Privacy: multa da 120mila euro per uso di software di controllo attività

Sanzionato con multa da 120mila euro il datore di lavoro che utilizzava un software di monitoraggio puntuale dell'attività dei dipendenti ( su tempi, modalità di lavorazione e  pause)  , senza adeguata informativa,  e uno strumento per l'accesso  al luogo di lavoro tramite riconoscimento facciale. 

Si tratta del provvedimento del Garante Privacy  338 2024 del 6 giugno 2024.

Vediamo il caso in maggiore dettaglio.

1) Utilizzo software di controllo e riconoscimento facciale: il caso

A seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (una officina meccanica)  per un presunto illecito trattamento dei dati personali dei dipendenti,  l'Autorità Garante per la Protezione dei Dati Personali ha esaminato la documentazione e ha effettuato ispezioni per verificare la conformità della società alle normative vigenti in materia di protezione dei dati.

Il dipendente in particolare evidenziava che erano stati utilizzati  senza un adeguata informativa ai dipendenti :

1. il software "Infinity DMS" per la gestione delle prestazioni lavorative di ciascun lavoratore  e 
2. l'hardware  "X-Face 380" ,  un sistema di riconoscimento facciale,  per il controllo degli accessi sul luogo di lavoro. 

Le ispezioni effettuate presso la società hanno confermato l'uso di questi strumenti e hanno raccolto informazioni dettagliate sul loro funzionamento e finalità.

L'installazione del software considerata  integrata alle attrezzature di lavoro, che raccoglieva e trattava dati personali dei dipendenti senza fornire loro una adeguata informativa, era avvenuta senza accordo con la rappresentanza sindacale.

Sono state quindi accertate  violazioni  in tema di trattamento dei dati personali   sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679. 

2) Software di controllo e dati biometrici vietati: la decisione del Garante Privacy

Per quanto riguarda l'hardware che consente il riconoscimento facciale dei dipendenti, il Garante ha ribadito l'indirizzo  restrittivo già seguito in casi simili:  tali strumenti sono proibiti perché realizzano un trattamento illecito dei dati  biometrici  che appartengono alle categorie di dati  sensibili . 

L'utilizzo è generalmente vietato, salvo quando sia necessario per adempiere obblighi e esercitare diritti specifici in materia di diritto del lavoro e protezione sociale; questa ipotesi  non si verifica nel caso in questione, mentre è giustificata ad esempio per la  compilazione delle buste paga .

 Il Garante sottolinea che, nel contesto del rapporto di lavoro, il consenso espresso dai dipendenti non può essere considerato un valido presupposto di liceità del trattamento, data l'asimmetria tra le rispettive posizioni.

Anche l'utilizzo del software gestionale è stato duramente criticato dall'autorità in quanto il datore di lavoro aveva imposto ai dipendenti, tramite un codice a barre  individuale, la registrazione delle  diverse fasi dell'attività lavorativa, comprese le pause (con la specifica causale). 

L'Autorità ha sottolineato inoltre la mancanza di risposte da parte del datore di lavoro sulla natura e tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che non ha permesso di valutare l'effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire.

Ancora piu grave il fatto che  tali informazioni non fossero state comunicate nemmeno ai dipendenti,  considerando che nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è espressione del dovere di correttezza e trasparenza

3) Controllo dipendenti: le sanzioni previste dal Garante Privacy

Alla luce degli elementi sopra indicati e delle valutazioni effettuate,  è stata irrogata la sanzione amministrativa pari ad euro 120.000,00 (centoventimila).

Inoltre in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019,  è stata richiesta la pubblicazione in chiaro  del  provvedimento sul sito Internet del Garante.

Infine il Garante ha richiesto alla Società di comunicare le iniziative intraprese  per

• conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento;
• cessare  il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.

e di fornire comunque riscontro adeguatamente documentato  entro il termine di 90 giorni dalla data di notifica del provvedimento;

L’eventuale mancato riscontro può comportare l’applicazione della ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.