Il Garante ha comminato l'ennesima sanzione per il mancato rispetto delle procedure di garanzia previste dallo Statuto dei lavoratori e dal Codice privacy, requisiti essenziali per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.
Non sono bastate le motivazioni presentate dal azienda del milanese per evitare una sanzione di 20mila euro dovuta al trattamento illecito di dati personali riconducibile all' installazione di un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, con annesso impianto di videosorveglianza e software per la geolocalizzazione di alcuni lavoratori. ( Provvedimento n. 231 del 1.06.2023 )
Sul punto :
• Videosorveglianza nei luoghi di lavoro: Nuove indicazioni dal Garante privacy ;
• Dati biometrici : il quadro normativo sul trattamento dei dati personali.
In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua famiglia. L’applicativo permetteva all’utente di ammonire verbalmente gli interessati, attraverso le casse dell’impianto.
Dall’ispezione è emerso inoltre che l’azienda utilizzava un applicativo che, quand’era in uso, tracciava, tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.
Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di geolocalizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza dei cartelli contenenti la c.d.” informativa breve “ nei pressi del raggio di azione della telecamere, oltre alla mancata informativa completa fornita ai lavoratori.
Allo scopo di rinforzare ulteriormente le misure di sicurezza ai locali aziendali, la Società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.
Al riguardo nel provvedimento è stato rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati particolarmente sensibili, è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.
Fonte : Garante Privacy