Nella Newsletter n. 525 del 26 giugno 2024, il Garante per la protezione dei dati personali, comunica di aver irrogato una sanzione di 120.000 euro a una concessionaria di veicoli che ha violato i dati personali dei dipendenti attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro.
L’intervento dell’Autorità aveva avuto luogo a seguito di un reclamo sporto da parte di un dipendente, il quale lamentava il trattamento illecito di dati personali, attraverso un sistema biometrico installato presso le due unità produttive della società.
Il reclamo, evidenziava anche l’utilizzo di un software gestionale attraverso il quale, ogni dipendente doveva registrare gli interventi di riparazione svolti sui veicoli assegnati, i tempi e le modalità di esecuzione dei lavori, nonché i tempi di inattività con le specifiche causali.
A seguito dell’attività ispettiva del Garante – avvenuta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza – sono state rilevate numerose violazioni del Regolamento europeo da parte della società.
Nello specifico e con riferimento al trattamento dei dati biometrici, il Garante ha ribadito nuovamente che l’utilizzo di tali dati non è consentito perché non esiste nessuna norma di legge che, al momento attuale, preveda l’utilizzo del dato biometrico per la rilevazione delle presenze. Pertanto, l’Autorità ha ricordato che neanche il consenso manifestato dai dipendenti può essere considerato idoneo presupposto di liceità, per l’asimmetria tra le rispettive parti del rapporto di lavoro.
L’Autorità, inoltre, ha accertato che la concessionaria raccoglieva – attraverso l’uso di un software gestionale – dati personali relativi alle attività dei dipendenti con la finalità di predisporre report mensili da inviare alla casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate.
Tutto ciò era messo in pratica senza un’idonea base giuridica e un’adeguata informativa che, nel contesto del rapporto di lavoro, è espressione del principio di correttezza e trasparenza. L’Autorità, oltre a sanzionare la società, le ha quindi ordinato di conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni della normativa privacy.
