Il provvedimento n. 338 del 6 giugno 2024 del Garante Privacy ha sanzionato una società per il trattamento illecito dei dati personali dei propri dipendenti. Tale trattamento riguardava l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze in ufficio e di un software gestionale per la registrazione dettagliata dei tempi e delle modalità di esecuzione dei compiti, inclusi i periodi di inattività con specifiche causali.
Il Garante ha evidenziato che l’uso del sistema biometrico, finalizzato alla rilevazione delle presenze, non trovava fondamento normativo conforme alla disciplina sulla protezione dei dati personali. In particolare, il trattamento dei dati biometrici, come il riconoscimento facciale, è considerato una categoria particolare di dati sensibili e pertanto è soggetto a restrizioni severe ai sensi dell’art. 9 del GDPR. Il Garante ha ribadito che, in assenza di una base giuridica idonea tra quelle previste dall’articolo 9, paragrafo 2, del Regolamento, tale trattamento non può considerarsi legittimo.
Inoltre, la Società ha conservato i dati biometrici dei dipendenti anche oltre il termine necessario, violando così il principio di limitazione della conservazione previsto dall’art. 5, paragrafo 1, lettera e), del GDPR. La mancanza di un sistema alternativo per la verifica dell’orario di lavoro e l’assenza di un’adeguata informativa per i dipendenti sono stati ulteriori elementi critici riscontrati dal Garante, contrari ai principi di minimizzazione, proporzionalità e trasparenza previsti dalla normativa europea sulla protezione dei dati.
Relativamente all’uso del software gestionale, il Garante ha rilevato che la Società ha raccolto e trattato dati personali dei dipendenti senza adeguata trasparenza e senza informare correttamente i lavoratori riguardo alla natura e alle modalità del trattamento. L’inosservanza di tali obblighi informativi, sanciti dall’art. 5, paragrafo 1, lettera a), del GDPR, ha ulteriormente aggravato la situazione di illiceità del trattamento.
In conclusione, il Garante ha constatato che la Società ha violato diversi principi fondamentali della normativa GDPR, inclusi quelli relativi alla base giuridica del trattamento, alla limitazione della conservazione dei dati, alla trasparenza e all’informazione adeguata dei dipendenti. Pertanto, il provvedimento sanzionatorio è stato motivato dalla necessità di garantire il rispetto dei diritti fondamentali alla privacy dei lavoratori e di tutelare la corretta applicazione delle norme europee in materia di protezione dei dati personali.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sulla tempestività della richiesta di rimessione in termini in caso di mancato perfezionamento del deposito telematico - 7 Gennaio 2025
- Sul trattamento illecito di dati personali da parte dei sistemi di intelligenza artificiale - 20 Dicembre 2024
- L’intelligenza artificiale generale nel quadro dell’AI Act: analisi delle nuove FAQ della Commissione UE - 9 Dicembre 2024
- Un’analisi critica sulle pratiche di telemarketing - 4 Dicembre 2024
- Attiva la piattaforma ACN per la conformità alla Direttiva NIS - 3 Dicembre 2024
