Videosorveglianza e controllo a distanza dei dipendenti: il Garante Privacy sanziona un’azienda per violazione normativa privacy e Statuto dei lavoratori
L’anonimo reclamo attiva l’ispezione del Garante
Nel Novembre del 2019 una anonima segnalazione porta all’attenzione del Garante per la Protezione dei dati personali riguardo una azienda che avrebbe usato, nella propria sede, un sistema di videosorveglianza, un sistema di rilevazione delle impronte digitali e di geolocalizzazione dei dipendenti.
La segnalazione sollevava molteplici dubbi rispetto alla legittimità di tale impianto di controllo dei lavoratori, tenendo di conto anche che:
- il sistema di videosorveglianza aveva funzione di registrazione attiva, ma alcuna informativa privacy era stata resa disponibile ai lavoratori;
Per approfondire > Videosorveglianza: quali obblighi normativi? - l’app di geolocalizzazione era installa sui cellulari dei dipendenti stessi.
Per saperne di più > Dati di geolocalizzazione: il dipendente ha diritto di accesso
L’attività ispettiva del Garante: massima attenzione a videosorveglianza e controllo a distanza
Ricevuto il reclamo, il Garante ha attivato il Nucleo speciale tutela privacy e frodi tecnologiche della guardia di finanza per lo svolgimento dell’ispezione presso la sede dell’azienda, avvenuta poi nel Giugno del 2021. L’azienda si difendeva specificando di aver subito un furto in conseguenza del quale la direzione ha deciso di adottare sistemi di sorveglianza “più efficaci”, ma l’ispezione ha fatto emergere molte irregolarità.
Ad esempio, l’app di gestione del sistema videosorveglianza era gestite tramite un app installata su uno smartphone al quale avevano accesso non solo il legale rappresentante dell’azienda, ma anche la sua famiglia. L’unica telecamera presente, in ogni caso, non era annunciata da alcun cartello e nessuna informativa nè riassumeva uso e finalità. Inoltre l’impianto di videosorveglianza consentiva la ripresa in diretta delle immagini, ma poteva anche captare suoni e effettuare registrazioni (semplicemente premendo l’apposito tasto sull’app di gestione). L’applicativo consentiva anche l’ammonizione verbale ai dipendenti attraverso le casse dell’impianto.
Ancora: il sistema di localizzazione dei dipendenti garantiva all’azienda di tracciare in modo continuativo, tramite GPS, i dipendenti nel corso della propria attività lavorativa. L’app consentiva anche di registrare data e ora del rilevamento, prassi illegittima.
Infine, il trattamento dati tramite tutti questi sistemi:
- avveniva senza che i lavoratori avessero ricevuto adeguata informativa;
- non rispettava alcuna delle garanzie previste dallo Statuto dei Lavoratori. Gli impianti infatti erano stati installati senza accordo sindacale e senza richiesta di autorizzazione dell’Ispettorato del Lavoro;
- riguardava i dati biometrici (impronte digitali) di 21 persone, dipendenti compresi.
Per saperne di più > Videosorveglianza in azienda: installare un impianto in regola
Per approfondire > Rilevazione impronte digitali sul posto di lavoro: intervento del Garante
Il Garante opta per la sanzione
La violazioni riscontrate hanno portato il Garante a optare per la sanzione amministrativa. Il provvedimento impone quindi:
- una sanzione amministrativa di 20.000 euro;
- il divieto di ulteriore trattamento dei dati raccolti sia tramite il sistema di videosoveglianza che quello di monitoraggio della posizione dei dipendenti.
Attenzione particolare merita il trattamento dei dati biometrici. Al riguardo, nel provvedimento il Garante ribadisce che il trattamento dei dati biometrici è di norma vietato in quanto questi ultimi rientrano nelle categorie particolari di dati (sensibili). Il loro trattamento quindi è consentito esclusivamente nei limiti di quanto previsto dal paragrafo 2 art.9 del GDPR. In ambito lavorativo, inoltre, questi dati possono essere trattati solo se ciò è necessario all’assolvimento degli obblighi o all’esercizio di diritti del titolare del trattamento / dell’interessato e se previsto da apposita previsione normativa. In questo caso il Garante non ha ravvisato l’esistenza di nessuna di queste
condizioni.
Il provvedimento completo è disponibile qui
Non sei sicuro se la tua azienda sia conforme al GDPR? Non improvvisare
