L’Autorità per la protezione dei dati personali ha inflitto una sanzione di 20.000 euro a un’azienda a causa di un allarme basato sul trattamento di dati biometrici (Garante per la protezione dei dati personali, nota 26 luglio 2023, n. 507).
Il controllo a distanza basato sul trattamento dei dati biometrici dei dipendenti è di regola vietato in quanto dati rientranti nelle cosiddette categorie particolari di dati (articolo 9 GDPR). A ribadirlo è il Garante della privacy che ha emesso una sanzione di 20.000 euro nei confronto di un’azienda che aveva installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori. Le violazioni sono emerse dall’ispezione avviata dall’Autorità in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione.
Il sistema di videosorveglianza, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua famiglia. L’applicativo permetteva all’utente di ammonire verbalmente gli interessati, attraverso le casse dell’impianto.
Inoltre, l’azienda utilizzava un applicativo che, quand’era in uso, tracciava, tramite GPS, in modo continuativo, la posizione del lavoratore nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito. Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza di cartelli informativi in loco.
Peraltro, al fine di rinforzare ulteriormente le misure di sicurezza ai locali aziendali, la società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.
Come già riportato, il trattamento dei dati biometrici, di regola vietato, è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’articolo 9 del GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.
Il Garante per la protezione dei dati personali, oltre al pagamento della sanzione, ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore.