Un provvedimento sanzionatorio arriva in seguito al reclamo presentato da un dipendente, il quale ha denunciato l’uso illecito di sistemi di riconoscimento facciale per il controllo delle presenze nei luoghi di lavoro.
Il Garante della Privacy ha inflitto una multa pesante di ben 120mila euro a una concessionaria per gravi violazioni nel trattamento dei dati personali dei dipendenti
L’Autorità di controllo ha condotto un’indagine approfondita in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza. Ha riscontrato diverse irregolarità rispetto al Regolamento europeo sulla protezione dei dati personali.
Ecco nel dettaglio.
Uso illecito del riconoscimento facciale sui luoghi di lavoro
Uno dei punti centrali delle violazioni riscontrate riguarda l’utilizzo di dati biometrici per il riconoscimento facciale da parte della concessionaria.
Questa pratica è stata ritenuta non conforme alla normativa vigente in materia di protezione dei dati personali, in quanto manca una base giuridica adeguata che ne giustifichi l’utilizzo.
Il Regolamento europeo sulla protezione dei dati (GDPR) impone requisiti severi per il trattamento dei dati biometrici, richiedendo che esso sia necessario per finalità specifiche e sia supportato da disposizioni di legge o da un interesse legittimo fondato.
Il Garante della privacy ha ribadito che nemmeno il consenso dei dipendenti può legittimare l’utilizzo di dati biometrici per il controllo delle presenze. Soprattutto, considerando la natura della relazione di lavoro che implica una significativa asimmetria di potere tra datore e dipendente.
In aggiunta, l’indagine ha rivelato che la concessionaria raccoglieva e trattava dati personali relativi alle attività dei dipendenti attraverso un software gestionale per un periodo superiore a sei anni. Questi dati venivano utilizzati per la redazione di report mensili destinati alla casa madre dell’azienda, senza fornire un’adeguata base giuridica né una trasparenza informativa sufficiente.
La mancanza di una base giuridica idonea e di un’adeguata informativa contravviene al principio di correttezza e trasparenza nella gestione dei dati personali dei dipendenti. Il GDPR stabilisce che il trattamento dei dati personali deve essere lecito, equo e trasparente rispetto alla persona interessata e deve essere effettuato per finalità specifiche, esplicite e legittime.
Di conseguenza, l’Autorità garante ha emesso una sanzione pecuniaria nei confronti della concessionaria e ha ordinato la revisione e l’adeguamento delle pratiche di trattamento dei dati personali, affinché siano conformi alle disposizioni normative vigenti sulla protezione dei dati.
Questa decisione del Garante sottolinea l’importanza cruciale del rispetto delle normative sulla privacy anche nell’ambito delle relazioni lavorative. Serve, inoltre, da monito per tutte le aziende nel trattamento corretto e legale dei dati personali dei dipendenti.
Il testo del provvedimento del Garante
Qui è disponibile il documento completo.
Fonte: articolo di redazione lentepubblica.it
