Il provvedimento n. 338 del 6 giugno 2024 del Garante Privacy ha sanzionato una società per il trattamento illecito dei dati personali dei propri dipendenti. Tale trattamento riguardava l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze in ufficio e di un software gestionale per la registrazione dettagliata dei tempi e delle modalità di esecuzione dei compiti, inclusi i periodi di inattività con specifiche causali.
Il Garante ha evidenziato che l’uso del sistema biometrico, finalizzato alla rilevazione delle presenze, non trovava fondamento normativo conforme alla disciplina sulla protezione dei dati personali. In particolare, il trattamento dei dati biometrici, come il riconoscimento facciale, è considerato una categoria particolare di dati sensibili e pertanto è soggetto a restrizioni severe ai sensi dell’art. 9 del GDPR. Il Garante ha ribadito che, in assenza di una base giuridica idonea tra quelle previste dall’articolo 9, paragrafo 2, del Regolamento, tale trattamento non può considerarsi legittimo.
Inoltre, la Società ha conservato i dati biometrici dei dipendenti anche oltre il termine necessario, violando così il principio di limitazione della conservazione previsto dall’art. 5, paragrafo 1, lettera e), del GDPR. La mancanza di un sistema alternativo per la verifica dell’orario di lavoro e l’assenza di un’adeguata informativa per i dipendenti sono stati ulteriori elementi critici riscontrati dal Garante, contrari ai principi di minimizzazione, proporzionalità e trasparenza previsti dalla normativa europea sulla protezione dei dati.
Relativamente all’uso del software gestionale, il Garante ha rilevato che la Società ha raccolto e trattato dati personali dei dipendenti senza adeguata trasparenza e senza informare correttamente i lavoratori riguardo alla natura e alle modalità del trattamento. L’inosservanza di tali obblighi informativi, sanciti dall’art. 5, paragrafo 1, lettera a), del GDPR, ha ulteriormente aggravato la situazione di illiceità del trattamento.
In conclusione, il Garante ha constatato che la Società ha violato diversi principi fondamentali della normativa GDPR, inclusi quelli relativi alla base giuridica del trattamento, alla limitazione della conservazione dei dati, alla trasparenza e all’informazione adeguata dei dipendenti. Pertanto, il provvedimento sanzionatorio è stato motivato dalla necessità di garantire il rispetto dei diritti fondamentali alla privacy dei lavoratori e di tutelare la corretta applicazione delle norme europee in materia di protezione dei dati personali.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- La Direttiva (UE) 2024/2831: un passo avanti per le condizioni di lavoro sulle piattaforme digitali - Novembre 12, 2024
- Domicilio digitale e notifiche telematiche: l’ordinanza n. 28532/2024 della Corte di Cassazione - Novembre 7, 2024
- Il nuovo quadro di protezione dati UE-USA: valutazione critica del rapporto dell’EDPB del 4 novembre 2024 - Novembre 5, 2024