WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Flash News

Controllo presenze: no al riconoscimento facciale dei lavoratori

28 Marzo 2024
Di cosa si parla in questo articolo

Il Garante Privacy, con i provvedimenti nn. 105, 106, 107, 108 e 109, tutti del 22 febbraio 2024, ha affermato che il riconoscimento facciale per controllare le presenze sul posto di lavoro dei lavoratori viola la normativa a tutela della privacy dei dipendenti, ed ha quindi sanzionato cinque diverse società per violazione del GDPR, sotto molteplici profili.

In particolare, è stata accertata preliminarmente la violazione dell’art. 5, par. 1, lett. a) e 9 del Regolamento, in relazione ai trattamenti di dati dei citati dipendenti.

Nei diversi casi analizzati vi era stato infatti un trattamento di dati biometrici:

  • sia in fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie; v. punti 6.1 e 6.2 dell’allegato A al provvedimento del Garante del 12 novembre 2014, n. 513)
  • sia in fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (v. anche punto 6.3 dell’allegato A al citato provvedimento).

Pertanto, anche in caso di estrazione del c.d. template, ad avviso del Garante, tramite il riconoscimento facciale dei lavoratori, vi era stato un effettivo trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dal GDPR.

In proposito, in base alla normativa posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento.

Ovvero, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento (congiuntamente):

  • sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale
  • sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo, ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (v. art. 9, par. 2, lett. b), e art. 88, par. 1 e cons. 51-53 del Regolamento).

Il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) del Regolamento).

Tenuto anche conto di quanto previsto dall’art. 2-septies del Codice (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute), in base al quale i predetti trattamenti possono essere effettuati conformemente alle misure di garanzia disposte dal Garante (ai sensi dell’art. 9, par. 4, del Regolamento), allo stato attuale il nostro ordinamento non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.

Ciò era già stato ribadito dal Garante con i provvedimenti n. 369/2022 e n. 16/2021.

L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro, come l’attività di rilevazione delle presenze, al dichiarato fine di far fronte ad illeciti disciplinari, contenziosi legati alla corresponsione del compenso per il lavoro straordinario, nonché a causa della presenza di personale presso il cantiere ove si è svolta l’attività di accertamento, non è dunque conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).

Le aziende, ad avviso del Garante, in conclusione, avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come ad es. il badge).

Dall’attività ispettiva del Garante, nei casi analizzati, sono inoltre emerse ulteriori violazioni da parte delle società.

In particolare, l’Autorità ha accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate, e violando pertanto l’art. 32 del GDPR.

Le aziende, poi, non avevano fornito una informativa chiara e dettagliata ai lavoratori, in violazione dell’art. 13 del Regolamento, né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy, violando altresì l’art. 35 del GDPR.

Infine, in base a quanto stabilito dall’art. 30 del Regolamento, all’interno del registro delle attività di trattamento svolte dal titolare, quest’ultimo, sotto la propria responsabilità, è sempre tenuto a indicare le categorie di dati personali oggetto di trattamento (art. 30, par. 1, lett. c) del Regolamento): nel caso concreto, è emerso invece che il registro delle operazioni di trattamento non indicava i dati biometrici tra i tipi di dati trattati dal titolare, violando ulteriormente il citato disposto del GDPR.

Oltre al pagamento delle sanzioni il Garante ha ordinato la cancellazione dei dati raccolti illecitamente tramite il riconoscimento facciale dei lavoratori.

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

Iscriviti alla nostra Newsletter