L’assenza di norme che permettano l’uso dei dati biometrici nel Regolamento rende il controllo delle presenze con il riconoscimento facciale una violazione della privacy dei lavoratori.
L’Autorità ha ricordato che anche il consenso espresso dai dipendenti non può essere ritenuto un adeguato requisito di legittimità, per la disparità tra le due parti del rapporto di lavoro. Nel caso specifico il Garante sanziona per 120.000 € una concessionaria che era ricorsa al riconoscimento facciale per la rilevazione delle presenze. L’Autorità aveva avviato un’azione in seguito al reclamo di un lavoratore che denunciava il trattamento illegale di dati personali, mediante un sistema biometrico presente presso i due stabilimenti della società. Nel reclamo, si contestava anche l’uso di un programma informatico con cui ogni lavoratore doveva registrare le attività di riparazione svolte sulle auto assegnate, i tempi e le modalità di realizzazione dei lavori, oltre ai tempi di fermo con le motivazioni dettagliate.
Rilevazione delle presenze con impronta digitale
Riferendosi al trattamento dei dati biometrici, il Garante ha sottolineato ancora una volta che l’impiego di tali dati non è ammesso perché non esiste alcuna disposizione normativa che al momento attuale regoli l’uso del dato biometrico per la registrazione delle presenze. Pertanto, l’Autorità ha ricordato che nemmeno il consenso espresso dai dipendenti può essere ritenuto valido fondamento di legittimità, per l’asimmetria tra le parti in causa nel rapporto di lavoro.
In particolare si rileva che l’utilizzo del dato biometrico per la rilevazione delle presenze in servizio, senza tra l’altro che fosse stato previsto un sistema alternativo per la verifica dell’orario di lavoro, risulta contrario ai principi di minimizzazione e di proporzionalità previsti dal GDPR. La norma, infatti, richiede che i dati siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Inoltre, dal punto di vista dell’informativa all’interessato, questa è risultata carente e inidonea a rappresentare, in maniera completa, le caratteristiche principali del trattamento in quanto mancante di qualsiasi riferimento non solo alle caratteristiche principali del trattamento, ma anche alle cautele adottate, alla natura obbligatoria o facoltativa del conferimento del dato, rispetto alla finalità perseguita, e alla possibilità di utilizzare, in alternativa al sistema biometrico, il sistema tradizionale basato sul badge.
Registrazione delle attività del dipendente tramite SW
L’Autorità ha anche stabilito che la concessionaria per oltre sei anni, tramite un programma informatico, registrava dati personali riguardanti le prestazioni dei dipendenti per produrre report mensili da mandare alla società madre, con dati riepilogativi sui tempi dedicati dalle officine alle lavorazioni svolte. In particolare è risultato che i dipendenti, attraverso un codice a barre assegnato individualmente, erano tenuti a registrare nel gestionale le varie fasi dell’attività lavorativa, comprese le pause, con l’indicazione della specifica causale (es. riposo, attesa ricambi, ecc.). Il software consentiva anche di raccogliere e trattare dati personali riferiti ai clienti dell’officina (ai quali veniva fornita apposita informativa) e le informazioni relative alla tipologia di interventi effettuati sulle autovetture, queste ultime, come detto, inserite dai dipendenti. Ma a fronte di reiterate richieste dell’Autorità di conoscere nel dettaglio le caratteristiche essenziali del gestionale utilizzato, la Società ha fornito riscontri molto generici ed evasivi senza consentire all’Autorità di avere piena contezza del trattamento effettuato, di conoscere la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, e di valutarne l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire. Tra l’altro, tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali era stata fornita un’informativa che risulta incompleta che si riferisce alla totalità dei trattamenti svolti dalla Società, senza dettagliare il trattamento collegato al SW in questione, con indicazioni totalmente generiche.
Questo comportamento viola le norme privacy perché non si basa su un valido fondamento giuridico e non informa adeguatamente i lavoratori, in violazione del principio di correttezza e trasparenza. L’Autorità, oltre a multare la società, le ha imposto di adeguare il trattamento dei dati fatto con il software gestionale alla normativa privacy.
Si torna quindi a focalizzare l’attenzione sulla base giuridica del trattamento e sulla completezza e trasparenza dell’informativa condivisa con gli interessati
Potete trovare l’articolo completo al seguente link: https://www.programmaradon.it/wp-content/uploads/2024/07/Provvedimento-GPDP-del-6-giugno-2024.pdf
Lascia un commento