Il Garante per la Protezione dei Dati Personali ha sanzionato cinque società che trattavano in modo illecito i dati biometrici per rilevare la presenza dei dipendenti.
Il riconoscimento facciale sul lavoro viola la privacy dei dipendenti
Il Garante per la Protezione dei dati personali ha stabilito che l’utilizzo del riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Questo perché usare il dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevamento delle presenze), non è conforme ai principi di minimizzazione e proporzionalità del trattamento. Al momento attuale, infatti, non è presente nessuna norma che permetta l’uso di dati biometrici per effettuare questa attività.
Poiché i dati biometrici rientrano tra le categorie particolari di dati, il loro trattamento è soggetto a particolari cautele e tutele. Questi dati sono considerati particolarmente sensibili perché rilevano caratteristiche di tipo fisico, fisiologico e comportamentale di una persona. Di conseguenza i rischi come perdita, furto e utilizzo improprio diventano motivo di seria preoccupazione. Inoltre, i dati biometrici, al contrario delle password ad esempio o del numero di contatto di una persona, non sono sostituibili.
Per saperne di più > Dati biometrici: l’aumento delle tecnologie che li utilizzano preoccupa il Garante Europeo
Le violazioni da parte delle 5 società coinvolte
A seguito delle segnalazioni da parte di diversi dipendenti di 5 società che lavoravano presso uno smaltimento di rifiuti, il Garante, in collaborazione con il Nucleo speciale Privacy e frodi tecnologiche della Guardia di Finanza, ha voluto condurre un’ispezione per chiarire la questione. Durante l’attività di ispezione sono emerse diverse violazioni da parte delle società coinvolte.
Il Garante ha accertato che tre aziende avevano utilizzato lo stesso sistema di rilevazione biometrica per rilevare la presenza dei dipendenti per oltre un anno (a partire da Dicembre 2021 fino al mese di Gennaio 2023), senza adottare adeguate misure tecniche e di sicurezza. Questo sistema, considerato illecito dall’Autorità, era stato esteso anche a altre nove sedi operanti sotto una delle società in questione.
Inoltre, il Garante ha più volte ribadito che il datore di lavoro, in virtù del principio di trasparenza, deve specificare ai dipendenti come vengono trattati i dati e con quali strumenti. Le società, però, non avevano fornito ai lavoratori un‘informativa completa e trasparente in cui venivano chiarite le caratteristiche del trattamento mediante il riconoscimento facciale.
Non avevano nemmeno condotto la valutazione d’impatto prevista dalla normativa sulla privacy, violando in questo modo l’articolo 35 del Regolamento. La valutazione d’impatto ha lo scopo di valutare le necessità, proporzionalità di un trattamento e gestire eventuali rischi ai diritti e alla libertà ai può esporre gli interessati. Secondo il Garante, un sistema che tratti dati biometrici per finalità raggiungibili anche tramite strumenti meno invadenti è da considerarsi illegittimo. In questo caso, sarebbe stato più opportuno per le aziende utilizzare sistemi di controllo della presenza meno invasivi, come ad esempio controlli automatici mediante il badge o la verifica diretta.
Per saperne di più > Riconoscimento facciale: l’Italia tra i primi paesi a vietarlo
Le sanzioni emanate dal Garante Privacy
Lo scorso 22 febbraio 2024, a seguito della scoperta di un trattamento illecito dei dati biometrici di numerosi lavoratori da parte di cinque società che lavoravano nello stesso sito di smaltimento dei rifiuti, l’Autorità le ha sanzionate con 70.000 euro, 20.000 euro, 6.000 euro, 5.000 euro e 2.000 euro rispettivamente. Oltre al pagamento delle sanzioni, il Garante ha ordinato la cancellazione dei dati raccolti in modo illecito.
L’Autorità per la protezione dei dati personali ha inoltre evidenziato i rischi specifici per i diritti dei lavoratori associati all’impiego dei sistemi di riconoscimento facciale. Questo intervento ha tenuto conto delle disposizioni normative e delle garanzie previste sia a livello nazionale che europeo per tutelare i diritti fondamentali dei lavoratori.
Ecco i provvedimenti del Garante: [PROVVEDIMENTI doc. web n. 9995680, 9995701, 9995741, 9995762, 9995785]
Non sei sicuro se la tua azienda sia conforme al GDPR?
Chiedi ai nostri esperti DPO
