Il Garante Privacy, con il Provvedimento n. 338 del 6 giugno 2024, ha sanzionato con multa da 120mila euro il datore di lavoro che utilizzava un software di monitoraggio puntuale dell'attività dei dipendenti (su tempi, modalità di lavorazione e pause), senza adeguata informativa ai dipendenti e uno strumento per l'accesso al luogo di lavoro tramite riconoscimento facciale.
A seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (un’officina meccanica) per un presunto illecito trattamento dei dati personali dei dipendenti, l'Autorità Garante per la Protezione dei Dati Personali ha esaminato la documentazione e ha effettuato ispezioni per verificare la conformità della società alle normative vigenti in materia di protezione dei dati.
Il dipendente in particolare evidenziava che erano stati utilizzati senza un’adeguata informativa ai dipendenti:
- Il software "Infinity DMS" perla gestione delle prestazioni lavorative di ciascun lavoratore;
- L'hardware "X-Face 380", un sistema di riconoscimento facciale, per il controllo degli accessi sul luogo di lavoro.
Le ispezioni effettuate presso la società hanno confermato l'uso di questi strumenti e hanno raccolto informazioni dettagliate sul loro funzionamento e finalità.
L'installazione del software, considerata integrata alle attrezzature di lavoro, era avvenuta senza accordo con la rappresentanza sindacale.
Sono state quindi accertate violazioni in tema di trattamento dei dati personali sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679.
In particolare, il software "Infinity DMS", raccoglieva e trattava dati personali dei dipendenti senza fornire loro un’adeguata informativa e senza ottenere un consenso valido.
Per quanto riguarda l'hardware che consente il riconoscimento facciale dei dipendenti, il Garante ha ribadito l'indirizzo molto restrittivo già seguito in casi simili: tali strumenti sono proibiti perché realizzano un trattamento illecito dei dati biometrici che appartengono alle categorie di dati sensibili e il loro trattamento è generalmente vietato, salvo quando sia necessario per adempiere obblighi ed esercitare diritti specifici in materia di diritto del lavoro e protezione sociale.
Questa ipotesi non si verifica nel caso in questione, mentre è giustificata ad esempio per la compilazione delle buste paga.
Il Garante sottolinea che, nel contesto del rapporto di lavoro, il consenso espresso dai dipendenti non può essere considerato un valido presupposto di liceità del trattamento, data l'asimmetria tra le rispettive posizioni.
Anche l'utilizzo del software gestionale è stato duramente criticato dall'autorità in quanto il datore di lavoro aveva imposto ai dipendenti, tramite un codice a barre individuale, la registrazione delle diverse fasi dell'attività lavorativa, comprese le pause (con la specifica causale).
L'Autorità ha sottolineato inoltre la mancanza di risposte da parte del datore di lavoro sulla natura e tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che non ha permesso di valutare l'effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire.
Ancora più grave il fatto che tali informazioni non sono state comunicate nemmeno ai dipendenti, considerando che nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è espressione del dovere di correttezza e trasparenza.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, è stata irrogata la sanzione amministrativa pari a 120mila euro.
Inoltre, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, è stata richiesta la pubblicazione in chiaro del provvedimento sul sito Internet del Garante.
Infine, il Garante ha richiesto alla Società di comunicare le iniziative intraprese per:
- Conformare il trattamento dei dati effettuato mediante il software gestionale "Infinity DMS", alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento.
- Cessare il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.
- Fornire comunque riscontro adeguatamente documentato entro il termine di 90 giorni dalla data di notifica del provvedimento.
L’eventuale mancato riscontro può comportare l’applicazione dell’ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.
Fonte:
https://www.fiscoetasse.com/new-rassegna-stampa/656-privacy-multa-da-120mila-euro-per-software-di-controllo-attivita.html
A cura di:
L'invio telematico del certificato di malattia tutela i diritti del lavoratore e garantisce il rispetto degli obblighi normativi.
Il Controllo di Gestione è indispensabile per monitorare e misurare i risultati aziendali, garantendo una gestione consapevole.
