, comprese le pause (con la specifica causale).
L'Autorità ha sottolineato inoltre la mancanza di risposte da parte del datore di lavoro sulla natura e tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che non ha permesso di valutare l'effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire.
Ancora piu grave il fatto che tali informazioni non fossero state comunicate nemmeno ai dipendenti, considerando che nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è espressione del dovere di correttezza e trasparenza
Controllo dipendenti: le sanzioni previste dal Garante Privacy
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, è stata irrogata la sanzione amministrativa pari ad euro 120.000,00 (centoventimila).
Inoltre in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, è stata richiesta la pubblicazione in chiaro del provvedimento sul sito Internet del Garante.
Infine il Garante ha richiesto alla Società di comunicare le iniziative intraprese per
- conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento;
- cessare il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.
e di fornire comunque riscontro adeguatamente documentato entro il termine di 90 giorni dalla data di notifica del provvedimento;
L’eventuale mancato riscontro può comportare l’applicazione della ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.