Ammonta a 120 mila euro la sanzione inflitta dal Garante della Privacy ad una nota concessionaria operante nel Sud Italia per il trattamento illecito di dati dei propri dipendenti conseguente all’utilizzo di due software, il primo per regolare l’accesso sul luogo di lavoro attraverso il riconoscimento facciale, e il secondo per ottimizzare i tempi e le modalità di esecuzione dei lavori mediante la registrazione degli interventi di riparazione svolti sui veicoli assegnati, nonché dei tempi di inattività con le specifiche causali.
L’Autorità era intervenuta a seguito del reclamo di un dipendente che lamentava il trattamento illecito di dati personali attraverso il sistema biometrico per la rilevazione delle presenze, ma a seguito dell’attività ispettiva avviata dal Garante, violazioni sono state riscontrate anche in riferimento al software gestionale multifunzione utilizzato per la gestione delle aree contabilità ; magazzino ; officina e vendite che vedeva assegnato a ciascun meccanico un codice a barre per la marcatura dei lavori funzionale all’ottimizzazione delle risorse.
Per quanto concerne l’utilizzo di dati biometrici in ambito lavorativo, con il provvedimento n. 338 del 6 .06.2024, il Garante ha ricordato che di regola, ai sensi dell’ art. 9, del Regolamento (UE) 2016/679, il relativo trattamento è vietato salvo che sia necessario per assolvere determinati obblighi ed esercitare specifici diritti, con riscontro in una disposizione normativa non conflittuale con la disciplina di protezione dei dati, in termini di proporzionalità rispetto alle finalità che si intendono perseguire. Pertanto, non essendo previste norme a riguardo, ad oggi l’ordinamento vigente non consente il trattamento dei dati biometrici per finalità di rilevazione presenze.
Dati biometrici : il quadro normativo sul trattamento dei dati personali
Neanche il consenso manifestato dai dipendenti, come nel caso di specie, è considerato dal Garante idoneo presupposto di liceità del trattamento, stante l’asimmetria tra le rispettive parti del rapporto di lavoro. Inoltre, dagli accertamenti effettuati, è risultato che l’azienda conservava i dati sino alla cessazione del rapporto di lavoro, in violazione delle limitazioni all’archiviazione dei dati per le quali il dato biometrico può essere trattato solo durante la fase di registrazione e acquisizione necessaria per il confronto biometrico, senza memorizzazione se non per il tempo strettamente necessario alla generazione del modello.
L’Autorità ha inoltre accertato che l’azienda concessionaria per più di sei anni, mediante il software gestionale, aveva raccolto dati personali relativi alle attività dei dipendenti per redigere report mensili poi inviati alla casa madre, con dati aggregati sui tempi impiegati dalle officine per le lavorazioni. Il tutto in assenza di un’idonea base giuridica e di un’adeguata informativa che, nel contesto del rapporto di lavoro, è espressione del principio di correttezza e trasparenza.
L’Autorità, oltre a sanzionare la società, le ha quindi ordinato di conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni della normativa privacy, anche per quanto concerne l’idonea informativa trasmessa ai lavoratori.
Fonte: Garante Privacy