Il Garante per la privacy ricorda che il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti.
A questo proposito infatti è stato reso noto che sono stati emanati 5 provvedimenti sanzionatori contro altrettante aziende di igiene ambientale riunite in associazione temporanea impegnate in siti di smaltimento rifiuti, per trattamento illecito dei dati biometrici dei lavoratori . (Provvedimenti n. 9995680, 9995701, 9995741, 9995762, 9995785)
Vediamo di seguito i dettagli sul provvedimento più severo emanato nei confronti della capogruppo con sanzione di 70mila euro per diverse violazioni al Regolamento.
1) Videsorveglianza con riconoscimento biometrico: il caso più grave
Il Garante privacy era intervenuto a seguito dei reclami di numerosi dipendenti di aziende attive nel settore dei servizi ambientali che segnalavano l’obbligo per l’accesso al sito di lavoro, di utilizzare un rilevatore biometrico, basato sul riconoscimento facciale.
A seguito di sopralluoghi e indagini del Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza è stato accertato che per l’attività di un gruppo di imprese in associazione temporanea operanti in vari siti di smaltimento rifiuti la società capogruppo aveva fatto installare apparecchi biometrici di rilevamento presenze, operanti per più di un anno.
Con memorie difensive la Società aveva dichiarato che il fenomeno dell’assenteismo, segnatamente accompagnato da timbrature fraudolente aveva dato origine a pesanti contenziosi in ambito lavoristico […] che hanno avuto esiti negativi proprio perché la società era impossibilitata a verificare con certezza l’effettivo orario di lavoro prestato in quanto venivano utilizzati fogli presenze cartacei.”;
Inoltre “la società, sulla base della dichiarazione e certificazione di conformità dell’apparato biometrico fornita dal produttore in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR, riteneva di potere utilizzare lo stesso ai sensi dell’art. 9 c.2, par. b. del Regolamento” in 9 siti operativi collegati con il numero di 13 apparecchi utilizzati per il controllo di un totale di 218 dipendenti
La guardia di finanza segnalava in particolare che:
• “gli apparati sono installati al fine di effettuare la rilevazione delle presenze tramite confronto uno a molti dell’impronta biometrica del volto dei dipendenti . La società fornitrice ha fornito il manuale di utilizzo e un tecnico effettuava la formazione sull’utilizzo del dispositivo al capocantiere”
• “i dati biometrici degli interessati risiedono esclusivamente nel dispositivo e non sono accessibili da remoto, né in locale, se non per la cancellazione, che può essere effettuata solo direttamente sul dispositivo” .
• Veniva anche verbalizzato che “probabilmente su molti dispositivi installati è stata mantenuta la password di default, presente sul dispositivo della sede principale”
• “il dispositivo è dotato di uno speciale algoritmo per criptare i dati biometrici in modo non reversibile” (verbale cit., p. 4);
• i template biometrici cifrati, acquisti in fase di registrazione dei lavoratori , risultavano associati ai suddetti codici numerici, senza alcuna memorizzazione nel dispositivo del nome e cognome degli interessati”.
2) Dati biometrici: normativa e parere del Garante
Nella propria analisi l’autorità osserva primariamente che il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento … in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Viene riconosciuto che le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […]
Allo stato, l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. In particolare ricorda che il decreto legge 10/5/2023, n. 51, con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all’impiego di tali sistemi” come già ribadito dal Garante con i provvedimenti n. 369 2022 (doc. web n. 9832838) e n. 16 2021 (doc. web n. 9542071).
L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro non è dunque conforme ai principi di minimizzazione e proporzionalità del trattamento.
II Garante precisa che per gli stessi fini sul luogo di lavoro avrebbero potuto essere adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).
In secondo luogo il Garante ricorda che il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati.
La società ha operato invece senza rispettare il principio di trasparenza, che prevede l’obbligo di indicare ai propri dipendenti quali siano le caratteristiche essenziali dei trattamenti di dati effettuati nonché degli strumenti attraverso i quali sono effettuati.
Ancora, è stato violato l’obbligo di indicare il responsabile del trattamento dei dati personali, che era affidato alla società fornitrice dei dispositivi
Infine, la circostanza che il produttore e il fornitore dei dispositivi di riconoscimento facciale avessero prodotto una “dichiarazione e certificazione di conformità non può far venir meno la responsabilità della Società, considerato che il titolare del trattamento, alla luce di quanto stabilito dall’art. 5, par. 2, del Regolamento, in base al c.d. principio di responsabilizzazione, “è competente per il rispetto [dei principi generali del trattamento] e in grado di comprovarlo”.
3) Controllo biometrico lavoratori: le conclusioni del Garante privacy
In conseguenza di queste risultanze la società capogruppo è stata sanzionata con ammenda di 70mila euro considerando, a sfavore della Società,
1. la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento e il trattamento di dati particolari,
2. la durata della violazione che si è protratta per più di un anno e il numero significativo degli interessati coinvolti;
3. con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;
Invece, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e della decisione di sospendere le attività di trattamento dopo l’inizio delle attività ispettive.
Alpe Adria Imprese
Via degli Alpini, 15
31046 Oderzo (TV) - Italia
Tel.0422815544
info@alpeadriaimprese.it
Segnalazione illeciti - Whistleblowing
