Per quasi quattro anni, i dipendenti delle palestre che fanno capo al gruppo Get Fit hanno timbrato la presenza sul posto di lavoro con le impronte digitali. Il sistema è stato introdotto tra il 2 e il 3 ottobre 2018 nella sede legale di via Meda e in sei centri fitness e il 4 settembre 2020 nel club di via Pinerolo, salvo poi essere disattivato il 2 maggio 2022, quando la società di gestione Sportitalia lo ha disattivato dopo la notifica delle violazioni da parte del Garante della privacy. Ora si scopre che a valle dell’indagine dell’Authority per la protezione dei dati personali è scattata una sanzione da 20mila euro per “l’illiceità del trattamento” nei confronti dei lavoratori del gruppo (132 in totale).
Come si legge nel provvedimento, la prima segnalazione è arrivata il 15 maggio 2019 dal sindacato Slc Cgil, che ha lamentato l’introduzione di “un sistema di timbrtura per rilevazion delle presenze, con terminale biometrico (rilevamento delle impronte digitali) per tutti i dipendenti e collaboratori al fine di registrare l’accesso e la presenza presso i club”.
Su richiesta dei finanzieri del Nucleo speciale privacy e frodi informatiche, la società nel mirino ha spiegato di aver optato per quel software perché “molto spesso in passato i dipendenti dimenticavano di registrare, tramite l’utilizzo del badge, il loro arrivo o la loro uscita dal posto di lavoro, circostanza questa che costringeva il datore ad assumere iniziative disciplinari”; da lì la decisione di privilegiare un metodo “molto più snello e veloce”.
Inoltre, i responsabili di Sportitalia hanno aggiunto di aver fatto sottoscrivere ai dipendenti un’informativa sulla privacy (“Tutti hanno prestato il loro consenso libero, specifico e rilasciato per iscritto”).
Accorgimenti insufficienti, a giudizio del Garante, per non incorrere in una serie di violazioni alle normative. In primo luogo, hanno osservato gli esperti, il trattamento di dati biometrici è consentito solo quando “sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”. Con queste premesse, “il trattamento di dati biometrici realizzato dalla società risulta essere stato effettuato in assenza di un’idonea base giuridica“.
Di più: per il Garante, gli elementi informativi forniti ai lavoratori risultano “del tutto inidonei a rappresentare le caratteristiche del trattamento che si intende effettuare attraverso gli specifici dispositivi biometrici“.
Tenuto conto della cooperazione con l’Authority e dell’assenza di precedenti casi, è stata comminata una multa di 20mila euro, commisurata al bilancio 2021 e alle difficoltà vissute dal mondo delle palestre causa Covid.