Nonostante la posizione del Garante Privacy sul tema dei dati biometrici e rilevazione presenze sia stata ribadita in più occasioni, l’Autorità continua a svolgere indagini e irrogare sanzioni. L’ultimo caso è quello di una concessionaria che utilizzava un sistema di riconoscimento facciale per il controllo delle presenze sul posto di lavoro.
In seguito al reclamo di un dipendente, che lamentava il trattamento illecito di dati personali, è partita l’attività ispettiva del Garante, in collaborazione col Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza. Da questa attività sono emerse numerose violazioni del Regolamento europeo da parte della società.
In riferimento all’utilizzo del sistema di riconoscimento facciale, è stato ribadito nuovamente il divieto di trattamento di tali dati per la rilevazione delle presenze. Tale divieto si basa sull’assenza, al momento attuale, di una normativa specifica che regolamenti l’utilizzo della biometria. Inoltre, neanche il consenso manifestato dai dipendenti può costituire idoneo presupposto di liceità, per l’asimmetria tra le rispettive parti del rapporto di lavoro.
Trattamenti illeciti, non solo dati biometrici
Sempre in tema di privacy, oltre al reclamo per l’utilizzo della biometria, veniva lamentato anche l’uso di un software gestionale con cui i dipendenti dovevano registrare gli interventi di riparazione assegnati, i tempi e le modalità di esecuzione, nonché le pause di inattività con le relative motivazioni.
L’Autorità ha dunque accertato che la concessionaria, tramite il suddetto software, raccoglieva impropriamente dati da più di sei anni. Tali dati, relativi alle attività dei dipendenti, venivano usati per redigere report mensili da inviare alla casa madre sui tempi impiegati per le lavorazioni. L’attività veniva svolta senza che ci fosse un’idonea base giuridica e un’adeguata informativa, espressioni del principio di correttezza e trasparenza.
In base a quanto emerso dalle indagini, l’Autorità ha irrogato alla società una sanzione di 120.000 euro. Inoltre, le ha ordinato di conformare alle disposizioni della normativa privacy il trattamento dei dati effettuato mediante il software gestionale.