Il Garante della Privacy ha irrogato una sanzione dal 120.000 euro ad una società per aver violato i dati biometrici dei dipendenti. A finire sotto la lente d’ingrandimento era l’utilizzo, da parte del datore di lavoro, di un sistema di riconoscimento facciale che serviva per verificare che i dipendenti fossero sul posto di lavoro.
Il Garante è intervenuto dei confronti dell’azienda, una concessionaria, a seguito di un reclamo inoltrato da un dipendente, che si era lamentato del trattamento illecito dei dati personali, che veniva effettuato attraverso un sistema biometrico che è stato installato presso due unità produttive.
Ma entriamo nel dettaglio e scopriamo cosa è accaduto.
Riconoscimento facciale per controllare le presenze a lavoro
Come detto sopra il Garante della Privacy ha irrogato una sanzione da 120.000 euro ad una concessionaria perché ha utilizzato dei sistemi di riconoscimento facciale per controllare le presenze sul posto di lavoro. L’autorità è intervenuta a seguito di un reclamo avanzato da un dipendente che si lamentava del trattamento illecito dei dati personali, che veniva effettuato attraverso un sistema biometrico, che la concessionaria aveva deciso di installare presso due differenti sedi produttive.
Quale era il problema nello specifico? Il dipendente, all’interno del proprio reclamo, metteva in evidenza che la concessionaria stava utilizzando un software gestionale attraverso il quale i dipendenti erano tenuti a registrare gli interventi che effettuavano su veicoli assegnati. Ma non solo: venivano registrate le modalità e tempi entro i quali i lavori venivano effettuati. Questo portava anche a conoscere i tempi nei quali i lavoratori rimanevano inattivi e i relativi motivi.
In collaborazione con il Nucleo Speciale Privacy e frodi tecnologiche della Guardia di finanza, il Garante ha quindi svolto un’attività ispettiva, la quale ha permesso di far emergere una serie di violazioni del Regolamento europeo sulla privacy da parte della società.
Uso dei dati biometrici e rispetto della privacy
Il Garante, per quanto riguarda il trattamento dei dati biometrici, ha ribadito che l’utilizzo di questi dati non è consentito. Al momento, infatti, non esiste alcuna norma di legge che permetta di utilizzare il dato biometrico per rilevare la presenza dei dipendenti sul luogo di lavoro.
Questo è il motivo per il quale l’authority ha ribadito che non può essere considerato idoneo nemmeno un consenso manifesto dei dipendenti: l’ostacolo al generarsi di questa situazione è determinato dall’asimmetria tra le due parti coinvolte nel rapporto: il datore di lavoro ed il dipendente.
Rimanendo nel caso specifico, il Garante della Privacy ha accertato che la concessionaria almeno da sei anni – attraverso un software gestionale – provvedeva a raccogliere i dati personali delle attività svolte dai propri dipendenti, in modo da redigere dei report mensili che venivano inviati periodicamente alla casa madre. Al loro interno contenevano i dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate.
Anche in questo caso, la concessionaria raccoglieva i suddetti dati in assenza di un’idonea base giuridica. E soprattutto senza aver adeguatamente informato i dipendenti: in un rapporto di lavoro questa è, a tutti gli effetti, una mancanza al principio di correttezza e trasparenza.
Oltre ad irrogare la sanzione, l’Autorità ha ordinato alla concessionaria di conformarsi al trattamento dei dati utilizzando un software gestionale conforme alla normativa sulla privacy.
Si possono rilevare e usare i dati biometrici dei lavoratori?
Con questa presa di posizione il Garante della Privacy conferma il proprio secco no al riconoscimento facciale per controllare la presenza sul lavoro dei dipendenti. Già lo scorso 22 febbraio 2024 erano scattate le sanzioni nei confronti di cinque diverse aziende per problemi connessi a questa vicenda.
I vari provvedimenti si basano, sostanzialmente, sulle stesse argomentazioni. Quello che deriva, al netto delle singole situazioni è molto semplice:
Il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti.
I dati biometrici non possono essere trattati se non adottando le necessarie cautele e tutele. Sostanzialmente con dati biometrici ci si riferisce a tutti quelle informazioni che analizzano le caratteristiche di tipo fisico, fisiologico o comportamentali di una determinata persona. Che può essere individuata attraverso il trattamento di questi dati.
Altri esempi di dati biometrici sono il rilevamento dell’impronta digitale, il riconoscimento dell’iride ecc.
Attraverso i dati biometrici, infatti, è possibile consentire e confermare l’identificazione univoca di una determinata persona, che può avvenire, per esempio, anche attraverso l’analisi dattiloscopica. I rischi che ne conseguono sono elevati e sono costituiti dalla loro perdita, dal trafugamento o dall’utilizzo in maniera non appropriata o corretta.