Utilizzare il riconoscimento facciale per controllare le presenze dei dipendenti sul posto di lavoro viola il GDPR. Scopri la vicenda nell’articolo
Controllare le presenze con i dati biometrici non è lecito
L’uso del riconoscimento facciale e, più in generale, dei dati biometrici per il rilevamento delle presenze dei dipendenti sul posto di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento. Attualmente, non esiste alcuna norma che consenta l’utilizzo di dati biometrici per questo scopo.
Poiché i dati biometrici rientrano nelle categorie particolari di dati, il loro trattamento richiede particolari cautele e tutele. Questi dati sono considerati particolarmente sensibili in quanto rivelano caratteristiche fisiche, fisiologiche e comportamentali di una persona. Di conseguenza, il rischio di perdita, furto o utilizzo improprio dei dati biometrici rappresenta una seria preoccupazione. Inoltre, a differenza delle password o dei numeri di contatto, i dati biometrici non sono sostituibili, rendendo ancora più critica la necessità di proteggerli adeguatamente.
La vicenda: riconoscimento facciale sul posto di lavoro
A seguito del reclamo di un dipendente della concessionaria riguardante il trattamento illecito dei dati personali, l’Autorità competente è intervenuta. L’infrazione era legata all’installazione di un sistema biometrico all’interno della società e all’utilizzo di un software gestionale, attraverso il quale ogni dipendente era tenuto a registrare gli interventi effettuati sui veicoli assegnati, compresi i tempi e le modalità di esecuzione dei lavori.
Per approfondire > Garante Privacy: no al riconoscimento facciale sul lavoro
Violazioni del GDPR da parte della concessionaria
Il Garante, dopo un’attenta valutazione in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza, ha riscontrato varie violazioni del GDPR da parte della società. In particolare, utilizzare dati biometrici sul posto di lavoro non è consentito, in quanto non esistono norme che ne prevedano l’utilizzo. Ciò considerato, anche nel caso in cui i dipendenti abbiano manifestato il loro consenso all’utilizzo del rilevamento facciale, questo non può essere considerato idoneo presupposto di liceità, vista l’asimmetria tra le rispettive parti del rapporto di lavoro.
Oltre a questo, l’informativa predisposta dalla Società non era idonea a rappresentare le caratteristiche principali del trattamento, mancando qualsiasi riferimento alle caratteristiche principali, così come alle cautele adottate ecc.
Il Garante per la Protezione dei Dati Personali ha in più occasioni ribadito che il datore di lavoro è obbligato ad indicare ai dipendenti e collaboratori quali siano le caratteristiche dei trattamenti di dati, così come gli strumenti utilizzati.
L’Autorità ha poi accertato che la concessionaria, da oltre sei anni, raccoglieva, mediante un software gestionale, dati personali per redigere report mensili da inviare alla casa madre. Questi contenevano vari dati relativi ai tempi impiegati dalle officine per le lavorazioni effettuate.
Per approfondire > Dati biometrici: l’aumento delle tecnologie che li utilizzano preoccupa il Garante Europeo
La sanzione da parte del Garante
A seguito degli accertamenti, viste le operazioni non conformi da parte della società, il Garante ha stabilito, oltre alla sanzione di 120 mila euro, il divieto del trattamento dei dati biometrici dei dipendenti e di conformare il gestionale alle disposizioni e ai principi generali in materia di trattamento dei dati personali.