Il provvedimento n. 338 del 6 giugno 2024 del Garante Privacy ha sanzionato una società per il trattamento illecito dei dati personali dei propri dipendenti. Tale trattamento riguardava l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze in ufficio e di un software gestionale per la registrazione dettagliata dei tempi e delle modalità di esecuzione dei compiti, inclusi i periodi di inattività con specifiche causali.
Il Garante ha evidenziato che l’uso del sistema biometrico, finalizzato alla rilevazione delle presenze, non trovava fondamento normativo conforme alla disciplina sulla protezione dei dati personali. In particolare, il trattamento dei dati biometrici, come il riconoscimento facciale, è considerato una categoria particolare di dati sensibili e pertanto è soggetto a restrizioni severe ai sensi dell’art. 9 del GDPR. Il Garante ha ribadito che, in assenza di una base giuridica idonea tra quelle previste dall’articolo 9, paragrafo 2, del Regolamento, tale trattamento non può considerarsi legittimo.
Inoltre, la Società ha conservato i dati biometrici dei dipendenti anche oltre il termine necessario, violando così il principio di limitazione della conservazione previsto dall’art. 5, paragrafo 1, lettera e), del GDPR. La mancanza di un sistema alternativo per la verifica dell’orario di lavoro e l’assenza di un’adeguata informativa per i dipendenti sono stati ulteriori elementi critici riscontrati dal Garante, contrari ai principi di minimizzazione, proporzionalità e trasparenza previsti dalla normativa europea sulla protezione dei dati.
Relativamente all’uso del software gestionale, il Garante ha rilevato che la Società ha raccolto e trattato dati personali dei dipendenti senza adeguata trasparenza e senza informare correttamente i lavoratori riguardo alla natura e alle modalità del trattamento. L’inosservanza di tali obblighi informativi, sanciti dall’art. 5, paragrafo 1, lettera a), del GDPR, ha ulteriormente aggravato la situazione di illiceità del trattamento.
In conclusione, il Garante ha constatato che la Società ha violato diversi principi fondamentali della normativa GDPR, inclusi quelli relativi alla base giuridica del trattamento, alla limitazione della conservazione dei dati, alla trasparenza e all’informazione adeguata dei dipendenti. Pertanto, il provvedimento sanzionatorio è stato motivato dalla necessità di garantire il rispetto dei diritti fondamentali alla privacy dei lavoratori e di tutelare la corretta applicazione delle norme europee in materia di protezione dei dati personali.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Il parere del Garante Privacy sullo schema di disegno di legge in materia di intelligenza artificiale - Agosto 9, 2024
- La società controllata dalla Banca non può accedere alla banca dati Scipafi senza specifica autorizzazione - Agosto 9, 2024
- Illegittima l’indicazione dei nomi per esteso degli indagati - Agosto 2, 2024
- Il Regolamento Europeo sull’Intelligenza Artificiale è entrato in vigore - Agosto 1, 2024
- Il deposito della sentenza priva di attestazione di conformità in Cassazione si può regolarizzare entro l’udienza di discussione - Luglio 30, 2024
