Il Garante per la protezione dei dati personali ha imposto una multa di 120mila euro a una concessionaria per aver violato la privacy dei propri dipendenti, attraverso l’impiego di sistemi di riconoscimento facciale per monitorare le presenze sul posto di lavoro.
La vicenda
L’intervento dell’Autorità è avvenuto in seguito alla segnalazione di un dipendente che denunciava il trattamento illecito dei dati personali, ovvero un sistema biometrico installato nelle due sedi produttive della società.
La segnalazione includeva anche l’uso di un software gestionale che richiedeva ai dipendenti di registrare gli interventi di riparazione sui veicoli, i tempi e le modalità di esecuzione, oltre ai periodi di inattività con le relative motivazioni.
Le indagini del Garante, condotte insieme al Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, hanno rivelato numerose infrazioni al Regolamento Europeo da parte della concessionaria.
In merito al trattamento dei dati biometrici, il Garante ha riaffermato che il loro uso non è consentito in quanto non esiste alcuna normativa che preveda l’uso dei dati biometrici per la rilevazione delle presenze.
Di conseguenza, l’Autorità ha sottolineato che nemmeno il consenso dei dipendenti può giustificare tale trattamento, dato lo squilibrio tra le parti nel rapporto di lavoro.
Riconoscimento facciale e privacy
Il riconoscimento facciale è una tecnologia che utilizza algoritmi per identificare o verificare l’identità di una persona analizzando le caratteristiche del suo volto.
Nonostante le sue applicazioni in vari settori, solleva significative preoccupazioni per la privacy. Infatti, il GDPR impone rigide regole sulla raccolta, il trattamento e la conservazione dei dati personali, compresi i dati biometrici come quelli ottenuti attraverso il riconoscimento facciale.
Attraverso un quadro normativo rigoroso che protegge i diritti degli individui rispetto all’uso del riconoscimento facciale, il GDPR garantisce che le tecnologie biometriche siano utilizzate in modo responsabile e rispettoso della privacy.
I principi fondamentali del GDPR applicabili al riconoscimento facciale sono:
- Base giuridica per il trattamento: il trattamento dei dati biometrici richiede una base giuridica valida;
- Consenso esplicito: quando i dati biometrici sono trattati sulla base del consenso, questo deve essere esplicito e informato;
- Minimizzazione dei dati: i dati raccolti devono essere adeguati e limitati a quanto necessario rispetto alla finalità per le quali sono trattati;
- Trasparenza e informazione: gli interessati devono essere informati chiaramente e in modo trasparente sull’uso dei loro dati biometrici, incluse le finalità del trattamento e i diritti a loro disposizione.
Sanzione prevista
L’autorità, oltre all’illecito rilevato, ha anche scoperto che la concessionaria -da oltre sei anni – raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili destinati alla casa madre, senza una base giuridica adeguata o un’informativa chiara.
Pertanto, una sanzione di 120mila euro è stata irrogata dal Garante privacy, con il provvedimento n. 338 del 6 giugno 2024. Oltre alla sanzione, il Garante ha ordinato al soggetto in questione di adeguare il trattamento dei dati alle normative sulla privacy.