L’AUTORITÀ GARANTE ITALIANA E LA DECISIONE DEL 6 GIUGNO 2024: UNA SANZIONE AI CONTROLLI BIOMETRICI SUL LUOGO DI LAVORO.

Hai una domanda?

Recentemente, l’Autorità Garante per la Protezione dei Dati Personali è tornata ad occuparsi della raccolta e dell’uso dei dati biometrici per la gestione dei rapporti di lavoro nonché del monitoraggio delle attività lavorative attraverso software gestiti dal datore di lavoro.

Le due questioni, in particolare, sono state oggetto del provvedimento dello scorso 06 Giugno 2024, in virtù del quale l’Autorità Garante, a seguito di reclamo presentato da un dipendente, ha sanzionato il datore di lavoro – un concessionario attivo nelle città di Modica e Ragusa – per un importo pari ad € 120.000 per l’accertata violazione degli artt. 5, 6 e 13 del Regolamento (UE) 2016/679 (GDPR – General Data Protection Regulation).

REPETITA IUVAT: IL GDPR ED I SETTE PRINCIPI FONDAMENTALI IN TEMA DI RACCOLTA E TRATTAMENTO DEI DATI PERSONALI.

Il Regolamento (UE) 2016/679, noto anche come Regolamento Generale sulla Protezione dei Dati (GDPR – General Data Protection Regulation), è la normativa dell’Unione Europea che ha lo scopo di armonizzare le leggi sulla protezione dei dati personali in tutto il territorio Comunitario, garantendo una maggiore protezione per i cittadini e stabilendo regole rigorose per le organizzazioni che trattano dati personali.

Il GDPR stabilisce sette principi fondamentali per il trattamento dei dati personali che, di seguito, spiegheremo brevemente:

1.Liceità, correttezza e trasparenza:

a)Liceità: il trattamento dei dati personali deve avvenire in conformità con la legge dei singoli Stati membri e deve trovare il proprio fondamento giuridico nel consenso dell’interessato, nell’adempimento di un contratto, in un obbligo legale, o un interesse legittimo;

b)Correttezza: il trattamento dei dati personali deve avvenire in modo equo e non ingannevole, ponendosi quale fine ultimo la sicurezza degli interessati.

c)Trasparenza: gli interessati devono essere informati chiaramente e in modo comprensibile sul trattamento dei loro dati. Le informazioni fornite devono includere dettagli su come e sul perché i dati vengono raccolti, utilizzati, conservati e condivisi.

2.Limitazione delle finalità: i dati personali devono essere raccolti per finalità specifiche, esplicite e legittime e non devono essere trattati ulteriormente in modo incompatibile con tali finalità. In altre parole, i dati raccolti non potranno essere utilizzati per finalità diverse da quelle originariamente dichiarate agli interessati, salvo che la legge non preveda altrimenti.

3.Minimizzazione dei dati: solo i dati personali che sono necessari per raggiungere le finalità per cui sono stati raccolti devono essere trattati. Questo principio implica che non si devono raccogliere dati superflui o eccessivi rispetto agli scopi dichiarati. La minimizzazione contribuisce a ridurre il rischio per la privacy degli interessati.

4.Esattezza: i dati personali devono essere accurati e, se necessario, aggiornati. Devono essere adottate misure ragionevoli per garantire che i dati imprecisi o incompleti siano corretti o cancellati senza indugi.

5.Limitazione della conservazione: i dati personali devono essere conservati per un periodo non superiore a quello necessario per le finalità per cui sono stati trattati. Una volta raggiunto lo scopo del trattamento, i dati devono essere eliminati o resi anonimi.

6.Integrità e riservatezza: i dati personali devono essere trattati in modo da garantire la protezione contro il trattamento non autorizzato o illecito e contro la perdita, distruzione o danneggiamento accidentale. Le misure di sicurezza devono essere appropriate al rischio e devono includere controlli tecnici e organizzativi per garantire la protezione dei dati.

7.Responsabilizzazione (accountability): il titolare del trattamento – che spesso coincide con il datore di lavoro ovvero con dipendenti appositamente incaricati dallo stesso – è responsabile di dimostrare il rispetto dei principi del GDPR. Ciò implica l’adozione di politiche e procedure adeguate, la conservazione della documentazione inerente al trattamento (in modo tale da poter fornire prove di conformità al GDPR) e la verifica continua delle pratiche di trattamento dei dati personali. Ruolo chiave, al fine di determinare l’accountability del responsabile del trattamento, è giocato dai “Registri delle attività di trattamento” previsti all’art. 30 del GDPR. Trattasi, in particolare, di documenti redatti dai titolari del trattamento e dai suoi rappresentanti, contenenti il nome e i dati di contatto del titolare (ed eventualmente del contitolare) del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali trattati; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; i termini ultimi stabiliti per la cancellazione delle diverse categorie di dati; e infine una descrizione generale delle misure di sicurezza tecniche e organizzative individuate al fine di garantire un livello di sicurezza dei dati personali adeguato al rischio cui gli stessi sono esposti.

Tutto ciò posto, è bene evidenziare come i sette principi di cui sopra, sono proprio quelli esplicitati nell’articolo 5 e nel successivo art. 6 (che meglio riguarda la “Liceità del trattamento) del GDPR e, pertanto, aiutano a delimitare meglio il contenuto del provvedimento reso dall’Autorità Garante.

LA FATTISPECIE IN ESAME: RACCOLTA, GESTIONE E CONSERVAZIONE DEI DATI PERSONALI ATTRAVERSO HARDWARE DI RICONOSCIMENTO BIOMETRICO E SOFTWARE DI TRACCIAMENTO DELL’ATTIVITA’ LAVORATIVA.

Nel caso in esame, l’Autorità Garante ha statuito l’illiceità di sistemi informatici (hardware e software) volti tanto alla raccolta di dati biometrici relativi ai dipendenti, quanto al monitoraggio dell’attività lavorativa dagli stessi svolta.

In particolare, l’attività istruttoria del Garante si è principalmente concentrata su due distinti applicativi utilizzati dal datore di lavoro ingiunto: in primo luogo, l’hardware di riconoscimento biometrico denominato “X FACE 360” ed, in secondo luogo, il software di tracciamento denominato “INFINITY DMS”.

A)L’hardware di tracciamento biometrico X Face 360: violazione dei principi di liceità, minimizzazione dei dati e limitazione della conservazione (artt. 5, 9 e 13 del GDPR). Limiti a consenso informato reso dai dipendenti.

Dall’attività istruttoria condotta dal Garante è emerso che la società sanzionata ha utilizzato un sistema di riconoscimento facciale per la rilevazione delle presenze dei dipendenti a partire da Dicembre 2018.

Questo trattamento – che ha coinvolto 40 dipendenti delle unità produttive di Modica e Ragusa – avrebbe avuto l’esclusiva finalità di rilevare le presenze per l’elaborazione delle buste paga di tutti i dipendenti, trasmettendo un report mensile al CDL.

È opportuno precisare che, in base al GDPR, i dati biometrici sono considerati categorie particolari di dati il cui trattamento è consentito solo se necessario per assolvere obblighi e diritti specifici in ambito lavorativo e se autorizzato da leggi o contratti collettivi, ciò al fine di garantire adeguate tutele per i diritti dei lavoratori interessati (art. 9, par. 2, lett. b), del GDPR; ancora: art. 88, par. 1) e cons. 51-53 del GDPR).

Nel provvedimento in parola, l’Autorità Garante ha rilevato come la raccolta ed il trattamento dei dati biometrici non abbia rispettato i principi di liceità, minimizzazione e limitazione della conservazione poiché:

1) non è stata dimostrata la base giuridica posta a fondamento della raccolta e del trattamento dei dati: il consenso informato reso dei dipendenti ai fini della raccolta dei dati biometrici, infatti, non è stato considerato idonea base giuridica, data l’asimmetria nel rapporto contrattuale tra lavoratore e datore di lavoro. Tale principio è, invero, essenziale, in quanto traccia i limiti precisi alla validità del consenso informato del lavoratore, spesso minato dalla necessità di accettare il vincolo contrattuale, quand’anche caratterizzato da più o meno evidenti compressioni dei propri diritti.

2) non è stata specificata la necessità del trattamento e, dunque, le espresse finalità che hanno orientato la raccolta ed il trattamento dei dati.

3) è stato considerato eccessivo il termine di conservazione dei dati biometrici, esteso irragionevolmente sino alla cessazione del rapporto di lavoro.

In conclusione, l’Autorità Garante ha accertato che la Società ha effettuato un trattamento di dati biometrici in violazione degli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b) e 13 del Regolamento.

B)Il software di monitoraggio Infinity DMS: violazione dei principi di liceità, correttezza e trasparenza nella gestione dei dati (artt. 5, 6 e 13 del GDPR).

La seconda questione affrontata dall’Autorità è relativa alla liceità, correttezza e trasparenza dei dati raccolti tramite il software denominato “Infinity DMS”.

Dalle risultanze istruttorie dedotte nel provvedimento è emerso che il predetto software è stato utilizzato dai dipendenti della società sanzionata per registrare le varie fasi dell’attività lavorativa comprese le pause, con l’indicazione della specifica causale (es. riposo, attesa ricambi, ecc.).

Il software è stato, altresì, utilizzato per raccogliere e trattare dati personali riferiti ai clienti dell’officina -ai quali era comunque fornita l’informativa- e le informazioni relative alla tipologia di interventi effettuati sulle autovetture, queste ultime, inserite dai dipendenti.

Dalle risultanze istruttorie dell’Autorità è inoltre emerso che la società sanzionata aveva sì predisposto un registro dei trattamenti, in conformità all’art. 30 del Regolamento, ma non aveva fornito all’Autorità dettagli sufficienti sul gestionale, come richiesto più volte, rendendo difficile valutare la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione, e la loro necessità e proporzionalità rispetto alle finalità.

Anche l’informativa ai dipendenti è risultata incompleta, non fornendo una rappresentazione completa del trattamento dei dati.

La Società non ha inoltre fornito una base giuridica adeguata per il trattamento, limitandosi a dichiarare che il software era necessario per migliorare gli standard qualitativi imposti dalla casa madre.

Di conseguenza, anche in tal caso l’Autorità ha rilevato che il trattamento è stato effettuato in violazione dei principi di liceità, correttezza e trasparenza previsti dagli articoli 5, par. 1, lett. a), 6 e 13 del Regolamento generale sulla protezione dei dati (GDPR).

CONCLUSIONI.

In “1984” Orwell ha scritto: “Se vuoi un’immagine del futuro, pensa a uno stivale che calpesti un volto umano in eterno”.

Ebbene, il crescente sviluppo delle tecnologia sta sempre più imponendo una riflessione etica sulla sua applicazione pratica anche nel mondo lavorativo.

Strumenti che sulla carta potrebbero sembrare utili a velocizzare i processi produttivi ed amministrativi – si pensi al riconoscimento biometrico dei lavoratori per il calcolo delle presenze e la redazione delle buste paga – spesso finiscono per comprimere i diritti fondamentali degli individui – nel caso di specie l’impropria gestione dei dati personali – e a talvolta anche a loro insaputa.

Nel caso di specie, la condanna statuita dall’Autorità funge da monito per una più rigorosa applicazione del GDPR ed evidenzia la crescente attenzione verso il più equo trattamento dei dati personali degli individui/lavoratori, quali vera e propria estensione della loro stessa identità.

Se questo è vero, il futuro può prospettarsi un po’ più roseo e meno doloroso di quanto immaginato da Orwell nel suo celebre romanzo.

Davide Garofalo

Avvocato

Prenota una richiamata

Compilate il nostro modulo e uno dei nostri esperti vi ricontatterà.

Condividi questo articolo

Hai una domanda?

Compilate questo modulo per inviare una richiesta. Il vostro messaggio sarà inviato a un membro del nostro team.

Nord Europa

Europa Centrale

Africa Centrale

Asia

GRANDI PROFITTI, TASSAZIONE IRRISORIA: PERCHÉ APPLE DEVE PAGARE 13 MILIARDI DI EURO IN TASSE ARRETRATE DALL’IRLANDA?